TALLINN, 2. märts 2021 – Riigi Infosüsteemi Amet (RIA) on üldiselt taganud X-tee keskuse töökindluse, kuid X-teed kasutavate eraettevõtete infoturbe taset X-teega liitumisel ja kasutamisel ei kontrollita, tuvastas Riigikontroll oma täna avaldatud auditiaruandes „X-tee haldus ja töökindlus“.
Auditiaruandes jõudis Riigikontroll järeldusele, et X-tee taristu kesksed teenused on olnud võrdlemisi töökindlad: X-tee teenustes on viimase kolme aasta jooksul olnud X-tee kesksetest komponentidest tingituna üks olulise mõjuga katkestus. Riigi Infosüsteemi Amet on selgitanud välja X-tee töökindlust ohustavad olulisemad riskid ja hinnanud neid. Riskide maandamiseks on välja töötatud meetmed, millest mitmeid ka rakendatakse. Arvestades aga X-tee kaudu tehtavate päringute hulka – keskmiselt 133 miljonit päringut kuus –, muutuks X-tee mittetoimimisel enamiku avalike teenuste osutamine võimatuks või oleks olulisel määral raskendatud. X-tee kaudu toimuva andmevahetuse asendamine mitteelektroonilise andmevahetusega oleks praktiliselt võimatu või vähemalt väga kulukas.
Muret tekitab see, et mitmetel juhtudel ei ole X-teel andmeteenust pakkuvad asutused sõlminud teenuse kasutamise kokkuleppeid. Kui lepinguid siiski sõlmiti, ei teinud ükski auditeeritud riigiasutustest kokkuleppe sõlmimise eel kindlaks, kas eraettevõtjad rakendavad piisavaid meetmeid turvariskide maandamiseks, et tagada andmete terviklus, konfidentsiaalsus ja käideldavus. „Eraõiguslikud X-tee liikmed kinnitavad küll andmeteenuse kasutamise lepingut sõlmides, et nad rakendavad vajalikke meetmeid, kuid andmeteenuse osutajad kontrolli selle üle ei tee,“ kommenteeris auditijuht Toomas Viira.
Andmeteenuse kasutamise kokkulepete täitmist kontrollivad vaid üksikud andmetele juurdepääsu võimaldavad asutused. „Andmeteenuse kasutamise lepingute sõlmimata jätmine ja eraettevõtjate turvataseme kontrollimata jätmine kujutavad endast turvariski,“ lisas auditijuht Toomas Viira. „Nii võib tekkida isikutel, kellel selleks õigust pole, ligipääs riigi andmekogudele ja võimalus teha volitamata muudatusi.“
X-teed kasutusele võtvad asutused peavad rakendama infoturbega seotud riskide maandamiseks vajalikke meetmeid, kuid selgitamata on jäetud, milliseid turvameetmeid ja millisel tasemel tuleks rakendada. Vabariigi Valitsuse määrusega „Infosüsteemide andmevahetuskiht“ X-teele kehtestatud nõuded on kohati üldsõnalised ning võimaldavad liitunutel neid rakendamisel erinevalt tõlgendada.
Ehkki eraldi talitluspidevuse plaani X-tee kohta Riigi Infosüsteemi Amet koostanud ei ole, on turvalise andmevahetuse püsivaks toimimiseks kasutusele võetud meetmeid ning muudes dokumentides sätestatud nõudeid talitluspidevuse tagamiseks. Puudusteks võib pidada taastetestide tegemise ebaregulaarsust ja nende dokumenteerimata jätmist. Samuti seda, et X-teega seotud infovarade elutähtsust ja tundlikkust ei ole eraldi hinnatud.
Riigikontroll soovitas Riigi Infosüsteemi Ameti peadirektoril algatada X-tee toimimist korraldava määruse „Infosüsteemide andmevahetuskiht“ muudatus, mis teeks kehtestatud nõuded täpsemaks ja üheselt arusaadavaks, nii et andmeteenuse osutajatel oleks võimalik neid nõudeid rakendada ja Riigi Infosüsteemi Ametil nende rakendamist kontrollida. Samuti tuleks töötada välja vajalikud juhendid määrusest tulenevate nõuete rakendamiseks ja korraldada X-teed kasutavatele asutustele vajalikud koolitused.
Riigikontroll soovitas veel hinnata andmeteenuse kasutamise lepingute sõlmimata jätmisest tulenevaid riske andmekogude turvalisusele ja võtta kasutusele neid riske maandavad tegevused. Samuti tuleb kaaluda andmeteenuse kasutamise kokkulepete sõlmimise ja taotluste halduse funktsionaalsuse lisamist, et muuta X-tee portaali andmeteenuste avamine ja kasutamine senisest vähem bürokraatlikuks.
Riigikontroll soovitas töötada välja X-tee teenuseid kasutavate eraõiguslike juriidiliste isikute kontrollimise süsteem, et tagada andmete terviklus, konfidentsiaalsus ja käideldavus. Lisaks soovitas Riigikontroll korraldada regulaarselt X-tee kesksete komponentide taastetestimisi ning dokumenteerida need. Puuduste esinemise korral tuleb võtta ette vajalikud parendustegevused.
Taustaks:
X-tee on tehniline infrastruktuur ja keskkond, mis võimaldab turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust. X-teega oli liidestunud 02.02.2021. a seisuga 834 asutust. Aastal 2020 tehti X-tee kaudu 1,57 miljardit päringut. 2020. aasta 1. detsembri seisuga oli X-teega liitunud 200 avaliku sektori asutust (sh kohaliku omavalitsuse asutused) ja 525 erasektori asutust ning kaudselt kasutas X-tee teenuseid ligikaudu 52 000 ettevõtet ja asutust.
Auditeeritud periood oli aeg alates 2020. aasta algusest, mil oli võimalik kasutada ainult X-tee versiooni 6, sh selle lahendusi, õigusakte, juhendeid, rakendatud meetmeid jm.
Auditeerimisel lähtuti X-tee määruse kehtivast versioonist (Vabariigi Valitsuse 23.09.2016. a määrus nr 105 „Infosüsteemide andmevahetuskiht“).
Auditis vaadeldi X-teega seotud töökorraldust ja X-tee arendamise reegleid Riigi Infosüsteemi Ametis. Peale selle auditeeriti X-teega seotud töökorraldust järgmistes asutustes: Haridus- ja Teadusministeerium, Kaitseministeerium, Majandus- ja Kommunikatsiooniministeerium, Kultuuriministeerium, Keskkonnaministeerium, Maaeluministeerium, Välisministeerium, Maksu- ja Tolliamet, Maanteeamet, Tervise ja Heaolu Infosüsteemide Keskus, Siseministeeriumi infotehnoloogia- ja arenduskeskus, Rahandusministeeriumi Infotehnoloogiakeskus ning Registrite ja Infosüsteemide Keskus. Lisaks sellele vaadeldi kolme kohalikku omavalitsust ning kolme riigile kuuluvat ühingut: vastavalt Pärnu, Tartu ja Tallinna linnavalitsust ning Elering ASi, OÜd TS Laevad ning Riigimetsa Majandamise Keskust.
Priit Simson
Riigikontrolli kommunikatsioonijuht
+372 640 0102
+372 5615 0280
[email protected]
[email protected]
http://www.riigikontroll.ee/
-
Postitatud:
02.03.2021 10:00
-
Viimane muudatus:
02.03.2021 10:12
-
Viimane ülevaatus:
02.03.2021 10:12