Kas iš tikrųjų yra Smart-ID ir kodėl visi jį naudoja
Jei esi bent kartą bandęs prisijungti prie savo banko sąskaitos, užsisakyti receptą ar pasirašyti kokį nors dokumentą internetu – greičiausiai jau žinai, kas yra Smart-ID. Ši autentifikavimo programa tapo tokia įprasta Baltijos šalyse, kad daugelis žmonių tiesiog spaudžia „patvirtinti” net nesusimąstydami, kas vyksta fone. Ir čia prasideda problema.
Smart-ID yra mobilioji programėlė, sukurta Estijos bendrovės SK ID Solutions. Ji leidžia patvirtinti tapatybę ir pasirašyti dokumentus elektroniniu būdu – be jokių fizinių kortelių ar atskirų įrenginių. Skamba patogu, tiesa? Ir iš tikrųjų yra patogu. Bet patogumas ir saugumas dažnai eina skirtingais keliais, ir šiuo atveju verta sustoti ir paklausti: ar mes iš tikrųjų suprantame, kam suteikiame prieigą prie savo skaitmeninio gyvenimo?
Lietuvoje Smart-ID naudoja milijonai žmonių. Jis integruotas į bankų sistemas, valstybines platformas, sveikatos priežiūros paslaugas. Tai reiškia, kad jei kažkas gauna prieigą prie tavo Smart-ID – jis gauna prieigą prie praktiškai visko.
Kaip veikia Smart-ID saugumo mechanizmas
Kad suprastume, ar sistema yra saugi, pirmiausia reikia suprasti, kaip ji veikia. Smart-ID naudoja asimetrinę kriptografiją – tai reiškia, kad yra du raktai: viešasis ir privatus. Privatus raktas saugomas tavo telefone, tiksliau – telefono saugioje aplinkoje (angl. Trusted Execution Environment arba TEE), o kai kuriais atvejais – aparatinėje saugos mikroschemoje (angl. Secure Enclave).
Kai patvirtini operaciją, telefone generuojamas skaitmeninis parašas naudojant tą privatų raktą. Šis parašas siunčiamas į serverį, kuris patikrina, ar viskas sutampa. Svarbiausia čia tai, kad privatus raktas niekada nepalieka tavo įrenginio. Bent jau teoriškai.
Papildomai sistema naudoja PIN kodus – PIN1 tapatybės patvirtinimui ir PIN2 dokumentų pasirašymui. Tai reiškia, kad net jei kas nors pavogtų tavo telefoną, be PIN kodo jis nieko negalėtų padaryti. Teorija skamba tvirtai. Praktika – kiek sudėtingesnė.
Svarbu paminėti ir tai, kad Smart-ID turi tris saugumo lygius: Basic, Advanced ir Qualified. Qualified lygis atitinka ES eIDAS reglamento reikalavimus ir yra prilyginamas fiziniam parašui. Tai ne tik marketingo žodžiai – tai teisiškai įpareigojantis standartas.
Realios grėsmės, apie kurias mažai kalbama
Čia prasideda įdomiausia dalis. Kibernetinio saugumo specialistai, su kuriais teko kalbėti rengiant šį straipsnį, sutaria: pati Smart-ID technologija yra pakankamai patikima. Problema – žmonės.
Vienas dažniausių atakos būdų yra socialinė inžinerija. Sukčiai skambina apsimesdami banko darbuotojais, policininkais ar net „Smart-ID techninės pagalbos” atstovais. Jie sukuria panikuojančią situaciją – „jūsų sąskaita užblokuota”, „kažkas bando pavogti jūsų pinigus” – ir prašo patvirtinti operaciją Smart-ID. Žmogus, išsigandęs ir skubantis, paspaudžia patvirtinti. Tuo metu sukčiai realiu laiku bando prisijungti prie banko sąskaitos ir naudoja tą patvirtinimą.
Kita grėsmė – SIM kortelės keitimas (angl. SIM swapping). Nors Smart-ID nėra tiesiogiai susietas su telefono numeriu taip, kaip SMS žinutėmis grįsti sprendimai, telefono numeris vis tiek naudojamas tam tikruose atkūrimo procesuose. Jei sukčiai sugebėtų perimti tavo numerį, jie galėtų bandyti iš naujo registruoti Smart-ID.
Taip pat egzistuoja grėsmė, susijusi su kenkėjiška programine įranga. Jei tavo telefone yra spyware tipo programa, ji teoriškai galėtų stebėti, ką veiki, ir net fiksuoti PIN kodus. Čia svarbu pažymėti, kad moderniose „iOS” ir „Android” sistemose tai padaryti labai sunku – bet ne neįmanoma, ypač jei įrenginys yra „jailbreak’intas” arba „root’intas”.
Ką sako patys specialistai
Kibernetinio saugumo ekspertai Baltijos šalyse dažniausiai sutinka, kad Smart-ID yra vienas saugiausių autentifikavimo sprendimų, prieinamų plačiajai visuomenei. Palyginti su SMS žinutėmis siunčiamais kodais – tai milžiniškas žingsnis į priekį. SMS autentifikacija turi žinomų silpnybių: žinutės gali būti perimtos, SIM kortelė gali būti klonuota.
Tačiau specialistai taip pat pabrėžia keletą dalykų, kurie kelia nerimą:
Pirma, centralizuotas serveris. SK ID Solutions valdo centrinę infrastruktūrą. Tai reiškia, kad jei ši infrastruktūra būtų pažeista – pasekmės būtų masinės. Kol kas tokio incidento nebuvo, bet teorinė rizika egzistuoja.
Antra, įrenginio saugumo priklausomybė. Smart-ID saugumas labai priklauso nuo to, koks yra tavo telefonas. Senas „Android” įrenginys be saugumo atnaujinimų yra žymiai pažeidžiamesnis nei naujas „iPhone” su „Secure Enclave”. Sistema yra tiek stipri, kiek stiprus yra silpniausias jos elementas.
Trečia, vartotojų elgsena. Net ir tobula technologija nepadeda, jei žmogus patvirtina operacijas negalvodamas. Specialistai pabrėžia, kad daugelis sėkmingų atakų įvyksta ne dėl technologinių spragų, o dėl to, kad žmonės tiesiog spaudžia „OK”.
Praktiniai patarimai: kaip naudoti Smart-ID saugiau
Gerai, teorija – teorija, bet ką konkrečiai galima padaryti? Štai keletas rekomendacijų, kurias rekomenduoja saugumo specialistai:
1. Visada patikrink kontrolinį kodą. Kai patvirtini operaciją, ekrane rodomas keturženkliai skaičiai – jie turi sutapti tiek tavo telefone, tiek platformoje, kurioje jungiesi. Jei nesutampa – niekada nespausk patvirtinti. Tai vienas svarbiausių apsaugos mechanizmų nuo realaus laiko atakų.
2. Niekada nepatvirtink operacijų, kurių pats neinicijuoji. Jei gauni Smart-ID patvirtinimo užklausą, o tu nieko nedarei – tai reiškia, kad kažkas kitas bando prisijungti tavo vardu. Tokiu atveju reikia nedelsiant atšaukti užklausą ir susisiekti su banku.
3. Naudok stiprius PIN kodus. Skamba akivaizdžiai, bet daugelis žmonių naudoja „1234” arba savo gimimo metus. PIN kodas turi būti unikalus ir sunkiai atspėjamas.
4. Atnaujink telefoną reguliariai. Saugumo atnaujinimai nėra tik formalumas – jie taisomi realias spragas. Jei tavo telefonas nebegauna atnaujinimų, rimtai pagalvok apie įrenginio keitimą.
5. Neinstaliuok programų iš nežinomų šaltinių. Kenkėjiška programinė įranga dažniausiai patenka į telefoną per neoficialius programų parduotuves arba apgaulingas nuorodas.
6. Įjunk ekrano užraktą. Biometriniai duomenys (pirštų atspaudas, veido atpažinimas) kartu su PIN kodu sukuria papildomą apsaugos sluoksnį.
7. Jei praradai telefoną – iš karto blokuok Smart-ID. Tai galima padaryti per SK ID Solutions svetainę arba susisiekus su klientų aptarnavimu. Kuo greičiau, tuo geriau.
Smart-ID vs kiti autentifikavimo metodai
Dažnai kyla klausimas – o gal geriau naudoti ką nors kitą? Pažiūrėkime, kaip Smart-ID atrodo lyginant su alternatyvomis.
SMS kodai – pasenęs metodas. Telefonų operatorių sistemos gali būti pažeistos, žinutės gali būti perimtos. Daugelis bankų jau atsisakė šio metodo arba naudoja jį tik kaip papildomą faktorių.
Google Authenticator / Microsoft Authenticator tipo programos – geras variantas, bet jos generuoja laikinius kodus, kurie gali būti pavogti per „phishing” atakas. Smart-ID naudoja kriptografinį parašą, kurį pavogti žymiai sunkiau.
Fiziniai saugumo raktai (pvz., YubiKey) – turbūt saugiausias variantas iš visų, bet nepraktiškas kasdieniam naudojimui. Reikia nešiotis papildomą įrenginį, o dauguma Lietuvos paslaugų jo nepalaiko.
Mobilusis parašas – Smart-ID pirmtakas Baltijos šalyse. Veikia per SIM kortelę, todėl yra pažeidžiamesnis SIM swapping atakų atžvilgiu. Smart-ID šiuo atžvilgiu yra pranašesnis.
Taigi kontekste Smart-ID atrodo kaip vienas geriausių masiškai prieinamų sprendimų. Bet tai nereiškia, kad jis tobulas.
Incidentai ir ko iš jų galima pasimokyti
Nors pati Smart-ID infrastruktūra nebuvo rimtai pažeista, sukčiavimo atvejų, susijusių su šia programa, Baltijos šalyse pasitaikė nemažai. Lietuvos bankas ir Lietuvos policija yra skelbę įspėjimus apie augantį sukčiavimo atvejų skaičių, kai naudojama socialinė inžinerija.
Vienas tipiškas scenarijus: žmogus gauna skambutį iš „banko darbuotojo”, kuris praneša, kad jo sąskaitoje pastebėta įtartina veikla. Norėdamas „apsaugoti” sąskaitą, žmogus prašomas patvirtinti kelias operacijas Smart-ID. Realybėje tuo metu sukčiai realiu laiku atlieka pavedimus iš aukos sąskaitos.
Kitas atvejis – sukuriamos netikros interneto svetainės, imituojančios bankų ar valstybinių institucijų puslapius. Vartotojas įveda savo duomenis, o svetainė realiu laiku perduoda juos tikrajai sistemai ir prašo Smart-ID patvirtinimo. Žmogus patvirtina, manydamas, kad jungiasi prie tikro banko.
Šie atvejai rodo, kad problema nėra technologijoje – problema yra žmonių supratimas apie tai, ką jie patvirtina ir kodėl.
Skaitmeninė savigyna: ką tai reiškia 2024-aisiais
Grįžtant prie pradinio klausimo – ar Smart-ID tikrai saugus? Atsakymas yra: taip, bet su sąlyga. Technologiškai sistema yra gerai suprojektuota ir atitinka aukštus standartus. Tačiau joks saugumo sprendimas negali apsaugoti žmogaus nuo jo paties sprendimų.
Skaitmeninis raštingumas šiandien yra ne prabanga, o būtinybė. Supratimas, kaip veikia autentifikavimo sistemos, kodėl reikia tikrinti kontrolinius kodus ir kaip atpažinti sukčiavimo bandymus – tai įgūdžiai, kurie gali išsaugoti ne tik pinigus, bet ir reputaciją, asmeninius duomenis, net sveikatą (prisiminkime, kad Smart-ID naudojamas ir medicinos sistemose).
SK ID Solutions reguliariai atlieka saugumo auditus ir bendradarbiauja su nepriklausomais tyrėjais. Tai geras ženklas. Tačiau vartotojai neturėtų pasyviai pasitikėti, kad „kažkas ten viršuje” pasirūpins jų saugumu. Skaitmeninė savigyna prasideda nuo elementarių dalykų: nepatvirtink to, ko neinicijuoji; visada patikrink kontrolinį kodą; niekada nesidalink PIN kodais su niekuo, net jei tas žmogus tvirtina esąs banko darbuotojas.
Smart-ID yra tiek saugus, kiek saugiai jį naudoji. Ir tai, tiesą sakant, galioja bet kuriai technologijai. Geriausias užraktas pasaulyje nepadės, jei pats atidarysi duris sukčiui.
