Riigikontrolli audit näitas, et ehkki juurdepääsuhaldus tagab, et auditeeritud andmekogudes pääsevad andmetele juurde vaid volitatud isikud, on kahe andmekogu puhul neil isikutel liiga laiad juurdepääsuõigused. Senisest enam tuleb asutustes tegeleda logiandmete analüüsimise ja andmepäringute põhjendatuse kontrolliga, et ära hoida intsidente või vähendada juba toimunud intsidentide mõju.
Auditi peamised tähelepanekud
Riigi andmekogudele kohustuslik infoturbe rakendamise audit oli läbi viidud viiest auditeeritud andmekogust neljas. Neis auditites ei olnud juurdepääsuhalduse mooduli turvameetmeid üle kontrollitud, kuna selleks ei kohustanud audiitoreid kolmeastmelise etalonturbe süsteemi ISKE auditeerimise juhend. Juurdepääsuõiguste auditeerimine tuleks tundlike andmete korral edaspidi kohustuslikuks muuta, kuna see aitaks maandada andmete turvalisusega seonduvaid riske.
Andmekogudes SKAIS1 ja STAR on kasutajate juurdepääs liiga ulatuslik. Näiteks on STARis omavalitsuse ametnikul võimalik pääseda juurde teiste omavalitsuste elanikega seotud menetlustele ja neis sisalduvatele andmetele. Kuivõrd STARis ei ole rakendatud logide analüüsimise ja päringute põhjendatuse kontrolliks vajalikke meetmeid, suureneb andmete väärkasutamise risk.
Auditeeritud andmekogudes koguti ja säilitati küll logiandmeid ehk infot andmekogus toimunud sündmuste kohta, ent neid logisid ei analüüsitud süsteemselt ega regulaarselt ning sellekohast kohustust ei olnud kehtestatud ka asutuste või andmekogude tegevust reguleerivates dokumentides. Logiandmeid on vaja analüüsida, et jooksvalt või tagantjärele avastada andmekogudes esinevad rikked või toime pandud intsidendid ning välja selgitada nende tekkimise põhjused.
Auditeeritud andmekogudes ei viidud läbi andmepäringute põhjendatuse regulaarset ega süstemaatilist seiret või kontrolli. Seesuguste kontrollimiste tegemine oli täpsemalt reguleerimata ka asutuste või andmekogude tegevust reguleerivates dokumentides. Kontrolle tehti pigem ebaregulaarselt ning vaid avastatud intsidentide, andmesubjektide päringute/kaebuste või muude väliste sündmuste järel.
Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond registreeris 2021. aastal Eestis ca 73 800 automatiseeritud teadet turvanõrkuste kohta ja ca 2200 mõjuga intsidenti (vt joonis 1). Enamik neist intsidentidest rajanes juurdepääsu ülevõtmisel või oli suunatud juurdepääsuõiguste ärakasutamisele, et üle võtta võõraid kasutajakontosid ja seeläbi ohustada andmete õigsust või lekitada andmeid.
Riigi andmekogud, mis sisaldavad suurel hulgal isikuandmeid, võivad samuti sattuda küberrünnakute sihtmärgiks.
Joonis 1. Intsidendid ja teavitused aastatel 2017–2021
Allikas: Riigi Infosüsteemi Amet
Auditi peamised soovitused
Riigikontrolli soovitused justiitsministrile, Politsei- ja Piirivalveameti peadirektorile, Sotsiaalkindlustusameti peadirektorile, Tervise ja Heaolu Infosüsteemide Keskuse direktorile, Registrite ja Infosüsteemide Keskuse direktorile ning Siseministeeriumi infotehnoloogia- ja arenduskeskuse peadirektorile
- Täiendada valitsemisalade või asutuste infoturbe kordasid nii, et reguleeritud oleks ka päringute põhjendatuse kontroll.
- Täiendada valitsemisalade või asutuste infoturbe kordasid nii, et reguleeritud oleks ka logide jooksva analüüsimise kohustus, samuti võtta kasutusele turvateabe ja sündmuste analüüsimise vahend SIEM.
Justiitsministeeriumi kantsler, Politsei- ja Piirivalveameti peadirektor, Sotsiaalkindlustusameti peadirektor, Tervise ja Heaolu Infosüsteemide Keskuse direktor, Registrite ja Infosüsteemide Keskuse direktor ning Siseministeeriumi infotehnoloogia- ja arenduskeskuse peadirektor nõustuvad Riigikontrolli soovitustega ja asuvad neid käesoleval aastal ellu viima.
Riigikontrolli soovitus ettevõtlus- ja infotehnoloogiaministrile
- Muuta infoturberaamistiku (ISKE ja hiljem E-ITS) rakendamise auditeerimise reegleid ja juhendeid nii, et vähemalt keskmise tervikluse ja konfidentsiaalsuse turvaklassi korral auditeeritakse ka juurdepääsuõigusi.
Ettevõtlus- ja tehnoloogiaminister vastas, et 16.12.2022 kehtestatud E-ITSil põhineva auditi tegemise juhendi kohaselt kontrollib audiitor, kuidas organisatsioon on talle kohaldatud põhimeetmeid rakendanud. Kui neid meetmeid on mingil põhjusel osaliselt rakendatud, siis ka seda aspekti kontrollitakse.
E-ITSis on olemas ligipääsuhaldusega seonduvad meetmed nagu kasutajakontode halduse eeskiri, õiguste andmine, muutmine ja tühistamine ning kasutajate õiguste dokumenteerimine.
Riigikontrolli soovitus Sotsiaalkindlustusameti peadirektorile ning Tervise ja Heaolu Infosüsteemide Keskuse direktorile
- Tagada, et STARi andmekogu kasutajad kohalikes omavalitsustes saaksid juurdepääsu vaid samas omavalitsuses elukoha aadressi registreerinud inimeste ja nendega seotud menetluste andmetele. Kui aga vajatakse juurdepääsu teiste omavalitsuste elanikega seotud menetlustele, siis määrata kindlaks täiendava juurdepääsu valideerimise kontrolliprotseduur.
Sotsiaalkindlustusameti peadirektor vastas, et ameti seisukohalt ei ole tegemist liiasusega, kuna nimetatud laiem lähenemise vajadus on seotud kohalike omavalitsuste töö spetsiifikaga.
Kui SKA hinnangul ei ole võimalik korraldada juurdepääsutaotluse menetlust piisavalt kiiresti ja selliselt, nagu abivajaduse hindamise protsess seda nõuab, siis tuleb andmete väärkasutuse ärahoidmiseks ja avastamiseks seda enam rakendada muid meetmeid (vt punktid 64 ja 86).