Mida me auditi tulemusel leidsime ja järeldasime?

Auditeeritud kümne riigiasutuse ja ühe avalik-õigusliku juriidilise isiku serveriruumides ja serveriruumide tööks vajalikes tehnilistes ruumides on vajalikud turvameetmed üldjuhul rakendatud.  IT-majade kontoriruumides rakendatakse esmaseid vajalikke turvameetmeid füüsilise turvalisuse tagamiseks ja volitamata ligipääsu riski ruumidesse on vähendatud aktsepteeritavale tasemele.

Positiivsele üldhinnangule vaatamata leidis Riigikontroll mõningaid puudusi serveri- ja kontoriruumide füüsilise turvalisuse tagamisel.

Auditi käigus leidis Riigikontroll mitmeid probleeme serveriruumides vajalike tingimuste tagamisel, s.t jahutus- ja ventilatsiooniseadmete, aga samuti tule-, suitsu- ja veelekkeandurite töö tagamisel. Mõnes auditis vaadeldud serveriruumis oli ebatõhusalt korraldatud serveriruumi jahutus. Lisaks olid kahe auditeeritud asutuse vanemates serveriruumides puhvertoite seadmed ja jahutusseadmed serveriruumides sees, see aga suurendab seadmete ülekuumenemise või põlengu tekkimise riski. Osas serveriruumides ei olnud kasutusel täppiskliimaseadmeid. Samuti hoiustati mitme auditeeritud asutuse serveriruumides ja serveriruumi abiruumis tuleohtlikke materjale, näiteks pappkaste. 

Riigikontroll tegi tähelepanekuid serveriruumide ja kontoriruumide valvestamise ning valvesüsteemide kaitsmise kohta. Ühes auditi valimis olnud asutuses ei valvestatud serveriruumi. Teise auditeeritud asutuse videovalvesüsteem ei olnud piisavalt kaitstud, videovalve keskseadmetele pääses ligi liiga suur hulk kasutajaid. Mitmel asutusel ei olnud kordades kindlaks määratud, kui kaua minimaalselt tuleb säilitada videovalve salvestisi ning ühel asutusel juurdepääsu ja valvestamise logisid. Ühe auditeeritud asutuse büroohoones valvestati töövälisel ajal vaid sissepääsukorruse kontoriruumid.

Serveriruumide hoonete välise turvaperimeetri kaitsel esines probleeme serveriruumide tööks vajalike rajatiste kaitsmisel. Näiteks ei olnud ühe auditeeritud asutuse hoone väline perimeeter kaetud vajalike anduritega. Samuti esines puudusi ühe teenindava alajaama kaitsmisel. 

Juurdepääsuhalduse korraldamisel leidsime mõningaid probleeme nii organisatsiooniliste kui ka tehniliste meetmete rakendamisel. Näiteks pääses ühe auditeeritud asutuse serveriruumi ühefaktorilise autentimisega, s.t ainult uksekaarti kasutades. Teisel asutusel oli aga juurdepääsusüsteemi keskseadmele võimalik ligi pääseda administraatori õigustes valvelauaarvutist. 

Auditi tulemusena tegi Riigikontroll iga auditeeritud asutuse turvalisuse kohta detailsemad tähelepanekud ja andis soovitusi, kuidas olukorda parandada.