Швеция пересмотрит безопасность своих е-паспортов

Вопросами безопасности национальной пластиковой ID-карты озаботились ИТ-директоры трех подразделений правительства Швеции – Национального агентства социального страхования, Центрального комитета студенческих грантов и Службы занятости. Все эти ведомства регулярно сталкиваются в своей работе с необходимостью проверки паспорта.

Три организации обратились к представителям MSB с просьбой внимательно проверить безопасность технологий, лежащих в основе национальной ID-карты. Агентство социального страхования уже обращалось с аналогичной просьбой к руководителям комитета e-ID, однако ответа не добилось.

«У нас есть достаточно много открытых вопросов, на которые нам требуется ответ, поэтому мы пригласили третью нейтральную сторону в качестве наблюдателя», - заявил Петер Салин (Peter Sahlin), руководитель отдела страхования бизнеса при национальной страховой службе.

Так, государственная служба страхования обеспокоена тем, что архитектура карт е-ID, на которые постепенно заменяют в стране «бумажные» паспорта, гораздо более уязвима, чем аналогичные архитектуры, использующиеся частным сектором. Беспокойство вызывает тот факт, что система паспортов управляется централизованно, благодаря чему она может быть подвержена DDoS-атакам.

Кроме того, ID-карта открывает возможности для мошенничества с использованием персональных данных владельца, которые в Швеции, согласно национальной идее открытости информации, можно запросить в социальной службе, сделав всего один звонок. Эту же уязвимость паспортной системы летом 2013 года уже отмечала шведская полиция.

Новую систему также критикуют за отсутствие адаптации к мобильным устройствам. Имеется в виду возможность взаимодействия между мобильным устройством и паспортом по технологии NFC, которая, к примеру, в национальной ID-карте Германии заложена изначально.

Представители комитета по ID-карте сразу отмели первое обвинение и пообещали проверить остальные вопросы, с которыми агентства обратились в MSB. По словам представителя комитета, DDoS-атаки исключены.

«Таким атакам обычно подвергаются интернет-ресурсы, а паспортные сервисы отключены от интернета», - заявила представитель комитета Ева Экенберг (Eva Ekenberg).

В MSB сообщили, что проверка займет несколько месяцев.

«Мы откроем проект по этому поводу и соберем данные из других ведомств, осведомленных в вопросе, и в целом по стране, - заявил представитель агентства Рикард Ойме (Richard Oehme). – Мы будем проводить очень тщательную проверку, поэтому пока неизвестно, сколько она займет, но в целом, от трех до девяти месяцев».