"Põhimõte on nii, et kui keegi suudab kaardi lahti murda ja riigi infosüsteemide amet (RIA) seda kinnitab, siis pannakse sertifikaat kinni. Sellisel juhul tuleb sulgeda kõik turvariskidega kaardid," ütles PPA pressiesindaja Kirsti Ruul BNS-ile.

PPA identiteedi ja staatuste büroo juhataja Margit Ratniku sõnul tähendaks turvariski realiseerumine ka ühe näite puhul kõikide turvariski poolt puudutavate ID-kaartide sertifikaatide peatamist. "Juhul kui on olemas kindlad tõendid selle kohta, et risk on realiseerunud, peatab PPA kui dokumendi väljaandja ainult selle turvariskiga kaartide sertifikaadid. See tähendab seda, et neid ID-kaarte ei saa pärast sertifikaatide peatamist enam elektrooniliselt kasutada. ID-kaardid, mida turvarisk ei puuduta, jäävad edasi kehtima ning neid saab jätkuvalt ka elektrooniliselt kasutada," lisas Ratnik.

Õiguslik kohustus sertifikaadid sulgeda tuleneb Ratniku sõnul isikut tõendavate dokumentide seadusest, mille kohaselt võib dokumendi väljastaja sertifikaadi kehtetuks tunnistada juhul, kui on põhjendatud alus arvata, et sertifikaadis nimetatud avalikule võtmele vastavat privaatvõtit on võimalik kasutada dokumendi kasutaja nõusolekuta.

Samuti tuleneb e-identimise ja e-tehingute usaldusteenuste seadusest kohustus usaldusteenuse osutajale ehk sertifitseerimiskeskusele tunnistada sertifikaat kehtetuks, kui seda peaks taotlema pädev asutus või sertifikaadi omaja. Juhul kui sertifikaadi omajal on kahtlus ID-kaardi nõusolekuta kasutamise võimaluseks, on omakorda tema kohustatud taotlema sertifikaadi kehtetuks tunnistamist.

"Sertifitseerimiskeskus pakub usaldusteenust, kui usaldus kaob, siis peab dokumendi väljaandja käituma turvalisel viisil. Ehk peab kaitsma dokumendi omanikke rünnaku alla sattumisest," märkis Ruul.

Mõningane kaalutlusõigus PPA-l Ruuli sõnul siiski on. Nimelt ei olnud Tšehhi teadlaste poolt Eestile teada antud teoreetilise turvariski leidmine veel piisav alus kõikide ohus olevate sertifikaatidega ID-kaartide sulgemiseks. Kuid konkreetse kaardi murdmise korral selline kohustus tekiks.

Septembri alguses teatasid valitsus, RIA ja PPA avalikkusele ID-kaardi turvariski avatastamisest Tšehhi teadlaste poolt. Turvarisk puudutav alates 2014. aasta oktoobrist välja antud ID-kaarte, mida on ligikaudu 750 000.

Senise teadaoleva teabe kohaselt ei ole turvarisk ühegi konkreetse kaardi puhul realiseerunud. Praeguseks on suletud ID-kaardi avalike võtmete andmebaas, kuna ilma avalikku võtit teadmata ei ole võimalik antud turvariski kaardi ründamiseks kasutada.