Christopher Evert, Bigbankin petosten torjunnan osaston johtaja, uskoo, että on olemassa todellinen keino rajoittaa nopeasti ja tehokkaasti digitaalisen petoksen mahdollisuuksia Viron kansalaisten ja yritysten osalta. Tätä varten on välittömästi lopetettava se, että Smart-ID, josta on tullut markkinoiden hallitseva tunnistautumismenetelmä, voidaan luoda kenelle tahansa henkilölle tämän tietämättä.
Nykyään on syntynyt mielenkiintoinen tilanne, jossa henkilön ainutlaatuisen Smart-ID:n luomiseen ei tarvita hänen kasvojensa tunnistamista ja vertailua voimassa olevan henkilöllisyystodistuksen kuvaan, mikä helpottaa rikollisten toimintaa ja edistää petosten leviämistä.
Esimerkkinä tilanteesta Christopher Evert mainitsee äskettäisen tapauksen, joka julkaistiin poliisi- ja rajavartiolaitoksen operatiivisessa raportissa 5. joulukuuta: vieraan maksuvälineen avulla tehdyn petoksen seurauksena henkilölle aiheutui 73 000 euron vahingot. ”Uhrin henkilökohtaiselta pankkitililtä ja hänen yrityksensä pankkitililtä tehtiin useita rahansiirtoja eri pankkitileille, joita uhri ei ollut aloittanut eikä vahvistanut. Lisäksi uhrille luotiin hänen tietämättään uusi Smart-ID-tili, jonka avaamista hän ei ollut aloittanut eikä pyytänyt”, kerrottiin puolueettomasti poliisin kronikassa tapahtuman tosiseikoista.
Paholainen piilee yksityiskohdissa, ja tässä tapauksessa, Evertin mukaan, ongelmana on se, että vaikka henkilö on kerran huijattu ilmoittamaan puhelimitse tai sähköpostitse ID-korttinsa tai Mobiil-ID:n PIN-koodit, rikolliset eivät voi käyttää niitä myöhemmin toistuvasti transaktioiden suorittamiseen, koska joka kerta henkilön puhelimeen lähetetään vastaava ilmoitus ja vahvistuspyyntö. „Jos rikolliset kuitenkin käyttävät näitä kerran huijauksella saatuja PIN-koodeja luodakseen uhrin Smart-ID:n tämän tietämättä, tämä todennusmenetelmä liittyy vain rikollisen hallussa olevaan viestintävälineeseen. Tällöin huijarit voivat suorittaa mitä tahansa transaktioita, eikä uhri saa mitään ilmoituksia“, Evert totesi. Jos rikollinen on luonut Smart-ID:n ja hänellä on hallussaan siihen liittyvä viestintäväline, hän voi käyttää sitä useita kertoja kirjautuakseen verkkopankkeihin, korottaakseen maksurajoja tai nostaakseen käteistä, saadakseen luottoja, suorittaakseen maksuja uhrin tililtä jne. Vastaavalla tavalla voidaan kirjautua kansallisiin tietokantoihin ja kerätä luottamuksellista tietoa henkilöstä tai tehdä uhrin nimissä ja kustannuksella kaikkea, mitä moderni digitaalinen maailma mahdollistaa – ostoksia verkkokaupoista erilaisten palveluiden tilaamiseen tai sosiaalisten vetoomusten allekirjoittamiseen jne.
Christopher Evert huomauttaa, että Smart ID eroaa muista tunnustetuista todennusmenetelmistä siinä, että sekä fyysisen henkilöllisyystodistuksen ID-kortin että mobiilisten tunnistuskoodien Mobiil -ID:n myöntämisen yhteydessä poliisi- ja rajavartiolaitos tai teleyritys tunnistavat henkilön ja tarkistavat, onko arvokkaan tiedon vastaanottaja todella se, kuka hän väittää olevansa, ja että hänen asiakirjansa ovat kunnossa ja voimassa. Smart ID:n tapauksessa henkilökohtaista tunnistamista tai tarkistusta ei suoriteta – riittää, että sen luomisen aloittanut henkilö tietää henkilön henkilökohtaisen koodin ja puhelinnumeron, minkä jälkeen hän voi kerran saada huijattavan henkilön antamaan PIN-koodinsa huijarille tai esimerkiksi valmistella uhria puhelinkeskustelun aikana siihen hetkeen, kun hän itse syöttää koodit vastauksena saapuvaan viestiin.
„Smart-ID:n ongelma heijastaa nykyisen digitaalisen maailman ristiriitaa: palvelut ja tuotteet on optimoitava tehokasta toimintaa varten, sillä helppokäyttöisyys ja laaja levinneisyys saavutetaan usein jonkin tärkeän asian, tässä tapauksessa turvallisuuden, kustannuksella. Digitaalisena valtiona ja sen kansalaisina haluamme, että loppukäyttäjälle kaikki on kätevää ja toimii erittäin nopeasti, mutta tämä voi aiheuttaa riskejä ja haavoittuvuutta. Nyt, ennen kuin on liian myöhäistä, on aika alkaa korjata tehdyt virheet”, Evert katsoo. Hänen mukaansa Smart-ID on erittäin tarpeellinen, eikä siitä voi luopua, koska sille ei ole parempaa vaihtoehtoa: ”Tähän palveluun voidaan kuitenkin ehdottomasti lisätä joitakin lisävaatimuksia turvallisuuden osalta. Esimerkiksi Smart-ID plus on nyt testausvaiheessa, mikä on jo askel kohti ratkaisua, mutta ei vielä ratkaise perustavanlaatuista ongelmaa.”
Estonian kontekstissa tärkeää on myös esimerkiksi vaalien ja sähköisen äänestyksen järjestäminen, jossa Evertin mukaan Smart-ID:hen voi liittyä monia riskejä. ”Nykyistä käytäntöä analysoimalla voidaan sanoa, että rikolliset tai vihamieliset valtiot voivat suhteellisen pienellä vaivalla ja investoinneilla tuottaa suuren määrän ääniä tietyn ehdokkaan hyväksi. Äänioikeutetuilta ihmisiltä varastetaan petollisesti heidän digitaalinen identiteettinsä, luodaan Smart-ID-tunnukset, ja he joko äänestävät salaa henkilöä, joka ei aikonut osallistua vaaleihin, tai esimerkiksi sähköisen äänestyksen viimeisenä päivänä varastetut äänet vaihdetaan niiden poliitikkojen hyväksi, joita huijarit suosivat”, Evert selitti, mikä on hypoteettinen turvallisuusriski.
