TALLINN, 24. mai 2018 – Riigikontrolli audit näitab, et Eesti riigi kriitiliste andmekogude turvalisuse ja säilitamise tagamine vajab senisest palju rohkem tähelepanu – puudu on õiguslik raamistik, mitmes kriitilises andmekogus on olulisi puudujääke infoturbe tagamisel, näiteks logide analüüsimisel, läbistustestimisel, mobiilsete seadmete kaitsmisel. Samuti ei ole seni kehtestatud kriitiliste andmete kaitsmiseks vajalikke erinõudeid.
Riigikontrolli auditile on ligikaudu pooles ulatuses kehtestatud juurdepääsupiirang – teatud osad on mõeldud vaid asutusesiseseks kasutamiseks. Riigikontroll on avaldanud aruandest üldisi probleeme käsitlevad osad. Et mitte ohustada kriitilisi andmeid ja andmekogusid, edastas Riigikontroll detailsemad tähelepanekud ja soovitused infoturbe korralduse kohta auditeeritud asutustele eraldi asutusesiseseks kasutamiseks mõeldud dokumendina.
Kokkuvõtlikult on Riigikontrolli tähelepanekud järgmised:
* Eestis on praegu identifitseeritud kümme omariikluse seisukohast kriitilise tähtsusega andmekogu: e-toimik, kinnistusraamat, äriregister, Riigi Teataja infosüsteem, maakataster, riigikassa infosüsteem, maksukohustuslaste register, rahvastikuregister, isikut tõendavate dokumentide register ja riiklik pensionikindlustuse register. Et tingimused kriitiliste andmekogude väljavalimiseks ei ole kindlaks määratud, puudub kindlus, et protsessi oleks kaasatud kõik vajalikud andmekogud.
Poolte auditeeritud andmekogude ehk viie andmekogu varukoopiaid viiakse küll füüsiliselt kord kvartalis varundusmeedial välismaale Eesti saatkondadesse, kuid kas nendelt ka reaalselt infosüsteemide tööd taastada õnnestub, pole testitud. Kriitiliste andmekogude omanikud avaldasid auditi käigus arvamust, et pigem ei ole neid koopiaid võimalik hõlpsasti ja kiiresti töökõlblikuks muuta, sest töö ja teenuste taastamiseks on vaja, et ka rakendustarkvara ning erinevad tugiteenused toimiksid.
Kümnest viie andmekogu puhul poleks praegu siinsete andmekeskuste hävimise korral riigi toimimiseks vajalike andmete säilimine tagatud. Mõned asutused ei ole ka täielikult mõistnud, milliste ohtude eest tuleb andmekogu kaitsta ja millisteks ohustsenaariumiteks valmistuda.
* Kriitiliste andmekogude varundamise ja säilitamise probleemi lahendamiseks on majandus- ja kommunikatsiooniministeeriumil kavas luua andmesaatkond ehk oma serveriruum välisriigi riiklikus andmekeskuses ja hakata andmeid välismaale varundama elektrooniliselt, andmesidekanali vahendusel. See võimaldaks tagada peale andmete hoiustamise ka teenuste opereerimise võimekuse ehk kui Eestis mingi andmekeskus hävib, saab selle teenuseid osutada eemalt. Selle eesmärgi saavutamiseks on astutud ka sammud – Luksemburgi andmekeskusega on sõlmitud leping, tegeldakse seadmete, sidekanali jm küsimustega. Juuni lõpupoole plaanitakse andmesaatkond käivitada, s.t valmis saab seadmetega varustatud serveriruum kriitiliste andmekogude varundamiseks. Algselt hoitakse seal ainult varukoopiad, kuid edaspidi plaanitakse üles ehitada ka võimekus osutada andmesaatkonnast teenuseid. Teiste andmesaatkondade loomist praegu planeeritud ei ole, seda teemat analüüsib ja otsustab majandus- ja kommunikatsiooniministeerium Luksemburgi projekti järel. Kuna praegu pole esimese andmesaatkonna tegevusega seotud üksikasjad kokku lepitud (nt mida, mil moel, millise sagedusega, millisel meetodil varundama hakatakse), ei ole ka kalkulatsiooni, kui palju võiks maksma minna kriitiliste andmekogude elektrooniline varundamine Luksemburgi andmesaatkonda (nt igale andmekogu omanikule).
* Eesti riigi kriitiliste andmekogude kontseptsiooni elluviimiseks ei ole kehtestatud tegevusplaani ega nõudeid, samuti puudub detailsem riskianalüüs ja tegevuskava edasiseks. Kriitiliste andmekogude kaitsmiseks kokku lepitud täiendavad meetmed, sh konkreetne tegevuskava ja tähtajad, ei ole üheski dokumendis ametlikult kindlaks määratud. Puudub õiguslikult kohustuslik reeglistik. Senine tegevus põhineb osalt informaalsel aktiivsusel. Riigikontroll eeldas, et riik on määranud kindlaks kriitiliste andmekogude pidamisega seotud osapooled (nt keskne koordineerija, kriitilise andmekogu omanik) ning nende rollid (sh õigused, kohustused). Audit näitas, et seni on kogu protseduuri kirjeldatud vaid memos, mille kriitiliste infosüsteemide töögrupp 2017. aasta märtsis koostas. Üheski õigusaktis pole kriitiliste andmekogude määramise ja ülalpidamise reeglistikku ametlikult kindlaks määratud ega reguleeritud.
* Nõutud sagedusega oli Eesti riigiasutustele kohustusliku infoturbesüsteemi ISKE järgimise auditeid läbi viidud vaid kahes kriitilises andmekogus kümnest. Kahes kriitilise tähtsusega andmekogus jõuti ISKE andmeturbeauditi tegemiseni alles Riigikontrolli audititoimingute ajal 2017. aasta lõpupoole ehk seitse aastat hiljem (sic!), kui neis andmekogudes oleks seda kohustuslikus korras pidanud tegema.
* Mitmes kriitilises andmekogus on olulisi puudujääke infoturbe tagamisel, näiteks logide analüüsimisel, mobiilsete seadmete kaitsmisel, kõvaketaste krüpteerimisel. Riigikontroll leidis, et kasutada tuleks ka failide tervikluse kontrolli vahendeid. Piirata tuleks irdseadmete kasutamist kriitilise andmekoguga ühenduses olevas arvutivõrgus. Osa kriitiliste andmekogude omanikke oli küll sisemiselt teinud turvatestimisi ja sisevõrgu skaneerimist, ent oli ka kriitilisi andmekogusid, kus regulaarselt väliseid läbistusteste ei olnud tehtud ehk ei olnud katsetatud, kas õnnestub väljast asutuse sisevõrku või andmekogusse sisse murda ja seal andmeid muuta või hävitada. Ei maksa alahinnata ka kriitiliste andmekogude füüsilise kaitse vajadust.
Kriitilised andmekogud:
E-toimik, kinnistusraamat, äriregister, Riigi Teataja – omanik on Justiitsministeerium ning haldaja Justiitsministeeriumi Registrite ja Infosüsteemide Keskus (RIK).
Maakataster – omanik on Maa-amet ja haldaja ehk katastripidaja on Keskkonnaministeeriumi Infotehnoloogiakeskus.
Riigikassa infosüsteem – omanik on Rahandusministeerium ja haldaja Rahandusministeeriumi Infotehnoloogiakeskus (RMIT).
Maksukohustuslaste register – omanik on Maksu- ja Tolliamet ning haldaja RMIT.
Rahvastikuregister – omanik on Siseministeerium ja haldaja Siseministeeriumi infotehnoloogia- ja arenduskeskus.
Isikut tõendavate dokumentide register – omanik on Politsei- ja Piirivalveamet (PPA) ning haldaja Siseministeeriumi infotehnoloogia- ja arenduskeskus.
Riiklik pensionikindlustuse register – omanik on Sotsiaalkindlustusamet (SKA) ning haldaja Tervise ja Heaolu Infosüsteemide Keskus (TEHIK).
Riigikontrolör Janar Holm kommenteeris auditi tulemusi järgmiselt:
„Kindlasti ei ole põhjust paanikaks – me oleme endale e-riigina seadnud üsna ranged nõuded andmete turvalisuse tagamisel ning ka nende probleemide puhul ei ole võimalik teha järeldust, et kriitilised andmekogud on turvamata. Tahtes kuuluda aga e-riikide koorekihti, peame endale rangete nõudmiste esitamisele lisaks suutma neid ka täita. Eriti oluline on see kriitiliste andmekogude puhul. Seda enam, et paljud andmekogud on nüüdseks täisdigitaalsed ehk meil ei ole enam andmeid paberil, millelt oleks võimalik hävinud infot taastada.
Andmekogude turvalisuse tagamine ei ole kahtlemata glamuurne teema, millest ministeeriumid saaks teha atraktiivseid pressiteateid, nagu riigieelarvest ühele või teisele huvirühmale kõikvõimaliku toetusraha jagamise puhul. Samuti on IT-vallas palju rohkem tähelepanu ja heakskiitu võimalik pälvida mõne uue ja edeva e-teenusega. Infoturve on paraku üks nendest riigielu teemadest, kus on raske pälvida avalikkuse kiitust (ja hääli) olukorras, kui kõik on hästi – samas on võimalik kaotada väga palju, kui realiseerub mõni turvarisk.
Infoturbelahenduste „nähtamatus“ on loonud olukorra, kus paljude valitsusasutuste infoturbe eest vastutavad ametnikud on kurtnud Riigikontrolli audiitoritele, et nad ei suuda turvalisust puudutavaid investeeringuvajadusi või ka lihtsamate ennetusmeetmete vajalikkust enda asutuse juhtkonnale ega poliitilistele otsustajatele teiste valikute kõrval nähtavaks ja kuuldavaks teha. Auditi tulemusena selgus, et põhjust näha ja kuulda ning lisaks ka nõuda, on piisavalt.
Majandus- ja kommunikatsiooniministeerium on senise tegevuse määratlenud pilootprojektina, kus veel otsitakse sobivaimaid tehnilisi ja õiguslikke lahendusi varundamise korraldamiseks. Õiges suunas liikumise tulemuslikkusele aitaks kaasa see, kui vastutajatel oleks täpsemalt fikseeritud selle projekti eesmärgid ja tegevuskava. Kasuks tuleks ka selge õigusliku raamistiku loomine ja pikaajalisem finantsplaan.“
Riigikontroll soovitas ettevõtlus- ja infotehnoloogiaministril
- määrata kindlaks reeglistik kriitiliste andmekogude täiendavaks kaitseks, sh kriitiliste andmekogude väljavalimiseks, neis andmete töötlemiseks ja riigi jaoks kriitiliste andmete varundamiseks; ning hinnata, kas ja kuidas neid tegevusi täiendavalt rahastada;
- analüüsida andmesaatkondade rajamise eri etappe nii finantsplaneerimise kui ka infoturbe seisukohalt ning rakendada nende etappide elluviimisel projektijuhtimise parimat praktikat.
Majandus- ja kommunikatsiooniministeerium nõustus üldiselt enamiku Riigikontrolli soovitustega.
Riigikontroll esitas oma soovitused infoturbe parandamiseks kriitiliste andmekogude omanikele saadetud detailsetes kontroll-küsimustike kokkuvõtetes. Näiteks soovitas Riigikontroll järgmist:
- Määrata infoturbe kordades kindlaks, millise aja tagant, kuidas ja missuguses ulatuses tuleb kriitilistes andmekogudes nõrkusi hinnata.
- Analüüsida anomaaliate tuvastamiseks regulaarselt sündmuste logisid ja koostada kindlaks määratud aja tagant selle kohta aruandeid.
- Hinnata asutuste ja valitsemisalade personali infoturbeteadlikkuse taset ning selle põhjal koostada infoturbe baastaseme koolituse ja teadlikkuse suurendamise plaanid.
- Määrata infoturbe kordades kindlaks, kuidas tagatakse kriitilise tähtsusega süsteemides failide tervikluse kontroll.
- Tellida regulaarselt väliseid ja sisemisi läbimurdeteste, et tuvastada kriitiliste andmekogude nõrkused või turvanõrkused.
Taustaks:
Eesti omariikluse säilitamine tähendab tänapäeval Eesti territooriumi füüsilise kaitsmise kõrval ka riigi jaoks esmavajalike digitaalsete varade hoidmist, pidades silmas Eesti Vabariiki kõige enam ohustavaid sündmusi. Kõige enam kaitset vajavad digitaalsed varad on riigi käes olevad andmed siin elavate inimeste, Eesti Vabariigi territooriumi ja õigusloome kohta. Samuti on vaja kaitsta inimestele Eesti riigis kuuluva omandi, kinnisvara ja õiguste kohta käivaid andmeid.
Majandus- ja kommunikatsiooniministeeriumi initsiatiivil tegutseb küberjulgeoleku nõukogu juures kriitiliste andmekogude töögrupp, kes on asunudki eelnimetatud andmekogudes reguleerima omariikluse jaoks kõige olulisemate ehk kriitiste andmete kaitset.
Riigikontroll vaatas auditi käigus, kuidas on riik välja valinud riikliku jätkusuutlikkuse tagamiseks kriitilised andmed ja andmekogud. Samuti uuriti, kas ja milliste vahenditega on nende andmete ja andmekogude turvalisus tagatud ning kas ja kuidas on tagatud neid andmeid sisaldavate andmekogude pikaajaline toimepidevus.
Tänu Eesti kuulumisele NATOsse ja Euroopa Liitu on riigi füüsiline julgeolek paremini kindlustatud kui kunagi varem. Siiski peab Eesti arvestama võimalusega, et julgeolekuprobleemide eskaleerumise korral võib ka küberturvalisus ohus olla. Seesugused ohustsenaariumid, aga ka viimasel ajal üha sagenevad infoturbeintsidendid, näiteks küberründed ja andmelekked, võivad paratamatult ohtu seada ka riigi jaoks olulisimad andmed ja andmekogud.
Kui riigile esmavajalikke andmeid ilma volitusteta muudetakse, need lekivad või hävinevad, ei suuda riik enam vajalikes funktsioonides toimida, sealhulgas tagada riigis elavate inimeste julgeolekut, osutada neile vajalikke teenuseid, luua ettevõtluseks vajalikku keskkonda jm.
Toomas Mattson
Riigikontrolli kommunikatsioonijuht
+372 640 0777
+372 513 4900
[email protected]
[email protected]
-
Postitatud:
24.05.2018 11:00
-
Viimane muudatus:
24.05.2018 10:59
-
Viimane ülevaatus:
24.05.2018 10:59