Language switcher

Вы здесь

Дополнительное пояснение RIA по поводу кражи данных

Люди, чьи фотографии документов были незаконно скачаны, не должны оформлять новые документы и делать новую фотографию. Инцидент не повлиял на работу ID-карты, Mobiil- и Smart-ID, а также на работу э-услуг.

Департамент государственной инфосистемы (RIA) вместе с Департаментом полиции и погранохраны сегодня рано утром разослали людям, чьи фотографии с документов были незаконно скачаны, извещение на адрес электронной почты, указанный на государственном портале eesti.ee. Многие люди, получившие извещение, были необоснованно обеспокоены и спрашивали, каким образом на них повлияет кража данных, что они могут сделать для своей защиты и сделали ли они сами что-то неправильно. Ситуация по понятным причинам необычная и вызывает вопросы и замешательство.

«Подтверждаю, что ни один человек, чья фотография была незаконно скачана, не сделал ничего, что этому способствовало. Кража данных стала возможной вследствие умелых действий злоумышленника и уязвимости системы безопасности в одной из услуг RIA. Мы устранили слабое место в системе и пресекли действия хакера сразу после обнаружения инцидента. В профилактических целях мы проверили и другие аналогичные услуги. Нам известно, что данные не были переданы дальше, то есть злоумышленник не успел их передать со своего компьютера. Мы понимаем, что причинен ущерб, и я не желаю уходить от ответственности. Под ответственностью я подразумеваю, что мы приведем системы в порядок и улучшим их, чтобы исключить в будущем подобные атаки. Приношу всем свои извинения, что в нашей услуге нашлась уязвимость и мы не обнаружили ее раньше», – сказал генеральный директор RIA Маргус Ноормаа.

Незаконное скачивание фотографий документов не повлияло на работу ID-карты, Mobiil-ID и Smart-ID. Все государственные э-услуги продолжают работать без перебоев и по-прежнему остаются надежными, поскольку на основании фотографии, личного кода и имени невозможно войти в э-услуги, поставить цифровую подпись и проводить различные финансовые операции (в т. ч. банковские переводы, нотариальные сделки и т. д.). Люди, чья фотография вместе с именем и фамилией, а также личным кодом находилась во владении подозреваемого, не должны ходатайствовать о новом документе или делать новую фотографию на документ. Все удостоверяющие личность документы и фотографии продолжают действовать.

По первоначальной оценке полиции, полученные описанным способом данные не были переданы или использованы в корыстных целях. Если человек подозревает, что его данные незаконно использовались, об этом следует сообщить в полицию.

Пресс-релиз, 28.07.2021: Департамент государственной инфосистемы и Департамент полиции и погранохраны остановили незаконное скачивание данных

Часто задаваемые вопросы

Были ли украдены мои данные?

Всем, чья фотография с документа вместе с личным кодом и именем была украдена, государство отправит извещение через государственный портал на указанный в системе личный адрес электронной почты. Комплект данных, который оказался в руках злоумышленника, содержит фотографию с документа, имя, фамилию и личный код.

Если я не получил от PPA уведомления, то как я могу быть уверен, что моя фотография не была скачана?

Всем, чья фотография с документа была незаконно скачана, Департамент полиции и погранохраны (PPA) отправил уведомление (эл. письмо) на указанный на государственном портале eesti.ee адрес электронной почты. Если Ваш адрес @eesti.ee не перенаправлен или Вы больше не используете адрес электронной почты, на который перенаправляются письма, поступающие на адрес @eesti.ee, то Вы можете войти на государственный портал eesti.ee и посмотреть почтовый ящик входящих писем.

Как я узнаю, не украл ли хакер фотографии документов моих несовершеннолетних детей?

Всем, чьи фотографии документов были украдены, в том числе несовершеннолетним, мы отправили извещение на адрес электронной почты, указанный в государственном портале. Это означает, что если зайти в государственный портал с учетной записью ребенка, то там можно увидеть, получил ли ребенок данное извещение.

На мой адрес электронной почты перенаправляются и адреса eesti.ee моих детей. Как я узнаю, чья фотографию с документа была украдена?

Личный код, указанный в строке получателя эл. письма, показывает, кому отправлено письмо. письмо отправляется на адрес личный_код@eesti.ee того человека, фотография с документа которого была украдена.

Что я должен делать, если выяснится, что мои данные были украдены?

Нничего не нужно делать. На основании имеющейся информации мы знаем, что данные не были переданы с компьютера подозреваемого. Таким образом, имеется основание полагать, что этими данными больше не злоупотребляли.

В случае, если эти данные все же были переданы, следует учитывать возможность, что набор из фотографии, имени и личного кода можно использовать для того, чтобы создать элементарный поддельный документ (без защитных элементов). Возможно, что такой документ можно использовать, например, для получения некоторой услуги, где идентификация человека производится на основании фотографии (например, аренда автомобиля и/или велосипеда). Такие услуги, скорее, используются за границей. Возможно создать, например, фальшивые учетные записи в социальных сетях. Внимание! Если у вас имеется подозрение, что кто-то использовал ваши данные перечисленными способами, сообщите об этом в полицию.

Важно помнить, что кража этих данных не оказывает влияния на функционирование ID-карты, Mobiil-ID и Smart-ID. Также действуют все удостоверяющие личность документы, в том числе те, фотографии которых были незаконно загружены из базы данных. На основании фотографии с документа, личного кода и имени невозможно войти в э-услуги, поставить цифровую подпись и тем самым совершать различные финансовые операции (в т. ч. банковские переводы, сделки купли-продажи, нотариальные сделки и т. д.). Люди, у которых заимствовали фотографию с документа, не должны ходатайствовать о новом физическом или цифровом документе (паспорт, ID-карта, вид на жительство, Mobiil- и Smart-ID и др.) и делать новую фотографию на документ. Все удостоверяющие личность документы и фотографии продолжают действовать.

Как злоумышленник получил доступ к моим данным (фотографии, личному коду и имени)?

Для загрузки фотографий с документов злоумышленник должен был знать имя и личный код человека. Несмотря на то, что это публичные данные, то есть доступны из различных открытых баз данных, точное происхождение данных и мотивы злоумышленника выяснит следствие. С помощью имени и личного кода злоумышленнику удалось подделать сертификат человека так, что система посчитала, что фотографию желает загрузить сам человек, а не злоумышленник. RIA выявил ошибку в системе и устранил ее. На сегодняшний день такую манипуляцию провести больше не получится.

Откуда хакер получил мое имя и личный код?

Злоумышленник должен был заранее знать имя и личный код человека, с помощью которых можно было создать у системы впечатление, что человек сам желает загрузить свою фотографию. Происхождение данных (имя и личный код), оказавшихся в руках хакера, выяснится в ходе уголовного производства. Имя и личный код не являются данными деликатного характера, это обычные данные и по запросу доступны в различных базах данных (например, коммерческий регистр, крепостная книга и т. п.).

Кто и по какой причине захотел получить мои данные?

Полиция задержала одного гражданина Эстонии, через компьютер которого была совершена кража. Действовал ли этот человек в одиночку, какие были его цели и что он хотел сделать с данными — выяснит следствие.

Для чего хакеру были нужны эти фотографии? Для каких схем мошенничества можно было бы использовать такой комплект данных?

Мотивы хакера выяснятся в ходе уголовного производства.

Фото, имя и фамилию, а также личный код можно, конечно, использовать, чтобы создать какой-либо примитивный поддельный документ без элементов безопасности, но это можно сделать и с любой фотографией. На основании фотографии с документа, личного кода и имени с фамилией в Эстонии невозможно войти в э-услуги, поставить цифровую подпись и совершать различные финансовые операции (в т. ч. банковские переводы, сделки купли-продажи, нотариальные сделки и т. п.).

Имеются услуги, где человек идентифицируется на основании его фотографии (ряд услуг по аренде автомобилей или велосипедов), но и в случае таких услуг изображение лица самого человека сравнивается с его фотографией в документе, а не с фотографией в базе данных. Таким образом, и в этом случае маловероятно, что украденная фотография с документа использовалась бы в попытке мошенничества. Однако если у Вас имеется подозрение, что кто-то использовал Ваши данные перечисленными способами, обязательно сообщите об этом в полицию.

Кража фотографии с документа не повлияла на функционирование ID-карты, Mobiil-ID и Smart-ID. Также действуют все удостоверяющие личность документы, в том числе те, фотографии которых были незаконно загружены из базы данных.

Совершал ли кто-то еще кражу данных жителей Эстонии подобным способом из-за ошибки в системе?

Согласно имеющейся информации, у нас нет основания полагать, что нечто подобное было совершено ранее, но мы проверим эту информацию.

Как долго функционировала столь неисправная система, пока это не было обнаружено?

Хотя данное решение было создано уже с ошибкой несколько лет назад, на основании проведенных проверок и имеющейся информации нет основания полагать, что такая атака на систему удалась бы ранее.

Оплатит ли государство замену документа, если я оформлю сейчас новый удостоверяющий личность документ?

В связи с этой кражей данных нет необходимости в оформлении новых документов, и новые документы государство не возместит. Если Вы желаете заменить свои документы, то это можно сделать в Департаменте полиции и погранохраны, самостоятельно оплатив замену документов.

Если бы хакер перед задержанием успел кому-нибудь передать данные, то в этом случае тоже не понадобилось бы заменять документы, поскольку на основании попавших к злоумышленнику данных (фотография с документа, имя и фамилия, личный код), невозможно войти ни в одну государственную э-услугу, банк, заключать нотариальные и иные финансовые сделки.

Как узнать, какие данные обо мне имеются у государства?

У государства нет единой большой базы данных, в которую были бы сведены все данные, касающиеся граждан. У каждого учреждения имеются по гражданину только те данные, которые необходимы для работы учреждения (напр., база данных удостоверяющих личность документов у полиции, регистр работников у Налогово-таможенного департамента и т. д.).

Если гражданин желает знать, какие данные о нем имеются у государства, следует обратиться отдельно в конкретное учреждение и запросить, какие личные данные это учреждение обрабатывает. Кроме того, на государственном портале можно использовать приложение по мониторингу данных, которое позволяет видеть, кто запрашивал Ваши данные в разных базах данных.

Такой т. н. принцип разделения данных соблюдается по соображениям безопасности. Таким образом из-за уязвимости в системе безопасности или в случае другого иного инцидента невозможно будет получить доступ сразу ко всем данным. Именно из-за такой системы злоумышленник в результате этой кражи данных получил только фотографии с документов, а не иные (в то числе более деликатные) данные из документов.

Как будет гарантировано, что данные в дальнейшем будут храниться безопасно?

Собственники и ответственные лица всех баз данных ежедневно работают над повышением безопасности своих систем. Личные данные жителей Эстонии в разных базах данных рассредоточены, чтобы у потенциального злоумышленника не было возможности получить их все сразу. От доступа к данным остаются цифровые следы, и по этим следам как раз и можно обнаружить нарушения.

Нужно ли мне подавать в полицию заявление о виновном деянии?

Ни один человек, фотография которого была незаконно скачана из базы данных, больше не должен отдельно уведомлять об этом полицию. Для выяснения обстоятельств незаконного скачивания фотографий с документов полиция начала уголовное производство сразу, как был обнаружен инцидент.

Если у Вас возникло подозрение, что ввиду скачивания фотографии с документа Ваши данные каким-либо образом были неправомерно использованы, например, с использованием Ваших имени и фамилии, личного кода и фотографии был создан фальшивый документ, поддельная учетная запись в социальный сетях или Ваша личность была украдена иным образом, тогда в полицию необходимо обратиться с заявлением о виновном деянии. Если кража личности произошла в другом государстве, заявление следует подать в полицию этого государства. На данный момент у полиции нет оснований полагать, что подозреваемый злонамеренно использовал или передавал скачанные данные. Если в ходе производства по делу полицией будет установлено, что данные были переданы, то об это будет сообщено отдельно.

Как государство поможет мне, если выяснится, что с моей фотографией документа пытались провести махинации?

При попытках мошенничества каждый случай следует рассматривать отдельно. Кража личности является преступлением, и при подозрении следует подать заявление о правонарушении в полицию ». Если кража личности произошла в другом государстве, то заявление следует подать в полицию этого государства.

Почему хакер находится на свободе?

Полиция и прокуратура принимают решение о задержании под стражей в соответствии с законом. На основании собранной полицией информации лицо действовало в одиночку, и при обыске не было признаков того, что лицо будет уклоняться от дальнейшего расследования. Прокуратура приняла решение, что содержание под арестом не требуется.

Кто отвечает за возникновение такой ситуации?

Хакер получил доступ к фотографиям из-за того, что в услуге под управлением RIA имелась уязвимость. Мы приносим за это свои извинения. Уязвимости постоянно обнаруживаются и устанавливаются. Благодаря принципу рассредоточения при сборе данных жителей Эстонии хакер не смог получить доступ ко всем данным из документов, а только лишь к фотографиям документов. Хотя уязвимость имелась в управляемой RIA услуге, за ее использование, то есть за кражу данных, ответственность несет злоумышленник.

Могу ли я потребовать от RIA возмещение ущерба?

Предпосылкой требования возмещения ущерба является факт причинения ущерба лицу. Пострадавший должен в состоянии доказать причинение ущерба. Кроме того, ущерб должен возникнуть напрямую в результате действий или бездействия RIA с нарушением закона. Предпосылкой возмещения ущерба является также то обстоятельство, что невозможно было избежать ущерба или устранить его защитой или восстановлением прав. В данном случае действия хакера были остановлены, выявленная уязвимость в системе безопасности устранена и личность хакера идентифицирована, и RIA принес извинения людям, которых коснулась кража данных. Кроме того, данные не были переданы с компьютера хакера, поэтому риск дальнейшего распространения данных отсутствует. В связи с этим, по оценкам RIA, нет оснований взыскивать денежную компенсацию за возмещение неимущественного ущерба.

Если вы всё же сочтете, что RIA противоправно причинил Вам имущественный ущерб, или если порог причиненного неимущественного ущерба оправдывает денежное возмещение ущерба, то вы имеете право подать ходатайство о возмещении ущерба в Департамент государственной инфосистемы по адресу эл. почты help [at] ria.ee или подать жалобу в суд.

Если Вы не нашли ответа на свой вопрос, напишите, пожалуйста, по адресу help [at] ria.ee.

Еще новости по той же теме

25.08.2021

В июле RIA зафиксировал 111 весомых киберинцидентов

25.08.2021 – В прошлом месяце Департамент государственной инфосистемы (RIA) зарегистрировал более ста серьезных инцидентов. Два из них были связаны с собственными услугами RIA. В международном плане серьезное влияние оказала атака на американскую ИТ компанию Kaseya.

28.07.2021

Департамент государственной инфосистемы и Департамент полиции и погранохраны остановили незаконное скачивание данных

28.07.2021 – Эксперты Департамента государственной инфосистемы (RIA) остановили массовое скачивание фотографий с документов из базы данных удостоверяющих личность документов. Утечка стала возможной из-за уязвимости услуги по передаче фотографий, находящейся под управлением RIA. Полиция задержала подозреваемого и для выяснения обстоятельств произошедшего начала уголовное производство.