Andrus Hiiepuu: Ülikiire numbriliikuvus annab kurjategijatele ülikiire tööriista
Riik tahab teha mobiilioperaatori vahetamise ülikiireks, kus numbri viimiseks teise operaatori juurde kulub vaid 15 minutit. Reaalsuses tähendab see kahjuks seda, et nii võime avada sellega Pandora laeka, kus anname kurjategijatele kätte ülikiire ja -tõhusa tööriista identiteedivargusteks. Kui juba praegu ei ole riigil jõudu digi- ja telefonipetistega hakkama saamiseks, siis selle muudatuse läbi nüüd annaksime pättidele päris vabad käed, kirjutab Elisa tegevjuht Andrus Hiiepuu.
Mobiilinumbrite kaaperdamine
Kui telefoninumbri viimine teise operaatori juurde võtab aega vaid 15 minutit tekib erakordselt suur risk uuteks pettusteks, kus hakatakse mobiilinumbreid kaaperdama, võttes üle ohvri sõnumi- ja kõnevestlused ning jättes ta elutähtsast teenusest ilma. Näiteks Austraalias, USA-s ja Ühendkuningriigis on tarbijaid hoiatatud just sellist laadi pettuste eest, kus number viiakse teise teenusepakkuja juurde identiteedivarguse ja rahalise kahju tekitamise eesmärgil.
Kujutage ette olukorda, kus mesijuttu rääkiv kelm veenab inimese sisestama oma Smart-ID koode (nagu sadade Eesti inimestega iga kuu reaalselt juhtubki). Taustal ei minda mitte otse pangakontot tühjendama, vaid tehakse liitumisleping ohvri numbriga teise operaatori juures. Vaid veerand tunniga (!) kuulub kurjategijale see konkreetne mobiilinumber koos uue SIM-kaardiga ning ta saab üle võtta ka kõik kontod (näiteks e-post ja sotsiaalmeedia), millele on seadistatud kahetasemeline telefoninumbriga seotud autentimine. Ülikiiresti on üle võetud kogu ohvri digitaalne identiteet. Kui kurjategija on professionaalne ja ette valmistunud, on ohver vähem kui tunniga, jäänud ilma nii kõnesidest kui ka digitaalsetest suhtluskanalitest.
Seega ei tähenda rohkem digiriiki alati seda, et meil on ka rohkem turvalisust, kliendi seisukohast kaasnevad protsessi liigse kiirendamisega ohukohad. Paraku soosib 15 minutiline numbriliikuvus seda, et ründajad mõtlevad välja petuskeeme, kuidas inimeste identiteeti või raha välja petta. See tähendab omakorda, et kõige mugavamad lahendused ei ole sageli rakendatavad, sest võimaldaksid massiliselt pettuste suurenemist. On üsna tavapärane, et teenuste disainimisel ei saa võtta kasutusele kõige mugavamat lahendust, sest turvalisus ei ole ilmtingimata mugav. Näiteks eemaldas Elisa möödunud aasta lõpus klientidele saadetavatest kirjadest ja SMS-idest makselingid, kuna makselinkide saatmist kasutavad sageli ka petturid. See oli klientidele ülimalt mugav lahendus, kuid kahjuks ka petturitele.
Inimesi ohustavad massilised pettused nõuavad, et läheneksime ka õigusloomele ettevaatlikult ning looksime ennekõike digiturvalisi protsesse. Tartu Ülikooli küberkaitse teadur Arnis Paršovs analüüsis1 Smart-ID süsteemi disainivalikuid, kus tõi välja, et piisab sellest, et kelm veenab ohvri kinnitama Smart-ID päringut ja täpselt selliselt ongi süsteem mõeldud toimima. Süsteemi usaldatakse sel kujul üle terve riigi ning selle disainimisel ei ole arvestatud sellega, et inimene langeb pettuse ohvriks. Eestis on üle 730 000 Smart-ID kasutaja, kes on kõik ka veebis tegutsevate kurjategijate sihtmärgid.
Kurjategijate paradiis
Olukorra tõsiduse mõistmiseks vaatame numbritele otsa: üle maailma varastatakse digi- ja telefonipettustega hinnanguliselt juba üle triljoni USA dollari aastas. 2025. aastal tekitati Eestis kelmustega kahju juba üle 27 miljoni euro, kuid tegelikkuses on see number kindlasti veel suurem. Sealjuures tuleb arvestada, et Eesti mobiilioperaatorid tõkestavad kümneid miljoneid (!) petukõnesid veel enne kui need klientideni jõuavad. Tegu on pandeemiaga, mis üha süveneb.
Elisa toetab numbriliikuvuse protsessi uuendamist, sh selle toimimiseks vajaliku uue andmebaasi arendamist, kuid seda ei saa teha hoogtöö korras ja riske arvesse võtmata. Paari päeva pikkuse numbriliikuvuse perioodi säilitamine vähendab mobiilinumbri kaaperdamise riski. Lisaks on Elisa välja pakkunud, et kliendi tegelik üleminek teise mobiilivõrku toimuks öisel ajal. See oleks mõistlik nii seetõttu, et öösiti on võrgukoormus madalam ja süsteemitõrgete risk viidaks miinimumini kui ka pettuste riski vähendamiseks.
Arusaamatul põhjusel on otsustatud hakata täiesti vale tööriista kasutades tekitama konkurentsi valdkonnas, kus konkurents on juba väga tihe. Turumajanduse tingimustes toimuv ettevõtete vaheline võistlus klientide pärast näitab, et kõik operaatorid pingutavad oma klientide hoidmise ja uute võitmise nimel. 15-minuti numbriliikuvus on tõhus tööriist kurjategijatele, millel pole konkurentsiga Eesti turul kuigi suurt seost. Ma loodan väga, et seadusandja saab asja tõsidusest aru ning see Pandora laegas, mis annab kurjategijatele kätte ülikiire ja -tõhusa tööriista identiteedivarguseks, jääb avamata.