Skandal w Estonii, który doprowadził do zablokowania elektronicznych dowodów osobistych ponad połowy populacji, wywołał pytania o granice cyfryzacji państwa i związane z tym zagrożenia. – System e-dowodów to nie tylko plusy, ale także pewna nasza słabość – przyznał szef MSW Estonii Andres Anvelt. Dotychczas Tallinn był w tej dziedzinie wzorem dla świata. "Jak myślicie, który kraj będzie chciał zhakować następne wybory w Estonii?" – pytał retorycznie na swoim blogu Bruce Schneier, amerykański ekspert do spraw cyberbezpieczeństwa, po wybuchu skandalu.
Pierwsze sygnały, że z e-dowodami może być coś nie tak, pojawiły się w sierpniu. Grupa czeskich naukowców poinformowała o luce, która mogła ułatwić hakerom dostęp do baz danych i grozić kradzieżą tożsamości. Narażonych było 760 tys. mieszkańców tego 1,3-mln kraju. Estońskie e-dokumenty służą nie tylko do identyfikacji tożsamości, ale i głosowania w wyborach przez internet, realizacji usług bankowych i recept w aptekach, rozliczania się z fiskusem, a nawet kodowania biletów autobusowych w Tallinnie i Tartu.
Władze zapewniały, że wszystko jest pod kontrolą, jednak widać zmieniły zdanie, bo na początku listopada podjęły decyzję o tymczasowym zablokowaniu zagrożonych e-dowodów. "Realność ryzyka jest tym większa, że nie dotyczy tylko estońskich dowodów, ale i innych systemów, które wykorzystują czipy tego producenta. To wzbudziło zainteresowanie międzynarodowych grup cyberprzestępczych" – pisał Kaspar Korjus, jeden z menedżerów systemu e-dowodów. Szef MSW mówił wczoraj "Postimeesowi", największemu estońskiemu dziennikowi, że podobny problem z czipami tego producenta, choć na mniejszą skalę, mają Austria, Hiszpania i Słowacja.
– Nie znamy przypadków kradzieży tożsamości. Blokując e-dowody, zapewniliśmy bezpieczeństwo ich posiadaczom – uspokajał premier Jüri Ratas. Tymczasem Anvelt zapowiedział, że rząd zamierza pozwać producenta czipów, mający siedzibę w Holandii koncern Gemalto. Z rzecznikiem firmy nie udało nam się skontaktować. – Producent przy najmniejszym podejrzeniu ryzyka powinien poinformować naszą policję. Nie zrobił tego – mówił Anvelt. – Przez 14 lat wdrażania e-dowodów nie mieliśmy takiego problemu, jak obecnie. Ale i nie ma powodów do takiej paniki, jaką obserwujemy – dodawał szef MSW i zapewniał, że problemy zostaną rozwiązane w ciągu dwóch, trzech tygodni.
Skandal zbiegł się z ujawnioną przez estoński kontrwywiad KaPo próbą przeniknięcia współpracownika Federalnej Służby Bezpieczeństwa Rosji do systemów teleinformatycznych kraju. Służby nie mają dowodów, by te dwie afery były ze sobą związane, choć obie pokazują ryzyka związane z cyfryzacją państwa. W miniony weekend na przejściu granicznym w Narwie został zatrzymany młody Rosjanin. Jak pisze "Postimees", mężczyzna przebywał na terenie kraju legalnie. KaPo twierdzi, że przed przyjazdem do Estonii otrzymał instrukcje od FSB.
Rosjanin miał wykryć słabe punkty estońskiej infrastruktury teleinformatycznej. W tym celu miał korzystać nie tylko z własnej wiedzy w dziedzinie IT, by próbować wejść do wewnętrznych sieci i baz danych urzędów, ale i werbować pracowników instytucji, którzy mieli do nich dostęp. "Postimees" pisze, że zatrzymany wziął na celownik wojskowe kanały łączności, a nawet medyczne bazy danych, których informacje pomagałyby służbom w opracowywaniu metod werbunku interesujących je obywateli Estonii.
KaPo zapewnia, że miało szpiega pod kontrolą, dzięku czemu nie zdołał wyrządzić poważniejszych szkód. W poniedziałek sąd prowincji Harjumaa zgodził się na areszt Rosjanina. Mężczyzna usłyszał zarzuty szpiegostwa i przygotowywania cyberprzestępstw. Grozi mu 15 lat więzienia. – Gdyby hakował sieci z terytorium Rosji, FSB w razie wpadki trudno byłoby się bronić. A skoro próbował to zrobić jako turysta na naszym terenie, FSB może udawać, że nic nie wiedziała – mówił dziennikarzom anonimowy ekspert do spraw wywiadu.
Estonia od lat przoduje w dziedzinie digitalizacji usług państwowych. Obecne afery to nie pierwszy problem z tym związany. W 2007 r., gdy władze zdemontowały sowiecki pomnik w centrum Tallinna, rosyjscy hakerzy w odwecie sparaliżowali działalność systemów informatycznych banków i innych miejscowych instytucji. W reakcji Sojusz Północnoatlantycki powołał natowskie Centrum Doskonalenia Obrony Cybernetycznej z siedzibą w Tallinnie.