Eesti uudised

Riigikontroll: kriitiliste andmete turvalisus vajab oluliselt rohkem hoolt (2)

Graafik: Margus Järv, 24. mai 2018, 11:15
Foto: Aldo Luud
Riigikontrolli audit näitab, et Eesti riigi kriitiliste andmekogude turvalisuse ja säilitamise tagamine vajab senisest palju rohkem tähelepanu.

Puudu on õiguslik raamistik, mitmes kriitilises andmekogus on olulisi puudujääke infoturbe tagamisel, näiteks logide analüüsimisel, läbistustestimisel, mobiilsete seadmete kaitsmisel. Samuti ei ole seni kehtestatud kriitiliste andmete kaitsmiseks vajalikke erinõudeid.

Riigikontrolli auditile on ligikaudu pooles ulatuses kehtestatud juurdepääsupiirang – teatud osad on mõeldud vaid asutusesiseseks kasutamiseks. Riigikontroll on avaldanud aruandest üldisi probleeme käsitlevad osad. Et mitte ohustada kriitilisi andmeid ja andmekogusid, edastas riigikontroll detailsemad tähelepanekud ja soovitused infoturbe korralduse kohta auditeeritud asutustele eraldi asutusesiseseks kasutamiseks mõeldud dokumendina.

Kokkuvõtlikult on Riigikontrolli tähelepanekud järgmised:

  • Poolte auditeeritud andmekogude ehk viie andmekogu varukoopiaid viiakse küll füüsiliselt kord kvartalis varundusmeedial välismaale Eesti saatkondadesse, kuid kas nendelt ka reaalselt infosüsteemide tööd taastada õnnestub, pole testitud.
  • Kümnest viie andmekogu puhul poleks praegu siinsete andmekeskuste hävimise korral riigi toimimiseks vajalike andmete säilimine tagatud. Mõned asutused ei ole ka täielikult mõistnud, milliste ohtude eest tuleb andmekogu kaitsta ja millisteks ohustsenaariumiteks valmistuda.
  • Kriitiliste andmekogude varundamise ja säilitamise probleemi lahendamiseks on majandus- ja kommunikatsiooniministeeriumil kavas luua andmesaatkond. See on oma serveriruum välisriigi riiklikus andmekeskuses, kuhu hakatakse andmeid varundama elektrooniliselt, andmesidekanali vahendusel. Sellel on suur eelis: kui Eestis mingi andmekeskus hävib, saab selle teenuseid osutada eemalt. Kuna praegu pole esimese andmesaatkonna tegevusega seotud üksikasjad kokku lepitud (nt mida, mil moel, millise sagedusega, millisel meetodil varundama hakatakse), ei ole ka kalkulatsiooni, kui palju võiks maksma minna kriitiliste andmekogude elektrooniline varundamine Luksemburgi andmesaatkonda (nt igale andmekogu omanikule).

  • Eesti riigi kriitiliste andmekogude kontseptsiooni elluviimiseks ei ole kehtestatud tegevusplaani ega nõudeid, samuti puudub detailsem riskianalüüs ning tähtajad ja tegevuskava edasiseks.
  • Vajalikud auditid olid nõutud sagedusega tehtud vaid kahes kriitilises andmekogus kümnest. Kahes kriitilise tähtsusega andmekogus jõutauditi tegemiseni alles seitse aastat hiljem (sic!), kui neis andmekogudes oleks seda kohustuslikus korras pidanud tegema.
  • Mitmes kriitilises andmekogus on olulisi puudujääke infoturbe tagamisel, näiteks logide analüüsimisel, mobiilsete seadmete kaitsmisel, kõvaketaste krüpteerimisel.

Riigikontrolör Janar Holmi sõnul pole aga paanikaks põhjust. „Oleme endale e-riigina seadnud üsna ranged nõuded andmete turvalisuse tagamisel ning ka nende probleemide puhul ei ole võimalik teha järeldust, et kriitilised andmekogud on turvamata. Tahtes kuuluda aga e-riikide koorekihti, peame endale rangete nõudmiste esitamisele lisaks suutma neid ka täita. Eriti oluline on see kriitiliste andmekogude puhul. Seda enam, et paljud andmekogud on nüüdseks täisdigitaalsed ehk meil ei ole enam andmeid paberil, millelt oleks võimalik hävinud infot taastada.“

„Infoturve on paraku üks nendest riigielu teemadest, kus on raske pälvida avalikkuse kiitust (ja hääli) olukorras, kui kõik on hästi – samas on võimalik kaotada väga palju, kui realiseerub mõni turvarisk,“ ütles Holm. Tema sõnul ei saa mitmete valitsusasutuste ametnikud aru, et turvalisusesse on vaja investeerida.

Samal teemal

15. november 2018, 11:14
Riigikontrolör Janar Holm: Eesti on rikkam kui kunagi varem

REKLAAM JA KUULUTUSED

reklaam@ohtulehtkirjastus.ee