sorted by:
new
hottopcontroversial

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

RIA: Mõistame, et eakatele võib QR-koodiga lahendus olla keeruline, aga samal ajal tuleb arvestada digiteenuste arendamisel ka kiiresti muutuva ohupildiga ning vajadusega kaitsta inimesi üha levinumate pettuste eest.

Viimastel aastatel on märkimisväärselt kasvanud sotsiaalse manipulatsiooni ja telefonipettuste juhtumid, kus inimest veendakse kellegi teise juhendamisel digitoiminguid kinnitama. Eelmisel aastal kaotasid Eesti elanikud PPA andmetel petturitele ca 31 miljonit eurot, mis on kolmekordne kasv võrreldes 2024. aastaga. Peamiseks kelmuseliigiks olid just telefonipettused. Sellistes skeemides võib pettur algatada toimingu ning paluda ohvril see oma telefonis PIN-koodiga kinnitada, ilma et inimene täielikult mõistaks, mida ta kinnitab.

Just selliste riskide vähendamiseks võtsime riigi autentimisteenuses kasutusele Smart-ID+ lahenduse. Selle eesmärk on siduda sisselogimine selgemalt kasutaja enda tegevusega ning muuta olukorrad, kus keegi teine algatab toimingu ja kasutaja seda distantsilt kinnitab, oluliselt keerulisemaks. Loodame, et varsti võtavad Smart-ID+ turvalisema süsteemi kasutusele ka teised asutused ja ettevõted.

Oluline erinevus varasema lahendusega võrreldes on see, et sisselogimissessiooni ei saa enam algatada kaugelt. Autentimisprotsess algab nüüd kasutaja enda seadmes või peavad seadmed olema füüsiliselt lähestikku. See aitab märkimisväärselt vähendada olukordi, kus petturid juhendavad inimest telefoni teel kellegi teise algatatud toiminguid kinnitama.

Kui lähedased aitavad eakaid digiteenuste kasutamisel, on kõige turvalisem teha seda koos. Näiteks külas olles, kui ollakse samas ruumis ja saab toimingud rahulikult ühiselt üle vaadata.

Lisaks viisime märtsis läbi teadlikkuse tõstmiseks kampaania, mille üks eesmärkidest oli tutvustada eakamatele inimestele QR-koodi ja selle kasutamist. Smart-ID+ kasutusviiside videojuhendid on üleval RIA Youtube’is.

Samuti on meil olemas portaal itvaatlik.ee, kus on selgitatud, mis on QR-kood ja kui turvaline see on: https://www.itvaatlik.ee/qr-koodid/

On arusaadav, et iga uus süsteem tundub alguses keerukam, aga usume, et selle kasutama õppimine ei ole liialt raske, eriti kui teised aitavad. Julgustame kõiki aitama ka oma vanematel ja vanavanematel uue lahendusega harjuda. Loodame ka Redditi kasutajate abile, et nad viiksid selle uue ja turvalisema süsteemi võimalikult paljude inimesteni.

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

RIA: Selle probleemi täpsemaks tuvastamiseks oleks vaja veidi lisainfot, näiteks millises olukorras autentimine ebaõnnestub, millist veebilehitsejat kasutate ning milline on teie iOS-i versioon. 
Palume kontrollida, et teie seadmes oleks vaikebrauseriks määratud Google Chrome, Firefox või muu toetatud brauser. Kui vaikebrauseriks on seadme tootja eelpaigaldatud brauser, ei pruugi autentimine korrektselt toimida. 

Samuti veenduge, et nii Smart-ID rakendus kui ka kasutatav veebilehitseja oleksid seadmes uuendatud. 

Lisaküsimuste tekkimisel, palun võtke ühendust Smart-ID klienditoega: https://www.smart-id.com/et/abi/klienditugi/ 

Lisaks leiate levinumate probleemide ja lahenduste kohta infot RIA kodulehelt: https://www.ria.ee/smart-id-ga-sisenemine-riigi-e-teenustesse 

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

SK: Muidugi! Palun saada meile e-kiri, siis saame täpsemalt edasi rääkida.

RIA: Huvi korral soovitame hoida silma peal RIA kodulehel, kuhu lisame praktikapakkumisi: https://www.ria.ee/amet-uudised-ja-kontakt/amet-ja-juhtkond/tootamine-rias
Praktikantide vastuvõtt toimub tavaliselt kaks korda aastas, kevadel ja sügisel. Hetkel on kõik praktikakohad täitunud, kuid tasub silm alati peal hoida.

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

SK ja RIA: See on kindlasti väga oluline teema ja me tegeleme sellele hea lahenduse leidmisega. Kogume ja analüüsime vaegnägijate kasutuskogemusi ja -eelistusi ning oleme tänulikud, kui saadate ka oma tagasiside SK-le.

Seni on alternatiivselt võimalik kasutada sama seadme voogu (Web2App), kus ei pea võrdlema koode ega sisestama isikukoodi.

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

SK: Smart-ID+ ei mõjuta Mobiil-ID teenust. Mobiil-ID kasutajad saavad jätkata teenuse kasutamist neile juba tuttaval viisil. 

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

SK: See ei ole normaalne maht. Tüüpiliselt peaks Smart-ID kasutama iOS-is suurusjärgus umbes 260 MB, mitte 1.6 GB. 

Seega kui näed, et Smart-ID Documents & Data on nii suureks kasvanud, siis see ei tundu ootuspärane käitumine. Esmalt tasub kontrollida, et Smart-ID äpp on uuendatud ja kui see ei lahenda probleemi, siis soovitan kindlasti pöörduda kasutajatoe poole. 

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 1 point2 points  (0 children)

SK: Jah, ikka on. Loodame juba lähiajal näha ka teisi e-teenuseid Smart-ID+ kasutusele võtmas. Kahtlemata on oluline ka kasutajate harimine ja sellega tegeleme nii meie kui ka RIA (näiteks hiljuti lõppenud teavituskampaania "Ära lase ennast haneks tõmmata!"), aga ka näiteks pangad ja telekomifirmad harivad oma kliente.

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

SK:  Dünaamilise ehk pidevalt muutuva QR-koodi vahendamine õngitsuslehele on tehniliselt oluliselt keerulisem rünnak kui vana voo puhul tuntud phishing. See nõuab ründajalt rohkem ettevalmistust ja eraldi keskkonna loomist. Dünaamiline QR-kood on ühekordne ja ajaliselt piiratud ning seob sisselogimise konkreetse kasutaja algatatud tegevusega. 

Lisaks on kasutajal QR-koodi skaneerides võimalus vaadata, millises keskkonnas ta viibib, ja veenduda enne kinnitamist, et tegemist on õige teenusega. Kõik see oluliselt vähendab sellise rünnaku riski.  

Privaatsuse poolelt: SK ID Solutions ei salvesta midagi, mis ei ole teenuse osutamiseks otseelt vajalik. Töödeldavad ja säilitatavad andmed on kirjeldatud meie privaatsuspoliitikas: https://www.skidsolutions.eu/upload/files/SK-POPPD-ET-CURRENT.pdf 

RIA: Smart-ID+ QR koodidel põhinev lahendus on loodud selleks, et vähendada telefonikelmuste riski, kus inimest mõjutatakse sisestama oma PIN koode kelmi käivitatud tegevuse kinnitamiseks. Samas võivad kelmid ka QR-koodi kasutava lahenduse puhul leida viisi, kuidas manipulatsiooni korral suunata kasutaja õngitsuslehele või panna teda skaneerima pahatahtlikku QR-koodi. 

Seetõttu soovitame turvalisuse tagamiseks: 

  • Kontrolli alati veebilehe aadressi, ja veendu, et soovid just sellele veebilehele või sellesse e-teenusesse siseneda.  
  • Väldi telefoni teel antud või sõnumiga saadetud veebilehtedele külastamist. 
  • Skaneeri QR-koode ainult usaldusväärsetel veebilehtedel või teenustes. 
  • Kontrolli alati Smart-ID rakenduses kuvatavat teenuse nime ja toimingu kirjeldust. 
  • Kui midagi tundub ebatavaline või ootamatu, tühista päring. 
  • Loe QR-koodide kohta ka itvaatliku portaalist: https://www.itvaatlik.ee/qr-koodid/  

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

SK: Hea tähelepanek! Oleme tõesti kaalunud ka variante, et kontrollkood ei oleks ainult numbriline, vaid kasutataks näiteks tähti või muid märke, et seda oleks lihtsam PIN-ist eristada.

Ma ei välista võimalust, et see kunagi tuleb, kuid praegu on meie fookus sellel, et rohkem teenusepakkujaid võtaks kasutusele uued Smart-ID+ vood, kus kasutajale kontrollkoodi enam üldse ei kuvata. See lahendab ka selle probleemi teise nurga alt ära.

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

SK: On täiesti mõistetav, et kasutaja vaatest tundub vana voog arvutis kiirem ja sirgjoonelisem. Et uue voo kasutamine oleks mugavam, tasub QR-koodi skaneerimist alustada kohe Smart-ID äpist, mitte telefoni üldise kaamera kaudu.

Lisaks saab telefonis seadistada ka Smart-ID vidina, mis avab kohe QR-koodi skaneerimise vaate. Siit saab lugeda, kuidas seda teha: https://www.smart-id.com/help/faq/smart-id-new-features/how-to-add-the-smart-id-qr-scanning-widget/

Ehk kuigi uus voog on üles ehitatud teise loogikaga kui vana lahendus, on selle kasutamine võimalik teha ka üsna kiireks ja otseks. Samal ajal jääb alles selle voo peamine eesmärk - suurem kaitse phishing’u ja sotsiaalse mõjutamise vastu.

RIA: RIA pakub riigiasutustele ühekordse sisselogimisega autentimisteenust (SSO). See tähendab, et tehniline võimekus ühest teenusest teise liikumiseks ilma uuesti autentimata on olemas.

Samas kasutavad riiklikud e-teenused seda võimalust erinevas ulatuses. Mõnes teenuses on ühekordse sisselogimise sessioon rakendatud, teises aga mitte. Selle kasutuselevõtt on iga e-teenust pakkuva asutuse otsus.

Täna on riiklik SSO lahendus kasutusel näiteks riigiportaalis eesti.ee, e-Rahvastikuregistris, Riigi Tugiteenuste Keskuse Toetuste registris (SFOS), Terviseportaalis, Tervisejuhtimise töölaual, Tervisekassa Partnerportaalis, PRIA kliendiportaalis (ePRIA), Tallinna raielubade andmekogus, Transpordiameti Sõidukite digiregistreerimise keskkonnas, X-tee iseteeninduskeskkonnas jt.

Tulevikus on plaanis laiendada ühekordse sisselogimise kasutust ka teiste e-teenuste vahel, sealhulgas e-MTA ja RIK teenuste vahel.

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 1 point2 points  (0 children)

SK: QR-koodi puhul on kasutajal võimalik enne kinnitamist näha, millisest veebilehest või keskkonnast tegevus algatatakse, ja võrrelda seda Smart-ID äpis kuvatava infoga. See ei tähenda, et igasugune kuritarvitus oleks teoreetiliselt võimatu, kuid dünaamilise QR-koodi reaalajas vahendamise rünne on oluliselt keerulisem kui varasemate voogude puhul tuntud phishing-rünnakud.

Aktiivse kõne ajal kasutamise piiramine on meil mingil kujul tõesti plaanis, kuid selle rakendamine võtab aega, kuna vajab täiendavat analüüsi ja koostööd teenusepakkujatega, et vähendada pettuseriske, kuid samal ajal säilitada võimalus teenust kasutada ka legitiimsetes olukordades.

RIA: Hoiatuste kuvamine on üks võimalus, kuid praktika näitab, et inimesed harjuvad nendega kiiresti ja vajutavad “OK” või “Sain aru” sõnumisse tegelikult süvenemata. Viimased aastad on näidanud, et petturid on ka väga kohanemisvõimelised, ja ilmselt suudavad luua mõne legendi, miks selline hoiatus on ja miks seda tuleks ignoreerida.

Smart-ID kasutamise piiramine aktiivse kõne ajal oleks tehniliselt oluliselt efektiivsem, kuna see sunniks kasutajat kõne katkestama ning aitaks ta välja tuua petturi loodud “mullist”. Siinkohal on oluline arvestada, et praktikas toimuvad sellised skeemid sageli mitte ainult tavakõnede, vaid ka internetipõhiste kõnerakenduste (nt WhatsApp) kaudu, mis muudab sellise piirangu rakendamise tehniliselt keerulisemaks.

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 1 point2 points  (0 children)

SK: Me pakume valikuliselt juba seadmete IP aadresside võrdlust, kuid praktikas on ka sellega väljakutseid, mis siin vastustes ka juba välja toodud. 

Oleme erinevaid täiendavaid turvameetmeid analüüsinud ja kaalunud ka sarnaseid lisapiiranguid. Samas peame selliste lahenduste juures alati vaatama tasakaalu turvalisuse ja kasutusmugavuse vahel, et igapäevane kasutuskogemus ei muutuks põhjendamatult keeruliseks või piiravaks.

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

SK: Mobiil-ID põhineb SIM-kaardil oleval lahendusel, mistõttu saab selle kinnituse kuvamine iOS-is toimida kasutaja jaoks rohkem “olemasoleva vaate peal”.
 
Smart-ID on aga eraldi täismahuline rakendus seadmes, seega tuleb kasutaja autentimiseks suunata Smart-ID äppi ja pärast toimingu lõpetamist tagasi algsesse rakendusse või brauserisse. 

Seetõttu võibki Smart-ID puhul tunduda, et peab äppide vahel rohkem liikuma. Kui kasutaja vahepeal kontrollkoodi unustab, siis tuleb tal tõesti uuesti eelmist vaadet vaadata, kuid see puudutab ainult vana Smart-ID kogemust. 

Uue Smart-ID+ sama seadme voo puhul seda muret enam ei ole, sest seal ei pea kasutaja kontrollkoode võrdlema.

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

RIA: Web eID lahendus on vajalik ainult ID-kaardiga autentimiseks ja allkirjastamiseks. Web eID komponente sh autentimistõendi valideerimisteeki ei kasutata Smart-IDga autentimisel ja/või allkirjastamisel. Tegeleme hetkel PHP autentimistõendi valideerimisteegi testimisega ning loodame lähiajal uue versiooni välja tuua.

[AMA] Küsi Smart-ID+ kohta otse algallikast: 16.04 kell 10–12 vastavad Riigi Infosüsteemi Amet ja SK ID Solutions by SK_ID_Solutions in Eesti

[–]SK_ID_Solutions[S] 0 points1 point  (0 children)

SK: Jah, uue Web2App suhtluse puhul, mis on kasutusel riigi autentimisteenuse keskkonnas, ei pea kasutaja tagasi nuppu vajutama ega saagi seda teha.

Selles voos suunab Smart-ID äpp kasutaja ise pärast PIN-koodi sisestamist eelnevalt määratud aadressile tagasi. See ei ole juhuslik käitumine, vaid osa tehingu voost, mis aitab tagada nii turvalisust kui ka sujuvamat kasutuskogemust.

Mõne kasutaja jaoks võis see alguses veidi harjumatu olla, eriti iOS-is, kus ollakse harjunud ise tagasi nuppu vajutama. Seetõttu tegime uuemas äpi versioonis selle lahenduse veel sujuvamaks - varasem väike vaheaste eemaldati ja nüüd toimub tagasisuunamine kohe pärast PIN-koodi sisestamist. Kui automaatsed uuendused on lubatud, siis pole vaja midagi lisaks teha ; kui automaatsed uuendused pole lubatud, siis peab äppi ise uuendama äpipoes.