Omavalitsuste IT-taseme Metsik Lääs: lunavaranõuded, porno, häkkimised

Häkker.

FOTO: Scanpix

Riigikontrolli audit näitab, et Eesti omavalitsused ei ole olnud suutelised tagama nende kätte usaldatud andmete turvalist hoidmist IT-süsteemides ning tagajärjeks on mitmed lunavaranõuded, andmelekked ja  porno avaldamine kooliveebides.

«Kohati jäi riigikontrolli audiitoritele mulje, et mitmetes kohalikes omavalitsustes on justkui Metsik Lääs, kuhu kuuldused Eestis kehtivatest nõuetest infosüsteemide pidamisel pole jõudnud,» tõdes riigikontrolör Janar Holm auditi tulemusi kommenteerides.

Riigikontroll leiab, et IT-turbega seotud riske omavalitsustes ei teadvustata, mistõttu ei täideta valdavalt ka riigi seatud nõudeid, ehkki need on praeguseks kehtinud pea 10 aastat. Loodetud arengut ei ole kaasa toonud ei riigi teavitustegevus ega rahaline toetus.

Kõikidel auditeeritud omavalitsustel oli hindamata oma andmekogudes olevate andmete turbevajadus. Kohati on omavalitsustes raskusi isegi kõige madalama turbeastme turvameetmete rakendamisega.

Mitmel pool oli IT-kasutajatele antud kergekäeliselt piiranguteta õigusi, tihti puudus ka ülevaade, kes ja kuhu üldse ligi pääseb, paroolihaldus oli puudulik, turvapaikade paigaldamine oli jäetud paljuski kasutajate meelevalda, tarkvara legaalsust töökohaarvutites ei kontrollitud.

«See ongi kõige murettekitavam, et audiitorid kohtasid kohalikes omavalitsustes ka selliseid vastutavaid ametnikke, kelle jaoks turvameetmete süsteemi rakendamise, sh andmekaitse vajalikkus jäi niisama arusaamatuks kui investeerida turismireisi Marsile – see on midagi kauget, mis nende eluaja jooksul nagunii ei juhtu,» rääkis Janar Holm. «Ajal, kus teadaolevate küberturbejuhtumite arv Eestis on juba üle 10 000 aastas, on naiivne ja ohtlik endiselt arvata, et «meiega seda ju ei juhtu» või «meie andmed ei ole olulised».»

Probleemide põhjus võib riigikontrolli hinnangul peituda IT-spetsialistide väheses arvus omavalitsustes. Üldiselt on väikestes omavalitsustes IT antud mõne teise valdkonna spetsialisti vastutusalasse ning keskmise suurusega KOVides koosneb IT-teenistus kuni paarist spetsialistist. Peamiselt suudetakse pakkuda IT tehnilist tuge, aga spetsialiseerumist  on vähe.

Probleemide põhjusi võis leida ka riigi tegevustes. Näiteks tuvastas riigikontroll, et andmekogude kooskõlastamise tegelikus praktikas ei kontrollita iga andmekogu andmekoosseisu, vaid kooskõlastus antakse nn karbitoote registreeringu käigus.

Seni on riik panustanud omavalitsuste infoturbe taseme tõusu pigem teavitustegevuse ning rahaliste toetuste kaudu. Riigikontrolli auditi tulemused aga ei näita, et need oleks loodetud arengut omavalitsuste infoturbe olukorra parendamisel kaasa toonud.

KOVides on teadaolevalt toimunud näiteks järgmised suuremad intsidendid:

* 2017. aastal murti sisse nelja Harjumaa KOVi valvekaameratesse. Rünneteks kasutati ära kaamerate lappimata turvaauke ning asjaolu, et ligipääs seadmetele oli piiramata.

*2017. aastal andis teadmatuse tõttu Viljandi muusikakooli töötaja ligipääsu oma arvutile ingliskeelse telefonikõne peale, kus helistaja teatas, et on Microsofti esindaja ning vajab ligipääsu arvutile, sest see on viirusi täis. Selleks ajaks, kui IT-spetsialistid jaole said, oli jõutud arvutile parool peale panna. Andmeid pahalased seekord siiski kätte ei saanud.

* Mainimist väärt on 2017. aastal ka ulatuslikum kasutajaandmete leke (üle 550 kasutajakonto) Tartu Kutsehariduskeskuses arvutitesse paigutatud nn klahvinuhi kaudu.

* 2014. aastal toimus paljudes KOVides kalastusrünne, kus teenistujatele saadeti heas eesti keeles e-kiri, mis kutsus üles ühes n-ö andmebaasis enda, kolleegide ja asutuse kontakte uuendama ja parandama.

* 2013. aastal olid paljud koolid hädas kooli veebiserverisse istutatud pornolehtede, pahavara levitavate ja ravimimüügile keskendunud veebilehtedega.

* 2010. aastal said tundmatud pahalased ligipääsu Narva Kesklinna gümnaasiumi serveritele, mille kaudu suunati ringi ligi 3700 Miami ja Kuuba telefonikasutajate kõnet. Gümnaasiumile esitati ligi 24 000 euro suurune arve, mis tasuti Narva linna eelarvest.

Riigikontrolli auditeeritud kümnest omavalitsusest kolm olid kokku puutunud lunavararündega. Kahes neist õnnestus krüpteeritud töökohaarvuti kõik andmed taastada, aga ühes mitte, kuna osa andmeid ei olnud varundatud.

Ühe auditeeritu veebilehe kaudu said pahalased välja saata rämpskirju, sest veebilehe tarkvaraversioon oli uuendamata.

Veel tõid auditeeritud intervjuudes välja, et üldiselt on tavapärane, et nende sisevõrgu portide avatust skannitakse ning proovitakse ka eelseadistatud paroolidega seadmetesse (näiteks tulemüüri) sisse pääseda.

Oli näiteid, kus KOVi sisevõrku on ühe kuu jooksul proovitud pääseda 4000–5000 erineva välise seadmega.

Loe ka neid

Tagasi üles