Kimlik Hırsızlığı Riski Estonya’dan 7500.000 Kimlik Kartı Sertifikalarını Engellemesini İstedi

3 ay önce Ekonomi
Bu yazıyı 5 dakikada okuyabilirsiniz

Hükümetin web sitesi e-Estonia.com Estonya kimlik kartları hakkında bir tanıtım videosundan ekran görüntüsü.

4 Kasım 2017’de Estonya makamları, 16 Ekim 2014 ve 26 Ekim 2017 tarihleri arasında ve muhtemelen daha önce yayınlanan kartların güvenliğini tehlikeye atabilecek bir güvenlik açığı nedeniyle 760.000’den fazla ulusal elektronik kimlik kartının sertifikalarını devre dışı bıraktı.

Estonya, diğer ülkelerden çok daha fazla, reçeteli ilaç alma, oy kullanma, banka havaleleri ve dijital imzalar gibi birçok temel hizmet için dijital teknolojiye dayanmaktadır. Aslında Estonyalıların%98’i Avrupa’da geçerli bir seyahat kimliği olarak kullanabilecekleri, sağlık sigortasına erişebilecekleri ve vergi ödeyebilecekleri bir kimlik kartına sahiptir. Dijital kimlik kartları 2002’de tanıtıldı ve ülkenin e-servislerinin temel taşı haline geldi. Estonya, dünyanın en hızlı geniş bant hizmetlerinden birine sahiptir ve güçlü dijital okuryazarlık, yaygın internet bağlantısı ve e-yönetişim kurmuştur.

Engellenen kimlik kartlarının içindeki sertifika yazılımı, gizlilik ihlali riskiyle başa çıkmak için ulusal çapta yeni, daha güvenli bir yazılım ile değiştirilecektir. Çek Cumhuriyeti’nden bir grup araştırmacı, kartların mikroçiplerinde vatandaşın kişisel verilerinin büyük ihlallerine yol açabilecek bir güvenlik kusuru tespit ettikten sonra bu sertifikalar devre dışı bırakıldı. Araştırmacılar, 16 Ekim 2014 ve 26 Ekim 2017 tarihleri arasında verilen kimlik kartlarına yerleştirilen çiplerin (muhtemelen 2012 gibi erken olsa da) hem özel hem de açık anahtarların sızmasına ve olası kimlik hırsızlığına karşı savunmasız olduğunu buldular.

Çipler, ABD ve Almanya’da merkezi olan bir mikroelektronik şirketi olan Infineon tarafından üretildi. Bu şirket, devlet tanımlama, mobil güvenlik ve gömülü güvenlik ve güvenilir bilgi işlem gibi hizmetler sunmaktadır.

Estonya hükümeti, henüz sızma yapılmadığını ve yetkililerin, vatandaşların verilere zarar vermemesini sağlamak için ihtiyati tedbir olarak etkilenen kimlik kartlarını devre dışı bıraktığını söylüyor. E-hükümetin çalışmaya devam etmesini garanti etmek için, hükümet yetkilileri ve doktorlar gibi çalışmalarında kimlik kartını kullanan tahmini 35.000 kişi önce daha güvenli bir sürüme güncellendi.

2 Kasım 2017 tarihinde Başbakan Jüri Ratas yaptığı açıklamada:

E-devletin işleyişi güven içinde kalır ve devlet Estonya kimlik kartının sahibinin kimliğinin çalınmasına izin veremez. Mevcut bilgiye göre, e-kimlik hırsızlığı yaşanmadı, ancak PPA ve RIA tehdit değerlendirmesi bu tehdidin gerçek hale geldiğini gösteriyor.

Bir e-devletin işleyişi güvene dayanır ve devlet Estonya kimlik kartının sahibine kimlik hırsızlığını karşılayamaz. Şu anda bildiğimiz kadarıyla, e-kimlik hırsızlığı örneği yok, ancak Polis ve Sınır Muhafız Kurulu’nun tehdit değerlendirmesi ve Bilgi Sistemi Otoritesinin bu tehdidin gerçek olduğunu gösteriyor.

Çek araştırmacılar tarafından ortaya çıkarılan güvenlik tehdidi, yalnızca Estonya kimlik kartlarıyla sınırlı değildir. Muhtemelen, Infineon tarafından bu süre zarfında üretilen tüm yonga setleri aynı kusuru taşıyor. Bu nedenle Infineon yonga setleri kullanan dünya çapındaki bilgisayar sistemleri de sızma riski altındadır. Güvenlik açığı, ulusal kimlik kartlarının ve sistemlerin sayısallaştırılmasıyla ortaya çıkabilecek ciddi güvenlik zorluklarını aydınlattı.

Bu konuyla ilgili sosyal medya tartışmaları arasında, Estonya Cumhuriyeti’nin (2006-2016) eski Başkanı Toomas Hendrik Ilves’in “gerçek hikaye” nin Şubat ayında açıklamayı öğrenmiş gibi görünen kartların üreticisi Gemalto hakkında olduğunu öne süren Twitter yorumları yer aldı, ancak müşterileri ile bu bilgileri paylaşmadı. 2001 yılından bu yana Estonya elektronik kimlik kartları Trub AG ve halefi Gemalto AG, Infineon teknolojilerini kullanan İsviçreli firmalar tarafından üretilmektedir.

Eski Cumhurbaşkanı Ilves, Hollandalı firmanın “ticari kullanıcıları bilgilendirmesine karşın kamu sektörü (ödeme yapan) müşterileri değil” iddiasını üstlenerek gazetecileri konuyla daha derinlemesine bakmaya çağırdı.

Estonya’nın kartların sertifikalarını değiştirme hareketi, Doğu ve Orta Avrupa bölgesindeki bilgi toplumu meraklılarının da dikkatini çekti. Facebook tartışmasında, Estonya’da yaşayan bir Sırp bilişim uzmanı son kullanıcı perspektifini yorumlarla açıkladı:

Birkaç ay önce bizi bilgilendirdiler (risk sadece teorik iken) ve birkaç hafta önce resmi uygulama aracılığıyla bir sertifika güncellemesi yayınladılar (kimlik değiştirilmemesi gerekmez). Şu anda hıçkırık yetkilendirme bilir, ama biz de bir yedek yetkilendirme modu var (mobil uygulama aracılığıyla) bu yüzden engellenmez.

Birkaç ay önce bilgilendirildik (risk sadece teorik olsa da) ve birkaç hafta önce resmi bir uygulama aracılığıyla sertifikaların güncellemelerini yayınladılar (bu nedenle kimliğini değiştirmek zorunda kalmazlar). Şu anda yetkilendirme sürecinde bazen bazı hıçkırık var, ancak bir cep telefonu uygulaması aracılığıyla bir yedek yetkilendirme yöntemi var, bu yüzden hiç engellenmiyoruz.

Kaynak https://globalvoices.org/2017/11/22/identity-theft-risk-prompts-estonia-to-block-the-certificates-of-760000-id-cards/

Benzer Yazılar