Pangaliidu infoturbe toimkond: Smart-ID turvalisuses pole mingit põhjust kahelda, kasutaja peab olema teadlik ohtudest

Viimasel ajal on palju arutatud Smart-ID turvalisuse üle ja Riigi Infosüsteemi amet on asunud asja ka uurima. Kahtluste ajendiks on viimasel ajal toimunud juhtumid, kus kurjategijad on enda valdusse saanud inimeste Smart-ID äpid ja kasutanud neid pettusteks. Toimunud juhtumite valguses pole Pangaliidu infoturbe toimkonnal siiski mingit põhjust kahelda Smart-ID turvalisuses. Tegemist on lahendusega, mis on kõrgeimal nõutud turvalisuse tasemel ja millega antud digitaalne allkiri on sarnaselt ID-kaardiga antule tunnistatud Euroopa Liidus võrdväärseks käsitsi antud allkirjaga. Seda luba ei saa niisama – Smart-IDd on mitmekülgselt turvatestitud ja tema turvalisust on tunnustanud ka rahvusvaheline sertifitseerimisettevõte.  Täna kasutab Smart-IDd  enam kui 2,1 miljonit inimest, kes teostavad selle autentimisvahendiga rohkem kui 35 miljonit toimingut kuus.

22 mai 2019

“Turvaprobleem ei seisne tehnilise turvalisuse puudustes, vaid inimeste hea usu ja vähese teadlikkuse ärakasutamises petturite poolt. Pealtnäha pangalt või mõnelt muult ettevõttelt pärinev ja enamasti kiiret tegutsemist nõudev tekstisõnum või e-kiri juhatab lingi kaudu väliselt vahel isegi usaldusväärse ning ehtsana näivale veebilehele. Tegu on aga petturite lehega, kus palutakse kasutajal sisestada oma kasutajatunnus, isikukood ja siseneda teenusesse mobiil-ID abil, et näiliselt kinnitada oma konto andmed või teha mõni muu olulisena tunduv toiming. Kuna selle tegevuse käigus sisestab kasutaja oma Mobiil ID PIN koodid, võimaldab see kurjategijatel luua ja aktiveerida nende abil ohvri isikuga seotud Smart-ID. Selle tulemusena ongi kurjategijatel vabad käed ohvri elektroonilise identiteediga pettusi toime panna. Halvemal juhul saavad petturid kasutada isiku digitaalset identiteeti pikema aja jooksul ka teistes e-teenustes ja suudavad tekitada väga palju kahju. Põhimõtteliselt sarnaneb toimunu olukorrale, kus isikult on välja petetud tema ID kaart koos PIN-koodidega”, kirjeldas Pangaliidu infoturbetoimkonna liige, Swedbanki küberriskide juht Toomas Vaks petuskeemi.

Mida siis teha? Kuigi nii Smart-IDd pakkuv ettevõte SK ID Solutions ja ka pangad on selliste pettuste tõkestamiseks parandanud erinevatel viisidel järelevalvet ja politsei teeb jõupingutusi kurjategijate tabamiseks, on pettuste ärahoidmiseks kõige tähtsam siiski paras annus kasutajapoolset ettevaatlikust ja täpsust oma internetis toimuvates asjaajamistes. Kui Smart-ID on juba võõraste käsutusse sattunud, on selle kasutamist raske piirata. Siiski - inimestel on võimalus Smart-ID iseteenindusportaalis näha ning vajadusel sulgeda oma kehtivaid Smart-ID lepinguid. Seega oleks mõistlik aeg-ajalt oma Smart-ID lepingutel silma peal hoida. Kahtlaste lepingute leidmisel tasuks kindlasti pöörduda Sertifitseerimiskeskuse või politsei poole.

Pangaliit on koostanud  soovitused turvaliseks interneti- ja mobiilipanga kasutamiseks, kus kordame üle mitmed põhitõed.

Interneti- ja mobiilipanga kasutamisel:

  • Jälgi, et internetipanka või e-teenusesse sisenemiseks küsitakse PIN1’te ning toimingute kinnitamiseks PIN-2’te. Mitte kunagi ei tohiks see olla vastupidi!
  • Veendu teenuse kodulehe õigsuses. Jälgi, et teenuse veebilehe aadress oleks korrektne ning veebilehitseja ei annaks mis tahes veateateid.
  • Mobiil-ID ja Smart-ID puhul jälgi alati, et telefonis näidatud kontrollkood vastaks interneti- või mobiilipanga lehel kuvatud koodile!
  • Mobiil-ID ja Smart-ID kasutamisel kontrolli alati, mis toimingut sa kinnitad: telefoni ekraanil on näha nii teenuse nimetus kui lühike toimingu kirjeldus. Kui sa ei ole kindel toimingu õigsuses, ära PIN-koodi sisesta!
  • Juhul, kui sa ei ole tehingut algatanud, kuid saad Mobiil ID või Smart ID parooli küsiva teavituse, ära kunagi sisesta oma PIN-koodi! Tõenäoliselt on tegemist kas pettuskatse või teise kasutaja veaga oma kasutajanime sisestamisel.
  • Ära kasuta internetipanka sisenemiseks e-kirjas või sõnumis olevaid linke vaid sisesta soovitud internetipanga veebiaadress alati ise brauseri aadressiväljale, tavaliselt siis nimekujul https://www.panganimi.ee