Nul
Video: Estland for at åbne verdens første data ambassade i Luxembourg
For de seneste to og en halv måneder, Estland har været udsat for den største sikkerhedsmæssige krise, da en bølge af cyberangreb ramt sin banker og nationale kritiske infrastruktur i 2007.
I hjertet af den aktuelle nedtur er den nyeste version af sin nationale ID-kort, som er blevet en obligatorisk identifikationsdokument for borgerne i Estland siden 2002 og fungerer som en hjørnesten i Estland e-tilstand.
Hardware bag ID-kort blev fundet til at være sårbare over for angreb, som teoretisk kunne have ført til identitet tyverier af estiske borgere og også e-residenter, noget, som regeringen har nægtet at opstå.
At sætte et positivt spin på de seneste begivenheder, statens tidligere CIO, Taavi Kotka, og argumenterer for, at den måde, landet har håndteret krisen er faktisk positivt, fordi han mener, at det vil blive et skoleeksempel for andre.
“Intet samfund afhænger af teknologi-så meget [som Estland]. Den kommunikation og de reaktioner, der er [vil blive undersøgt],” sagde han på nationale tv-station ERR ‘ s Foorum.
Den estiske ID-kort, når den er forbundet med en smartcard-læser og en særlig software, der giver sin ejer adgang til web-portaler og e-tjenester, der gør det muligt for betalinger, bank transaktioner, og digitale signaturer. Kortholdere kan endda bruge den til at tage del i elektronisk afstemning.
ID-kort brug 2,048-bit open-source-public-key/private-key kryptering, som har to separate digitale certifikater: den ene til at bekræfte indehaverens identitet, og den anden til at give dem mulighed for at underskrive dokumenter med en digital signatur.
Der er to tilhørende private nøgler på kortet, som hver især er sikkert beskyttet af en unik bruger-PIN-kode. Brugere kan indtaste en, når bedt om at bekræfte deres identitet, online og ansætte de andre, når de ønsker at signere noget.
Optagelse af en anden PIN-kode svarer til at underskrive et dokument i person, og det anses for lige så juridisk bindende i Estland.
I oktober 2014, en ny chip blev introduceret til den estiske ID-kort, der leveres af Nederlandene chipmaker Gemalto. I henhold til Estlands Information System Myndighed (ISA), har denne nye generation af chip var hurtigere, baseret på den nyeste teknologi og, derfor, betragtes som endnu mere sikker.
“Den franske og den tyske sikkerheds-certifikater for de chips, bekræfte deres overholdelse af alle sikkerheds forskrifter. Den samme chip, der anvendes i identitetskort i flere andre lande, såvel som bankcards og få adgang til dokumenter,” forklarede ISA.
I August i år en gruppe af tjekkiske forskere informeret ISA for en sikkerheds risiko, som de havde opdaget, der er relateret til Gemalto chips. Estiske eksperter begyndte straks at vurdere de risici, der er.
September 5, Estlands premierminister, Jüri Ratas, kaldet et særligt pressemøde for at informere offentligheden om den trussel, som det viser sig, gælder for næsten 750.000 indbyggere Gemalto-baserede ID-kort, der er udstedt inden for de seneste tre år.
“Teoretisk set er det rapporteret sårbarheden kunne gøre det lettere at anvende den digitale identitet for personlige identifikation og digital signering, uden at have det fysiske kort og relevante PIN-koder,” indrømmede ISA, tilføje, at du kender den offentlige nøgle i certifikatet er ikke nok til at låse kortet op.
Kraftfuld og dyre computerkraft at beregne den hemmelige nøgle, og specielt skræddersyet software til at underskrive, er også nødvendigt.
“ID-kort software er ikke egnet, fordi det kræver et ID-kort, der placeres i kortlæseren,” de tilføjede i en erklæring.
Som en sikkerhedsforanstaltning, Estland begrænset adgang til estisk ID-kort, offentlig-nøgle database for at undgå ulovlig brug, fordi uden den offentlige nøgle, er det ikke muligt at bruge dette sikkerhedshul til at angribe kort.
Snesevis af IT-specialister begyndte straks at arbejde i døgndrift for at løse problemet og skabe opdateringer til certifikater, der ville eliminere faren, og opbygge et system, der kan opdatere certifikater så hurtigt som muligt.
I midten af oktober, hvor den tjekkiske forskere, der offentliggjort et papir med deres resultater, Estland var stadig overbevist om, at risikoen var minimal.
“Resultaterne offentliggjort… ikke give Politiet og grænsevagten Bestyrelsen grund til at suspendere eller tilbagekalde nuværende certifikater, og vi går videre med planen om at begynde at opdatere de berørte ID-kort i November,” siger Margit Ratnik, leder af Identitet og Status Bureau af den estiske Politiet og grænsevagten Bestyrelse derefter.
Se også: brud på datasikkerheden fremhæve, hvor cpr-nummer skal være udfaset til blokkæden, biometri & Executive ‘ s guide til at gennemføre blokkæden teknologi
På oktober 25, ISA meddelte, at den løsning til at opdatere de certifikater, der var klar til at bruge. Estiske ID-kort ejere travlt med at opdatere deres certifikater online, forlader Politiet og grænsevagten kontorer over Estland med lange køer af mennesker, som venter på at få deres pletter.
Men systemet kunne ikke håndtere den høje grad af anmodninger og styrtede ned flere gange, hvilket gør den sats af opdateringer langsommere end ISA havde håbet.
Estland plan for nogen at være en borger, digitalt: Her er hvorfor tusindvis tilmelding
Med masser af nye e-borgerne, og hundredvis af nye virksomheder, Estland e-residency-projektet har oversteget forventningerne i sit første år.
Læs Mere
Som dagene gik, og faren for at modtage angreb, der udnytter sikkerhedshuller ragede større, en drastisk beslutning blev truffet af regeringen.
Det støttede forslaget fra det estiske Politiet og grænsevagten Bestyrelsen og informationssystem Myndighed til at spærre certifikater af ID-kort i fare på 3. November.
Denne beslutning betød, at 760,000 ID-kort, der er udstedt efter den 16 oktober 2014 kunne kun blive brugt til identifikation og rejser. Adgang til e-tjenester, såsom sundheds-registreringsdatabasen -, bank eller skat systemer blev begrænset, indtil de certifikater, der var blevet opdateret.
For at sikre, at e-regeringen fortsatte med at fungere, omkring 35.000 mennesker, der er nødt til at bruge deres ID-kort til deres arbejde, såsom læger, retfærdighed embedsmænd og tjenestemænd, som var til at blive opdateret.
ISA annonceret på November 6, at processen med fjernbetjening opdatering og fornyelse havde endelig begyndt at køre gnidningsløst.
“Ekstra tid og med en rolig holdning er stadig behov for både at opdatere valg,” siger Margus Arm, leder af e-ID ved ISA.
Mellem 25 oktober og November 6, omkring 120.000 mennesker havde opdateret deres ID-kort, 92,000 af dem eksternt.
Selv om en større krise er blevet afværget, og i henhold til ISA, ingen tilfælde af e-identitet tyveri har fundet sted, er det svært at vurdere skader på omdømme af Estlands e-tilstand.
Men på trods af ID-kortet krise, estisk borgernes tillid i deres land, e-tilstand tilsyneladende stadig er stærk.
I begyndelsen af oktober, en måned efter den teoretiske sårbarhed blev annonceret af regeringen, en ny rekord blev sat i den kommunale valg i Estland. Af de i alt 582,542 stemmer, 186,034 blev kastet online.
En estisk smart ID-kort.
Billede: Wikipedia
Tidligere og relaterede dækning
Android -, iOS-secure ID: Estland siger, at det tager digital godkendelse til nye niveauer
I begyndelsen af næste år, Estland ruller ud sit nye Smart-ID, digital identity system, som ikke er afhængig af et SIM-kort og kan bruges i hele verden.
Estland har 1,3 millioner mennesker: Her er hvordan det har planer om at få 10 millioner e-residenter i 2025
Lidt over to år til sin plan om at tilbyde folk, der ikke estiske statsborgere eller hjemmehørende i en digital identitet, Estland ser fintech og blokkæden tjenester, som vejen til at nå sine ambitiøse mål.
DET leader ‘ s guide til at reducere insider sikkerhedstrusler [Tech Pro Forskning]
Denne bog tilbyder et kig på, hvor de risici, der er løgn, og hvad du kan gøre for at mindske dem.
Relaterede Emner:
Bank
Sikkerhed-TV
Data Management
CXO
Datacentre
0