Riigikontroll: riigiasutuste serveriruumid vajavad paremat kaitset

02.11.2023 | 10:00

Teksti suurus: [-A] [+A]

Keel: EST | RUS | ENG

Print

TALLINN, 2. november 2023 – Ehkki riigiasutuste serveriruumides ja toetavates tehnilistes ruumides on põhilised turvameetmed üldjuhul rakendatud, tuleks mitmel pool vähendada ebasobivast mikrokliimast, tulest, veelekkest või ebapiisavast valvest tingitud riske, leiab Riigikontroll oma täna avaldatud aruandes.

11 riigiasutust auditeerinud Riigikontroll leidis mitmete riigiasutuste serveriruumide puhul probleeme vajalike tingimuste tagamisel. Näiteks ei olnud mitmel puhul piisava kindlusega tagatud jahutus- ja ventilatsiooniseadmete, aga samuti tule-, suitsu- ja veelekkeandurite töö. Mõnes vaadeldud serveriruumis oli ruumi jahutus ebatõhusalt korraldatud; leidus serveriruume, kus ei olnud kasutusel täppiskliimaseadmeid. Samuti hoiustati mõne auditeeritud asutuse serveriruumides ja serveriruumi abiruumis tuleohtlikke materjale, näiteks pappkaste.

Riigikontroll tegi tähelepanekuid serveriruumide ja kontoriruumide valvestamise ning valvesüsteemide kaitsmise kohta. Ühes auditeeritud asutuses serveriruumi ei valvestatud. Riigikontroll osutab, et kontorihoone osaline tehnilise valveta jätmine suurendab lubamatu sissetungi, seega andmete ja IT-vahendite varguse või nendega manipuleerimise riski.

Teise auditeeritud asutuse videovalvesüsteem ei olnud piisavalt kaitstud, videovalve keskseadmetele pääses ligi liiga suur hulk kasutajaid. Mitme asutuse puhul ei olnud kordades kindlaks määratud, kui kaua minimaalselt tuleb säilitada videovalve salvestisi, ning ühel asutusel polnud määratud juurdepääsu ja valvestamise logide säilitamise aega.

Riigikontroll juhib tähelepanu, et sissepääsu- ja valvestamislogi puudumisel ei saada ülevaadet, kes ja millal on viibinud serveri- ja kontoriruumides ning millal on sisse lülitatud tehniline valve. Kui logisid ja videosalvestisi ei säilitata piisavalt kaua, raskendab see füüsilise juurdepääsu intsidentide lahendamist.

Serveriruumide hoonete välise turvaperimeetri kaitsel esines probleeme serveriruumide tööks vajalike rajatiste kaitsmisel. Näiteks ei olnud ühe auditeeritud asutuse hoone väline perimeeter kaetud vajalike anduritega.

Juurdepääsuhalduse korraldamisel leidis Riigikontroll mõningaid probleeme nii organisatsiooniliste kui ka tehniliste meetmete rakendamisel. Näiteks pääses ühe auditeeritud asutuse serveriruumi ühefaktorilise autentimisega, ainult uksekaarti kasutades. Teisel asutusel oli aga juurdepääsusüsteemi keskseadmele võimalik ligi pääseda administraatori õigustes valvelaua-arvutist.

Auditi tulemusena tegi Riigikontroll iga auditeeritud asutuse turvalisuse kohta detailsemad tähelepanekud ja andis soovitusi, kuidas olukorda parandada.

Taustaks

Auditi eesmärk oli hinnata, kas serveriruumides, serveriruumide toimimiseks vajalikes ruumides ja kontoriruumides rakendatakse ettenähtud turvameetmeid ning kas riskid on vähendatud aktsepteeritavale tasemele. Auditi üldhinnangu andmisel võeti aluseks järgmised kriteeriumid:

  • Riigiasutuste serveriruumides ja serveriruumide tööks vajalikes tehnilistes ruumides on rakendatud turvameetmed, mis tagavad ruumide füüsilise turvalisuse.
  • Riigiasutustes on rakendatud sisekontrollisüsteem, mis vähendab volitamata isikute ligipääsu riski hoonetesse ja ruumidesse aktsepteeritavale tasemele.

Asutused, mille kasutuses olevad serveriruumid kuulusid ekspertvalimisse:

  • Riigi Infokommunikatsiooni Sihtasutus,
  • Rahandusministeeriumi Infotehnoloogiakeskus,
  • Maksu- ja Tolliamet,
  • Maaeluministeerium (nüüd Regionaal- ja Põllumajandusministeerium),
  • Põllumajanduse Registrite ja Informatsiooni Amet,
  • Eesti Rahvusringhääling,
  • Tervise ja Heaolu Infosüsteemide Keskus,
  • Keskkonnaministeeriumi infotehnoloogiakeskus (nüüd reorganiseeritud Kliimaministeeriumi alluvusse),
  • Registrite Infosüsteemide Keskus,
  • Siseministeeriumi infotehnoloogia- ja arenduskeskus ning
  • Riigi Info- ja Kommunikatsioonitehnoloogia Keskus.

Asutused, mille kasutuses olevad kontoriruumid kuulusid ekspertvalimisse:

  • Riigi Infokommunikatsiooni Sihtasutus,
  • Riigi Info- ja Kommunikatsioonitehnoloogia Keskus,
  • Maaeluministeerium,
  • Põllumajanduse Registrite ja Informatsiooni Amet,
  • Keskkonnaministeeriumi infotehnoloogiakeskus,
  • Registrite Infosüsteemide Keskus,
  • Rahandusministeeriumi Infotehnoloogiakeskus,
  • Siseministeeriumi infotehnoloogia- ja arenduskeskus ning
  • Tervise ja Heaolu Infosüsteemide Keskus.

Auditeerimisperioodiks oli ajavahemik 2023. aasta jaanuarist juunini.

Priit Simson
Riigikontrolli kommunikatsioonijuht
+372 640 0102
+372 5615 0280
[email protected]
[email protected]

http://www.riigikontroll.ee/

  • Postitatud: 02.11.2023 10:00
  • Viimane muudatus: 01.11.2023 14:13
  • Viimane ülevaatus: 01.11.2023 14:13

Mitmete riigiasutuste serveriruumide puhul on probleeme jahutus- ja ventilatsiooniseadmete, aga samuti tule-, suitsu- ja veelekkeandurite tööga.

Lisamaterjalid

Dokumendid

Veel uudiseid