Riigikontroll: Eesti riigi säilimiseks vajalikud andmed pole hästi hoitud (2)

«Kriitilise andmekoguna on Eestis määratletud küll kõigest kümme andmekogu, kuid vaatamata sellele saab auditi kokkuvõttena öelda, et enamiku puhul ei ole infoturbesüsteemi rakendamist nõutud regulaarsusega auditeeritud, paljud kriitilised andmekogud ei ole täielikult kaitstud volitamata juurdepääsu vastu ning paljudele kriitilistele andmekogudele on lubatud juurdepääs kontrollimata seadmetest,» ütles riigikontrolör Janar Holm auditi kokkuvõtteks.

Auditit juhtinud Toomas Viira sõnu pole riigis kindlaks määratud kriteeriume, millised andmekogud peaksid olema kriitilise tähtsusega. Vastava valiku on teinud valitsuse juures tegutseva küberjulgeoleku nõukogu üks töörühmadest ja vastavasisulise otsuse küberjulgeolekunõukogu.

Välja on see siiski valinud kümme kogu ning neist vaid viie andmeid varundatakse füüsiliselt – diplomaatilise postiga – keskmiselt kord kvartalis välissaatkondades olevatesse serveritesse. Kui näiteks rahvastikuregistri põhiandmebaasiga peaks täna midagi fataalset juhtuma, siis pole ime, kui kaduma lähevad kõigi viimase kolme kuu jooksul sündinud laste identiteedid.

Ülejäänud viis on aga sellised, mille puhul ei toimu üldse välismaale varundamist ja kui need süsteemid hävivad, siis lõplikult ja koos andmebaasidega.

Kuid probleem on ka varundatavate kogudega – mitte kordagi pole testitud, kas need andmebaasid õnnestub ka välismaal tööle panna – tegelikult pole teada, kas infosüsteemid õnnestub nende pinnalt taastada. Kriitiliste andmekogude omanikud avaldasid auditi käigus arvamust, et pigem ei ole neid koopiaid võimalik hõlpsasti ja kiiresti töökõlblikuks muuta, sest töö ja teenuste taastamiseks on vaja, et ka rakendustarkvara ning erinevad tugiteenused toimiksid.

Eestil on hetkeseisuga kümme kriitilist andmekogu: e-toimik, kinnistusraamat, äriregister, Riigi Teataja infosüsteem, maakataster, riigikassa infosüsteem, maksukohustuslaste register, rahvastikuregister, isikut tõendavate dokumentide register ja riiklik pensionikindlustuse register.

Mis puutub kõigi riiklike andmebaaside kaitsmisse kodumaal, siis kõigile neile kehtib infoturbesüsteem ISKE, kuid ühtegi erinõuet pole kehtestatud just neile kriitilise tähtsusega andmebaasidele.  Kindlaks pole määratud näiteks see, milliseid nõudeid järgides tuleb neid andmeid välissaatkondadesse varundamiseks viia.

Riigikontroll tuvastas ka, et vaid kahes kriitilises andmekogus oli ettenähtud sagedusega ISKE nõuetele vastavuse auditeid tehtud ja sedagi seitsmeaastase hilinemisega. Lisaks on jätkuvalt andmekogusid, kus pole tehtud terviklikke läbistus- ehk sissemurdekindluse testimisi.

Kõik IT-majad said auditi tulemil riigikontrollilt rea ettepanekuid, kõige enam muidugi MKM, kui kogu valdkonna eest vastutaja ning ka andmesaatkondade vedaja. Muu hulgas tõdeb riigikontroll, et riigi IT-maju vaevab tööjõupuudus.

Riigi küberturvalisust ohustavad intsidendid on kasvutrendis, 2017. aastal registreeris Riigi Infosüsteemi Ameti infoturbe intsidentide käsitlemise osakond ehk CERT (Computer Emergency Response Team) 10 676 küberturbejuhtumit.

Kriitiliste andmekogude varundamise ja säilitamise probleemi lahendamiseks on majandus- ja kommunikatsiooniministeeriumil kavas luua andmesaatkond ehk oma serveriruum välisriigi riiklikus andmekeskuses ja hakata andmeid välismaale varundama elektrooniliselt, andmesidekanali vahendusel.

See võimaldaks tagada peale andmete hoiustamise ka teenuste opereerimise võimekuse ehk kui Eestis mingi andmekeskus hävib, saab selle teenuseid osutada eemalt. Selle eesmärgi saavutamiseks on astutud ka samme – Luksemburgi andmekeskusega on sõlmitud leping, tegeldakse seadmete, sidekanali jm küsimustega.

Mõningase hilinemisega ehk juuni lõpupoole plaanitakse andmesaatkond käivitada, st valmis saab seadmetega varustatud serveriruum kriitiliste andmekogude varundamiseks.

«Kindlasti ei ole põhjust paanikaks – me oleme endale e-riigina seadnud üsna ranged nõuded andmete turvalisuse tagamisel ning ka nende probleemide puhul ei ole võimalik teha järeldust, et kriitilised andmekogud on turvamata. Tahtes kuuluda aga e-riikide koorekihti, peame endale rangete nõudmiste esitamisele lisaks suutma neid ka täita,» lisas riigikontrolör Janar Holm.

Valdkonna eest vastutav MKM nõustus enamiku riigikontrolli soovitustega. Samas tunnistasid mõned kriitiliste andmekogude omanikud, et nad ei ole täielikult mõistnud, milliste ohtude eest andmekogusid kaitstakse või millisteks ohustsenaariumiteks valmistutakse.

MKMi selgituste kohaselt valiti kriitiliste andmete varundamise n-ö põhjusstsenaariumiks olukord, kus Eesti territooriumil asuvad andmekeskused on rivist väljas ning riigile olulised andmed tuleb taastada või kättesaadavaks teha väljaspool riigi territooriumi. Auditi käigus selgus, et ohuolukorda ei ole täpsemalt kirjeldatud või analüüsitud.