Arnis Paršovs: pangad ei kasuta Smart-ID õngitsusrünnete vastaseid meetmeid

Mõned nopped:
"Smart-ID peamine turvanõrkus seisneb selles, et selle ohutus sõltub täielikult kasutajate võimest tunda ära õngitsuslehti või kontrollida helistaja isikut. Enamik inimesi ei suuda seda usaldusväärselt teha. Aastakümnete jooksul tehtud uurimistööd on näidanud, et keskmise kasutaja suutlikkus tuvastada õngitsuslehti on lähedane juhuslikule äraarvamisele ning isegi tehniliselt pädevad kasutajad langevad sageli hästi koostatud pettuste ohvriks. Ometi eiratakse seda reaalsust Smart-ID turvalisuse aruteludes suuresti.

Pangad hoiatavad kliente Smart-ID päringute kinnitamise eest kahtlaste kõnede ajal, samal ajal kui nende enda klienditeenindus kasutab klientide tuvastamiseks täpselt sama meetodit. Kuidas peaksid kasutajad aru saama, miks on see ühel juhul vastuvõetav, kuid teisel mitte? Päriselus ei ole pärast enda tuvastamist võõrale isikule tal võimalust meid pangas esindada, kuid Smart-ID puhul see just juhtub.

Avalikkuse ees kipuvad pangad käsitlema õngitsust samas kategoorias pettustega, mis ei seisne tehnoloogilistes nõrkustes, nagu näiteks investeerimis- või romantikapettused, ning käituma justkui ei saaks nad teha muud kui ohvreid kaastundlikult kuulata ja soovitada neil edaspidi "ettevaatlikum olla". See ei vasta tõele.

Kuigi pangad kinnitavad avalikult, et klientide kaitsmine pettuste eest on neile väga oluline, tasub küsida, miks suurtest Eesti pankadest on ainult LHV kasutusele võtnud Smart-ID turvameetme, mis nõuab kasutajalt õige kontrollkoodi valimist mitme variandi seast. Põhjus on lihtne, teised pangad peavad isegi minimaalseid lisaturvameetmeid klientide jaoks lubamatuks ebamugavuseks, mis võib kahjustada nende konkurentsivõimet.

Tegelikkuses saaksid pangad teha palju rohkem pettuste ennetamiseks ja varajaseks tuvastamiseks. Pangad töötlevad tohutul hulgal andmeid, mille abil oleks võimalik tuvastada kahtlast tegevust internetipanganduses – uued seadmed või ebatavalised asukohad, makselimiitide muutmised, ebatüüpilised tehingud, ligipääs riigist, mis erineb Smart-ID seadme asukohast, IP-aadresside maine jne. Ometi puuduvad avalikud tõendid selle kohta, et pangad neid võimalusi sisuliselt rakendaksid. Ja miks nad peaksidki, kui kahjud jäävad klientide, mitte pankade kanda?

Vastutusest rääkides väidavad pangad, et ohvrid peavad kandma täielikku vastutust petturlike Smart-ID PIN2 maksepäringute kinnitamise eest eirates asjaolu, et turvarike toimub enne PIN2 kinnitust, nimelthetkel, kui pank annab petturile ligipääsu ohvri internetipangakontole. Just see ligipääs võimaldab petturil üldse esitada ohvri seadmesse petturliku PIN2 maksepäringu.

Sisuliselt on Smart-ID kiire edu suurel määral rajatud õngitsusohvrite kannatustele, kes on kandnud mugavusele orienteeritud turvamudeli kulud. Mugavatel makselahendustel on oma koht, kuid pankade kohustus on arvestada vastavate tehnoloogiariskidega ja rakendada kaitsemeetmeid, nagu nad teevad viipemaksete puhul, millele kehtib 50-eurone tehingulimiit.

Probleem ei piirdu üksnes Smart-ID autentimisprotsessi puudulikus kindluses õngituspettustele. Viimasel ajal on petturid hakanud ära kasutama ka nõrkusi Smart-ID väljastamise protsessis. Vastutus selle eest, et elektroonilised identiteedivahendid jõuaksid üksnes nende õiguspäraste omanike kätte, lasub eelkõige Smart-ID teenusepakkujal SK-l."