Riigikontroll: X-teed kasutavate ettevõtete turvalisust ei kontrollita

Auditiaruandes jõuti järeldusele, et X-tee taristu kesksed teenused on olnud võrdlemisi töökindlad – X-tee teenustes on viimase kolme aasta jooksul olnud X-tee kesksetest komponentidest tingituna üks olulise mõjuga katkestus, teatas riigikontroll.

RIA on riigikontrolli hinnangul selgitanud välja X-tee töökindlust ohustavad olulisemad riskid ja hinnanud neid. Riskide maandamiseks on välja töötatud meetmed, millest mitmeid ka rakendatakse.

Arvestades aga X-tee kaudu tehtavate päringute hulka – keskmiselt 133 miljonit päringut kuus –, muutuks riigikontrolli sõnul X-tee mittetoimimisel enamiku avalike teenuste osutamine võimatuks või oleks olulisel määral raskendatud. X-tee kaudu toimuva andmevahetuse asendamine mitteelektroonilise andmevahetusega oleks riigikontrolli hinnangul praktiliselt võimatu või vähemalt väga kulukas.

Riigikontrolli teatel on muret tekitav see, et mitmetel juhtudel ei ole X-teel andmeteenust pakkuvad asutused sõlminud teenuse kasutamise kokkuleppeid. Kui lepinguid siiski sõlmiti, ei teinud ükski auditeeritud riigiasutustest kokkuleppe sõlmimise eel kindlaks, kas eraettevõtjad rakendavad piisavaid meetmeid turvariskide maandamiseks, et tagada andmete terviklus, konfidentsiaalsus ja käideldavus.

«Eraõiguslikud X-tee liikmed kinnitavad küll andmeteenuse kasutamise lepingut sõlmides, et nad rakendavad vajalikke meetmeid, kuid andmeteenuse osutajad kontrolli selle üle ei tee,» kommenteeris auditijuht Toomas Viira pressiteates.

Andmeteenuse kasutamise kokkulepete täitmist kontrollivad riigikontrolli teatel vaid üksikud andmetele juurdepääsu võimaldavad asutused. «Andmeteenuse kasutamise lepingute sõlmimata jätmine ja eraettevõtjate turvataseme kontrollimata jätmine kujutavad endast turvariski,» märkis Viira, lisades, et nii võib tekkida isikutel, kellel selleks õigust pole, ligipääs riigi andmekogudele ja võimalus teha volitamata muudatusi.

X-teed kasutusele võtvad asutused peavad riigikontrolli hinnangul rakendama infoturbega seotud riskide maandamiseks vajalikke meetmeid, kuid selgitamata on jäetud, milliseid turvameetmeid ja millisel tasemel tuleks rakendada. Valitsuse infosüsteemide andmevahetuskihi määrusega X-teele kehtestatud nõuded on kohati üldsõnalised ning võimaldavad liitunutel neid rakendamisel erinevalt tõlgendada.

Ehkki eraldi talitluspidevuse plaani X-tee kohta RIA koostanud ei ole, on riigikontrolli sõnul turvalise andmevahetuse püsivaks toimimiseks kasutusele võetud meetmeid ning muudes dokumentides sätestatud nõudeid talitluspidevuse tagamiseks.

Riigikontrolli hinnangul võib puudusteks pidada taastetestide tegemise ebaregulaarsust ja nende dokumenteerimata jätmist. Samuti seda, et X-teega seotud infovarade elutähtsust ja tundlikkust ei ole eraldi hinnatud.

Riigikontroll soovitas RIA peadirektoril algatada X-tee toimimist korraldava infosüsteemide andmevahetuskihi määruse muudatus, mis teeks kehtestatud nõuded täpsemaks ja üheselt arusaadavaks, nii et andmeteenuse osutajatel oleks võimalik neid nõudeid rakendada ja RIA-l nende rakendamist kontrollida.

Samuti tuleks riigikontrolli hinnangul töötada välja vajalikud juhendid määrusest tulenevate nõuete rakendamiseks ja korraldada X-teed kasutavatele asutustele vajalikud koolitused.

Riigikontroll soovitas veel hinnata andmeteenuse kasutamise lepingute sõlmimata jätmisest tulenevaid riske andmekogude turvalisusele ja võtta kasutusele neid riske maandavad tegevused. Samuti tuleb riigikontrolli hinnangul kaaluda andmeteenuse kasutamise kokkulepete sõlmimise ja taotluste halduse funktsionaalsuse lisamist, et muuta X-tee portaali andmeteenuste avamine ja kasutamine senisest vähem bürokraatlikuks.

Riigikontroll tegi ka ettepaneku töötada välja X-tee teenuseid kasutavate eraõiguslike juriidiliste isikute kontrollimise süsteem, et tagada andmete terviklus, konfidentsiaalsus ja käideldavus. Lisaks soovitas Riigikontroll korraldada regulaarselt X-tee kesksete komponentide taastetestimisi ning dokumenteerida need. Puuduste esinemise korral tuleb võtta ette vajalikud parendustegevused.

X-tee on tehniline infrastruktuur ja keskkond, mis võimaldab turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust. X-teega oli liidestunud 2. veebruari seisuga 834 asutust. Aastal 2020 tehti X-tee kaudu 1,57 miljardit päringut.

2020. aasta 1. detsembri seisuga oli X-teega liitunud 200 avaliku sektori asutust, sealhulgas kohaliku omavalitsuse asutused, ja 525 erasektori asutust ning kaudselt kasutas X-tee teenuseid ligikaudu 52 000 ettevõtet ja asutust.

Auditeeritud periood oli aeg alates 2020. aasta algusest, mil oli võimalik kasutada ainult X-tee versiooni 6, sealhulgas selle lahendusi, õigusakte, juhendeid, rakendatud meetmeid ja muud. Auditeerimisel lähtuti X-tee infosüsteemide andmevahetuskihi määruse kehtivast versioonist. Auditis vaadeldi X-teega seotud töökorraldust ja X-tee arendamise reegleid RIAs.

Peale selle auditeeriti X-teega seotud töökorraldust haridus- ja teadusministeeriumis, kaitseministeeriumis, majandus- ja kommunikatsiooniministeeriumis, kultuuriministeeriumis, keskkonnaministeeriumis, maaeluministeeriumis, välisministeeriumis, maksu- ja tolliametis ning maanteeametis.

Samuti auditeeriti töökorraldust Tervise ja Heaolu Infosüsteemide Keskuses, siseministeeriumi infotehnoloogia- ja arenduskeskuses, rahandusministeeriumi infotehnoloogiakeskuses ning Registrite ja Infosüsteemide Keskuses. Lisaks vaadeldi kolme kohalikku omavalitsust ning kolme riigile kuuluvat ühingut – vastavalt Pärnu, Tartu ja Tallinna linnavalitsust ning ASi Elering, OÜd TS Laevad ning Riigimetsa Majandamise Keskust.