Sikkut: andmekogude infoturbe nõuete eirajaid ootavad sanktsioonid

Siim Sikkut.

FOTO: Peeter Langovits

Riigikontrolli tuvastatud puudused kriitiliste andmekogude turvamisel kaua jätkuda ei saa, kuna Riigi Infosüsteemi Amet (RIA) sai eilsest tublisti juhtimis- aga ka sanktsioonide kehtestamise õigusi juurde, leiab majandus- ja kommunikatsiooniministeeriumi IT-asekantsler Siim Sikkut.

«Töötasime välja Eesti uue küberturvalisuse seaduse, mis jõustus eile. Uus küberturvalisuse seadus näeb väga konkreetselt ette, millised on nõuded ja kohustused, mida ettevõtjad ja riigiasutused peavad täitma. Nõuded on varasemast täpsemad ning riigi infosüsteemi ametile on veelgi selgem ülesanne olla kontaktiks asutustele, kes vajavad nõuete täitmisel soovitusi ja abi. Samuti kontrollib riigi infosüsteemi amet nõuete täitmist ning saab rakendada sanktsioone nõuete mitte täitmisel,» ütles Siim Sikkut Postimehele.

Sikkuti sõnul on MKMi suund kriitiliste andmekogude kaitsel olnud luua vajalikku korraldust ja raami  praktika põhjal, et siis 2019. aasta algusest laiemalt kehtestada. «Oleme lõpusirgel esimese andmesaatkonna rajamisega ning selle käivitamine on piloot laiemale tegevuskavale ja õigusraamistikule, täpselt nagu riigikontroll pakub,» lisas ta.

Sikkuti kinnitusel, on riigikontrolli välja toodud õppetunnid samad, mida MKM on ka ise tuvastanud, ning nende lahendamine on töös, juba ka enne auditit. MKM plaanis auditit kasutada lisasisendina.

«Oleme riigikontrolliga sama meelt ja oleme seda ka korduvalt ise välja öelnud, et riigi infosüsteemide infoturbesse pole piisavalt panustatud. Turvalist e-riiki ei saa arendada ühekordsete rahasüstidega ja projektidega, millest projekti lõppedes enam edasiseks tööks jõudu ja vahendeid ei jätku,» jätkas Sikkut. «Seetõttu võitlesime aprilli riigi eelarvestrateegia läbirääkimisel IKT-valdkonda lisarahastuse suunamise nimel kokku 118 miljonit eurot, mis lähevad enamjaolt just Eesti riigi infosüsteemide turbesse, ülalhoidu ja ajakohastamisse.»

Riigikontroll: on olulisi puudujääke

Eesti riigi säilimiseks vajalike kriitiliste andmebaaside infoturbes on olulisi puudujääke, leiab olukorda analüüsinud riigikontroll.

«Kriitilise andmekoguna on Eestis määratletud küll kõigest kümme andmekogu, kuid vaatamata sellele saab auditi kokkuvõttena öelda, et enamiku puhul ei ole infoturbesüsteemi rakendamist nõutud regulaarsusega auditeeritud, paljud kriitilised andmekogud ei ole täielikult kaitstud volitamata juurdepääsu vastu ning paljudele kriitilistele andmekogudele on lubatud juurdepääs kontrollimata seadmetest,» ütles riigikontrolör Janar Holm auditi kokkuvõtteks.

Auditit juhtinud Toomas Viira sõnu pole riigis kindlaks määratud kriteeriume, millised andmekogud peaksid olema kriitilise tähtsusega. Vastava valiku on teinud valitsuse juures tegutseva küberjulgeoleku nõukogu üks töörühmadest ja vastavasisulise otsuse küberjulgeolekunõukogu.

Välja on see siiski valinud kümme kogu ning neist vaid viie andmeid varundatakse füüsiliselt – diplomaatilise postiga – keskmiselt kord kvartalis välissaatkondades olevatesse serveritesse. Kui näiteks rahvastikuregistri põhiandmebaasiga peaks täna midagi fataalset juhtuma, siis pole ime, kui kaduma lähevad kõigi viimase kolme kuu jooksul sündinud laste identiteet.

Ülejäänud viis on aga sellised, mille puhul ei toimu üldse välismaale varundamist ja kui need süsteemid hävivad, siis lõplikult ja koos andmebaasidega.

Kuid probleem on ka varundatavate kogudega – mitte kordagi pole testitud, kas need andmebaasid õnnestub ka välismaal tööle panna – tegelikult pole teada, kas infosüsteemid õnnestub nende pinnalt taastada. Kriitiliste andmekogude omanikud avaldasid auditi käigus arvamust, et pigem ei ole neid koopiaid võimalik hõlpsasti ja kiiresti töökõlblikuks muuta, sest töö ja teenuste taastamiseks on vaja, et ka rakendustarkvara ning erinevad tugiteenused toimiksid.

Tagasi üles