Riigil pole oma infosüsteemide turvalisuse kohta täielikku ülevaadet
/nginx/o/2017/01/27/6287643t1hc88d.jpg)
4. november 2014, 21:02
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Riigikontroll tõi välja, et paljud riigi infosüsteemid ei ole rakendanud nõutud turvareeglistikku, mistõttu ei ole teada, kas infosüsteemid on turvalised ning andmed ajakohased. Riigi infosüsteemide amet (RIA) on probleemist teadlik, ent toonitab, et auditeerimata infosüsteemid ei pruugi veel olla ebaturvalised.
Selleks, et andmed riigi infosüsteemides oleks kaitstud, õiged ja asjakohased, on Eestis kehtestatud ühtsed infoturbe reeglid ehk kolmeastmelise etalonturbe süsteemi ISKE. Infosüsteemidele on antud turvatasemed (kõrge, keskmine ja madal), millele on erinevad nõuded.
Samas kinnitas riigikontroll, et nõutud infoturbereegleid ei ole suudetud täita suures hulgas riigiasutustes ja infosüsteemides. Riigi infosüsteemi haldussüsteemi kohaselt vastab riigi kehtestatud reeglistikule vaid 59 protsenti kohustust omavatest infosüsteemidest. Näiteks on ISKE rakendamine lõpule viimata sellistes riigi infosüsteemides nagu rahapesu andmebüroo andmekogu, isikut tõendavate dokumentide andmekogu ja riigikogu hääletussüsteem.
Riigikontrolli hinnangul tuleks määrata uus tähtaeg, mis ajaks tuleb infoturbenõudeid rakendada. Kui seda kindlaks tähtajaks teha ei suudeta, siis tuleks infosüsteemi kasutamine peatada.
Andmed puuduvad
Seejuures tuleb reeglite rakendamist ka auditeerida, ent seda on tehtud vähe – vaid viiendiku ulatuses.
Samas tulid reeglid valitsuse määruse kohaselt rakendada hiljemalt 2008. aasta lõpus ning sõltuvalt infosüsteemi turbeastmest tuli esimest korda auditeerida hiljemalt 1. märtsiks 2011. 2008. aastal eraldati ISKE rakendamiseks 1,9 miljonit eurot, 2012. aastal ligi 300 000 eurot omavalitsustele.
«See, kui infosüsteem on kontrollimata, ei tähenda seda, et see on ebaturvaline. Selle süsteemi kohta, mis ei ole auditeeritud, ei ole andmeid, aga see ei tähenda kindlasti ka seda, et süsteem on ebaturvaline,» ütles riigi infosüsteemi ameti (RIA) kommunikatsioonijuht Rauno Veri.
Intsidentide käsitlemise osakonna infoturbe ekspert Anto Veldre selgitas, et pole välistatud, et mõne süsteemi turvatase on de facto tagatud, kuid ISKE mõte on, et turvataseme tagamine oleks ka selgelt demonstreeritud.
«Samas, kui mingid meetmed on rakendamata, tähendab see, et turvaintsidendi aset leidmise tõenäosus tõuseb, mitte aga seda, et intsident koheselt ja automaatselt leiakski aset,» lisas Veldre.
RIA peab end kontrollija asemel pigem partneriks
Põhjuseid, miks riigiasutused ei ole ISKE rakendamisega kõigis oma süsteemides lõpuni jõudnud, on mitu. Enamasti toodi riigikontrollile välja raha puudumist.
RIA hinnangul on asjad paranema hakanud. «2013. aastast on riigiasutustel kohustus määrata infoturbe eest vastutav isik, mis on oluliselt parandanud sisuliste turvameetmete rakendamise taset - paranenud on intsidentide avastamine, nendest teavitamine ja siseste regulatsioonide täitmise kontroll,» selgitas Veri.
Alates 1. juulist on RIAl ka haldusjärelvalve ja riikliku järelevalve õigused ning sunnimeetmete rakendamise võimalus. RIA leiab aga, et riigiasutused ja riiklikke funktsioone täitvad ettevõtted peavad suutma oma infoturberiske ise hinnata ning rakendada meetmeid ohtude maandamiseks.
«Turbestandardid annavad selleks platvormi ning võimaldavad ka hinnata ettevõtte või asutuse teadlikkust infoturbe vallas, kuid turvalisuse tagamise edukus sõltub eelkõige asutuse juhtkonna ning turvaspetsialistide võimest riske tuvastada ja neid adekvaatselt hinnata ning maandada,» selgitas Veri.
«RIA soovib olla selleks eelkõige hea partner ja kasutada sunnimeetmeid alles siis, kui muud võimalused on ammendunud,» lisas ta.
Audiitorfirma: omavalitsuste prioriteedid on mujal
Ettevõte KPMG teeb muu hulgas ka ISKE turvasüsteemi auditeid. IT nõustamisteenuste juht Teet Raidma usub, et probleem ei ole nii suur kui riigikontrolli toodud osakaalud näitavad.
«Andmekogusid on väga erineva suurusega, kasutajate hulga ja kriitilisusastmega. Kui teha täiendav analüüs, mis arvestaks näiteks andmekogu poole pöördumiste arvuga, siis saaks kindlasti tulemuseks, et suurem osa päringuid Eestis tehakse andmekogudest, kus on ISKE rakendatud ja auditeeritud,» arvab Raidma.
Samas nentis ta, et probleem on siiski olemas. Raidma sõnul annab ISKE rakendamine sõnumi, et infoturbega asutuses tegeletakse. Samas võib infoturbega tegeleda ka ilma ISKE metoodikat kasutamata. «Maailmas on olemas erinevaid infoturbestandardeid. Enimkasutatav ehk ISO/IEC 27001 , mille uuem versioon on ka kenasti eesti keeles kättesaadav. Seega, ISKE mitterakendamine ei tähenda automaatselt suurt infoturberiski, kui organisatsioonis järgitakse muid infoturbe praktikaid. Samas, kui seadusega on sätestatud ISKE, siis seaduse mittetäitmine ei ole kuidagi vabandatav,» lisas ta.
Raidma selgitas, et ISKE on oma olemuselt etalonturbesüsteem, see tähendab et nõutava infoturbetaseme saavutamiseks tuleb asutusel rakendada etteantud hulk infoturbemeetmeid. Kui mingi osa nendest on rakendamata, ei ole võimalik ISKE auditit edukalt läbida. Etalonturbe puhul ei ole vaja viia läbi detailset riskianalüüsi, eeldatakse et etteantud komplekt meetmeid maandab ära tüüpilisemad riskid. «Etalonturbe nõrk koht on aga see, et see kehtib ühesuguselt kõikidele organisatsioonidele ja ei arvesta tegelike riskide ja paraku ka võimalustega. Kui kohalikul omavalitsusel on piltlikult valida, kas kasutatava ressurss läheb sotsiaaltoetuste maksmiseks või ISKE juurutamiseks, siis on arusaadav, miks ei ole suudetud seda senini teha,» nentis Raidma.
Lisaks rahapuudusele on ka puudu infoturbespetsialistidest.