Kristofers Everts, Bigbank krāpšanas apkarošanas nodaļas vadītājs uzskata, ka ir reāls veids, kā ātri un efektīvi ierobežot digitālās krāpšanas iespējas attiecībā uz Igaunijas pilsoņiem un uzņēmumiem – tam ir nepieciešams nekavējoties izbeigt situāciju, kad Smart-ID, kas kļuvis par dominējošo autentifikācijas metodi tirgū, var izveidot jebkuram cilvēkam bez viņa zināšanas.
Šodien ir izveidojusies interesanta situācija, kad, lai izveidotu cilvēkam unikālu Smart-ID, nav nepieciešama viņa sejas atpazīšana un salīdzināšana ar attēlu spēkā esošajā personu apliecinošajā dokumentā, kas atvieglo dzīvi noziedzniekiem un veicina krāpšanas plašu izplatību.
Kā piemēru, kas izskaidro izveidojušos situāciju, Kristofers Everts min nesenu gadījumu, kas publicēts Policijas un robežapsardzes departamenta operatīvajā pārskatā 5. decembrī – krāpšanas rezultātā, izmantojot citu personu maksāšanas līdzekļus, personai tika nodarīts zaudējums 73 000 eiro apmērā. „No cietušā personīgā bankas konta un viņam piederošā uzņēmuma bankas konta uz dažādiem bankas kontiem tika veikti vairāki naudas pārvedumi, kurus cietušais nebija iniciējis un apstiprinājis. Turklāt cietušajam bez viņa zināšanas tika izveidots jauns Smart-ID konts, kura atvēršanu viņš nebija iniciējis un neuzdeva,” – objektīvi ziņoja policijas hronika par incidenta faktiem.
Sīkumi ir ļoti svarīgi, un šajā gadījumā, pēc Everta teiktā, problēma ir tāda, ka pat ja cilvēku vienu reizi ar viltu piespieda pa tālruni vai e-pastu paziņot savas ID kartes vai Mobiil-ID PIN kodus, noziedznieki nevarēs tos atkārtoti izmantot darījumu veikšanai, jo katru reizi uz cilvēka tālruni tiek nosūtīts attiecīgs paziņojums un apstiprinājuma pieprasījums. „Tomēr, ja noziedznieki izmanto šos vienreiz ar viltu iegūtos PIN kodus, lai bez upura zināšanas izveidotu Smart-ID, šī autentifikācijas metode būs saistīta tikai ar noziedznieka rīcībā esošo sakaru ierīci. Šādā gadījumā krāpnieki varēs veikt jebkuras transakcijas, un cietušais nesaņems nekādus paziņojumus,” — norādīja Evert. Ja Smart-ID ir izveidojis noziedznieks un ar to saistītā sakaru ierīce atrodas viņa rokās, viņš to var izmantot, lai vairākkārt ieietu internetbankā, palielinātu maksājumu limitus vai izņemtu skaidru naudu, saņemtu kredītus, veiktu maksājumus no upura konta utt. Tādā pašā veidā var piekļūt valsts datu bāzēm un vākt konfidenciālu informāciju par personu vai upura vārdā un uz viņa rēķina darīt visu, ko piedāvā mūsdienu digitālā pasaule — no pirkumiem internetveikalos līdz dažādu pakalpojumu pasūtīšanai vai sociālo petīciju parakstīšanai utt.
Kristofers Everts norāda, ka Smart ID atšķiras no citām atzītām autentifikācijas metodēm ar to, ka, izsniedzot gan fizisku identitāti apliecinošu ID karti, gan mobilo identifikācijas kodu Mobiil -ID izsniegšanas gadījumā gan policijas un robežapsardzes departaments, gan telekomunikāciju uzņēmums identificē personu un pārbauda, vai vērtīgās informācijas saņēmējs patiešām ir tas, par ko izliekas, kā arī to, vai viņa dokumenti ir kārtībā un derīgi. Savukārt Smart ID gadījumā personas identifikācija vai pārbaude netiek veikta — pietiek, lai persona, kas ierosina tā izveidi, zinātu personas personīgo kodu un tālruņa numuru, pēc kā tā vienreiz var panākt, ka apkrāptais cilvēks vai nu atklāj savus PIN kodus krāpniekam, vai, piemēram, telefoniskas sarunas laikā sagatavotu upuri brīdim, kad viņa pati ievadīs kodus, atbildot uz ienākošo ziņojumu.
„Smart-ID problēma atspoguļo mūsdienu digitālās pasaules pretrunu: pakalpojumi un produkti ir jāoptimizē, lai tie efektīvi darbotos, jo vienkārša lietošana un plaša izplatība bieži tiek panākta, upurējot kaut ko svarīgu, šajā gadījumā — drošību. Kā digitāla valsts un tās pilsoņi mēs vēlamies, lai galalietotājam viss būtu ērti un ļoti ātri darbotos, bet tas var būt saistīts ar riskiem un neaizsargātību. Tagad, kamēr vēl nav par vēlu, ir pienācis laiks sākt labot pieļautās kļūdas,” uzskata Evert. Pēc viņa teiktā, Smart-ID ir ļoti nepieciešams, un no tā nevar atteikties, jo nav labāka aizstājēja: „Tomēr, protams, šim pakalpojumam var pievienot dažas papildu drošības prasības, piemēram, Smart-ID plus pašlaik atrodas testēšanas stadijā, kas jau ir solis risinājuma virzienā, bet vēl neatrisina fundamentālo problēmu.”
Estonijas kontekstā svarīga nozīme ir arī, piemēram, vēlēšanu un elektroniskās balsošanas organizēšanai, kur, pēc Everta teiktā, var būt daudz risku, kas saistīti ar Smart-ID. „Analizējot pašreizējo praksi, var teikt, ka noziedznieki vai naidīgas valstis ar salīdzinoši nelielām pūlēm un ieguldījumiem var ģenerēt lielu skaitu balsu par labu vienam vai otram kandidātam. No cilvēkiem, kam ir balsstiesības, ar viltu tiek pārņemta viņu digitālā identitāte, tiek izveidots Smart-ID, un viņi vai nu slepeni balso par to, kurš neplānoja piedalīties vēlēšanās, vai, piemēram, elektroniskās balsošanas pēdējā dienā nozagtais balsojums tiek mainīts par labu politiķim, kuru izvēlas krāpnieki,” — paskaidroja Evert, kāds ir hipotētiskais risks drošībai.
