23:20 19. August 2019
Kuula otse
  • USD1.1103
  • RUB74.2984
Illustreeriv foto

Kriitiliste andmekogude turvalisuse tagamine vajab oluliselt rohkem hoolt

© Fotolia / Jfhp
Eesti uudised
lühendatud link
4820

Eesti riigi kriitiliste andmekogude turvalisuse ja säilitamise tagamine vajab senisest palju rohkem tähelepanu – puudu on õiguslik raamistik, mitmes kriitilises andmekogus on olulisi puudujääke infoturbe tagamisel, näiteks logide analüüsimisel, läbistustestimisel, mobiilsete seadmete kaitsmisel, teatab Riigikontroll.

TALLINN, 24. mai — Sputnik. Riigikontrolli auditile on ligikaudu pooles ulatuses kehtestatud juurdepääsupiirang – teatud osad on mõeldud vaid asutusesiseseks kasutamiseks. Riigikontroll on avaldanud aruandest üldisi probleeme käsitlevad osad. Et mitte ohustada kriitilisi andmeid ja andmekogusid, edastas Riigikontroll detailsemad tähelepanekud ja soovitused infoturbe korralduse kohta auditeeritud asutustele eraldi asutusesiseseks kasutamiseks mõeldud dokumendina.

Kokkuvõtlikult on Riigikontrolli tähelepanekud järgmised:

* Eestis on praegu identifitseeritud kümme omariikluse seisukohast kriitilise tähtsusega andmekogu: e-toimik, kinnistusraamat, äriregister, Riigi Teataja infosüsteem, maakataster, riigikassa infosüsteem, maksukohustuslaste register, rahvastikuregister, isikut tõendavate dokumentide register ja riiklik pensionikindlustuse register. Et tingimused kriitiliste andmekogude väljavalimiseks ei ole kindlaks määratud, puudub kindlus, et protsessi oleks kaasatud kõik vajalikud andmekogud.

Jõustus uus küberturvalisuse seadus>>

Poolte auditeeritud andmekogude ehk viie andmekogu varukoopiaid viiakse küll füüsiliselt kord kvartalis varundusmeedial välismaale Eesti saatkondadesse, kuid kas nendelt ka reaalselt infosüsteemide tööd taastada õnnestub, pole testitud. Kriitiliste andmekogude omanikud avaldasid auditi käigus arvamust, et pigem ei ole neid koopiaid võimalik hõlpsasti ja kiiresti töökõlblikuks muuta, sest töö ja teenuste taastamiseks on vaja, et ka rakendustarkvara ning erinevad tugiteenused toimiksid.

Kümnest viie andmekogu puhul poleks praegu siinsete andmekeskuste hävimise korral riigi toimimiseks vajalike andmete säilimine tagatud. Mõned asutused ei ole ka täielikult mõistnud, milliste ohtude eest tuleb andmekogu kaitsta ja millisteks ohustsenaariumiteks valmistuda.

* Kriitiliste andmekogude varundamise ja säilitamise probleemi lahendamiseks on majandus- ja kommunikatsiooniministeeriumil kavas luua andmesaatkond ehk oma serveriruum välisriigi riiklikus andmekeskuses ja hakata andmeid välismaale varundama elektrooniliselt, andmesidekanali vahendusel. See võimaldaks tagada peale andmete hoiustamise ka teenuste opereerimise võimekuse ehk kui Eestis mingi andmekeskus hävib, saab selle teenuseid osutada eemalt. Selle eesmärgi saavutamiseks on astutud ka sammud – Luksemburgi andmekeskusega on sõlmitud leping, tegeldakse seadmete, sidekanali jm küsimustega. Juuni lõpupoole plaanitakse andmesaatkond käivitada, s.t valmis saab seadmetega varustatud serveriruum kriitiliste andmekogude varundamiseks. Algselt hoitakse seal ainult varukoopiad, kuid edaspidi plaanitakse üles ehitada ka võimekus osutada andmesaatkonnast teenuseid.

USA sotsiaalmeediafirma Facebook juht Mark Zuckerberg vabandas europarlamendis, illustreeriv foto
© AP Photo / Pablo Martinez Monsivais

Teiste andmesaatkondade loomist praegu planeeritud ei ole, seda teemat analüüsib ja otsustab majandus- ja kommunikatsiooniministeerium Luksemburgi projekti järel. Kuna praegu pole esimese andmesaatkonna tegevusega seotud üksikasjad kokku lepitud (nt mida, mil moel, millise sagedusega, millisel meetodil varundama hakatakse), ei ole ka kalkulatsiooni, kui palju võiks maksma minna kriitiliste andmekogude elektrooniline varundamine Luksemburgi andmesaatkonda (nt igale andmekogu omanikule).

Sputnik Eesti pressikeskuses arutletakse EL-i isikuandmete kaitse seaduse üle>>

* Eesti riigi kriitiliste andmekogude kontseptsiooni elluviimiseks ei ole kehtestatud tegevusplaani ega nõudeid, samuti puudub detailsem riskianalüüs ja tegevuskava edasiseks. Kriitiliste andmekogude kaitsmiseks kokku lepitud täiendavad meetmed, sh konkreetne tegevuskava ja tähtajad, ei ole üheski dokumendis ametlikult kindlaks määratud. Puudub õiguslikult kohustuslik reeglistik. Senine tegevus põhineb osalt informaalsel aktiivsusel. Riigikontroll eeldas, et riik on määranud kindlaks kriitiliste andmekogude pidamisega seotud osapooled (nt keskne koordineerija, kriitilise andmekogu omanik) ning nende rollid (sh õigused, kohustused). Audit näitas, et seni on kogu protseduuri kirjeldatud vaid memos, mille kriitiliste infosüsteemide töögrupp 2017. aasta märtsis koostas. Üheski õigusaktis pole kriitiliste andmekogude määramise ja ülalpidamise reeglistikku ametlikult kindlaks määratud ega reguleeritud.

* Nõutud sagedusega oli Eesti riigiasutustele kohustusliku infoturbesüsteemi ISKE järgimise auditeid läbi viidud vaid kahes kriitilises andmekogus kümnest. Kahes kriitilise tähtsusega andmekogus jõuti ISKE andmeturbeauditi tegemiseni alles Riigikontrolli audititoimingute ajal 2017. aasta lõpupoole ehk seitse aastat hiljem (sic!), kui neis andmekogudes oleks seda kohustuslikus korras pidanud tegema.

* Mitmes kriitilises andmekogus on olulisi puudujääke infoturbe tagamisel, näiteks logide analüüsimisel, mobiilsete seadmete kaitsmisel, kõvaketaste krüpteerimisel. Riigikontroll leidis, et kasutada tuleks ka failide tervikluse kontrolli vahendeid. Piirata tuleks irdseadmete kasutamist kriitilise andmekoguga ühenduses olevas arvutivõrgus. Osa kriitiliste andmekogude omanikke oli küll sisemiselt teinud turvatestimisi ja sisevõrgu skaneerimist, ent oli ka kriitilisi andmekogusid, kus regulaarselt väliseid läbistusteste ei olnud tehtud ehk ei olnud katsetatud, kas õnnestub väljast asutuse sisevõrku või andmekogusse sisse murda ja seal andmeid muuta või hävitada. Ei maksa alahinnata ka kriitiliste andmekogude füüsilise kaitse vajadust.

Kriitilised andmekogud:

E-toimik, kinnistusraamat, äriregister, Riigi Teataja – omanik on Justiitsministeerium ning haldaja Justiitsministeeriumi Registrite ja Infosüsteemide Keskus (RIK).

200 000 eestlase sotsiaalmeedia kontodele murti sisse>>

Maakataster – omanik on Maa-amet ja haldaja ehk katastripidaja on Keskkonnaministeeriumi Infotehnoloogiakeskus.

Riigikassa infosüsteem – omanik on Rahandusministeerium ja haldaja Rahandusministeeriumi Infotehnoloogiakeskus (RMIT).

Maksukohustuslaste register – omanik on Maksu- ja Tolliamet ning haldaja RMIT.

Rahvastikuregister – omanik on Siseministeerium ja haldaja Siseministeeriumi infotehnoloogia- ja arenduskeskus.

Isikut tõendavate dokumentide register – omanik on Politsei- ja Piirivalveamet (PPA) ning haldaja Siseministeeriumi infotehnoloogia- ja arenduskeskus.

Riiklik pensionikindlustuse register – omanik on Sotsiaalkindlustusamet (SKA) ning haldaja Tervise ja Heaolu Infosüsteemide Keskus (TEHIK).

Tagid:
andmebaas, riigikontroll, Eesti

Peamised teemad