Riigikontroll: omavalitsuste kätte usaldatud andmete turvalisus pole nõuetekohaselt tagatud

Riigikontrolli audit näitab, et auditeeritud omavalitsuste kätte usaldatud andmete turvalisus ei ole nõuetekohaselt tagatud: IT-turbega seotud riske ei teadvustata, mistõttu ei täideta valdavalt ka riigi seatud nõudeid, ehkki need on praeguseks kehtinud pea 10 aastat. Loodetud arengut ei ole kaasa toonud ei riigi teavitustegevus ega rahaline toetus.

Kõikidel auditeeritud omavalitsustel oli hindamata oma andmekogudes olevate andmete turbevajadus. Kohati on omavalitsustes raskusi isegi kõige madalama turbeastme turvameetmete rakendamisega. Mitmel pool oli IT-kasutajatele antud kergekäeliselt piiranguteta õigusi, tihti puudus ka ülevaade, kes ja kuhu üldse ligi pääseb, paroolihaldus oli puudulik, turvapaikade paigaldamine oli jäetud paljuski kasutajate meelevalda, tarkvara legaalsust töökohaarvutites ei kontrollitud.

Riigikontrolör Janar Holm ütles auditi tulemusi kommenteerides: „Kohati jäi Riigikontrolli audiitoritele mulje, et mitmetes kohalikes omavalitsustes on justkui Metsik Lääs, kuhu kuuldused Eestis kehtivatest nõuetest infosüsteemide pidamisel pole jõudnud.“

IT-turbega seotud riske endiselt ei teadvustata, kuigi on arvukalt näiteid, kus omavalitsuste infosüsteemidesse on tehtud teenustõkestusründeid, nakatatud süsteeme pahavaraga ja kahjustatud veebilehti.

Riigikontroll leidis, et omavalitsuste üldine infoturbekultuur on madal nii teenistujate kui ka juhtkonna tasandil. Sageli puuduvad suunised IT-vahenditega ümberkäimiseks, neid ei ole töötajatele tutvustatud või päriselus neist ei lähtuta; majasiseste IT-nõuete täitmist toetavaid koolitusi ja teavitustööd ei tehta.

„See ongi kõige murettekitavam, et audiitorid kohtasid kohalikes omavalitsustes ka selliseid vastutavaid ametnikke, kelle jaoks turvameetmete süsteemi rakendamise, sh andmekaitse vajalikkus jäi niisama arusaamatuks kui investeerida turismireisi Marsile – see on midagi kauget, mis nende eluaja jooksul nagunii ei juhtu. Ajal, kus teadaolevate küberturbejuhtumite arv Eestis on juba üle 10 000 aastas, on naiivne ja ohtlik endiselt arvata, et „meiega seda ju ei juhtu“ või „meie andmed ei ole olulised”,“ nentis riigikontrolör Janar Holm.

Lisaks selgus, et auditeeritud omavalitsused ei pea ennast vastutavaks enda asutusest väljas majutatud andmekogude andmete turvalisuse, andmekogude riigi infosüsteemi haldussüsteemis (RIHA) registreerimise ja X-teega liidestamise eest, kuid ei nõua seda ka teenuse osutajalt.

See selgitab mõneti, miks omavalitsustes kogutavatest andmetest puudub terviklik ülevaade, neile on tegemata turvaanalüüs, nende kogumiseks õigust andev kooskõlastamise protsess on läbimata ning andmete kättesaadavusega teistest andmekogudest ei arvestata. Kodanike ja ettevõtjate, aga ka omavalitsuste ametnike endi jaoks tähendab see tihtipeale topelt andmete esitamise koormust.

Põhjus võib peituda ka IT-spetsialistide väheses arvus omavalitsustes. Üldiselt on väikestes omavalitsustes IT antud mõne teise valdkonna spetsialisti vastutusalasse ning keskmise suurusega KOVides koosneb IT-teenistus kuni paarist spetsialistist. Peamiselt suudetakse pakkuda IT tehnilist tuge, aga spetsialiseerumist (sh infoturbele) on vähe.

Turvameetmete süsteemi rakendamisel on infoturbejuhi või tema ülesannete täitja määramine ka omavalitsustes kohustuslik. Kuna alati ei ole selleks mõistlik tööle võtta eraldi inimest, saaksid Riigikontrolli arvates omavalitsused siinkohal teha rohkem koostööd erasektoriga või teiste omavalitsustega.

Probleemide põhjusi võis leida ka riigipoolsetes tegevustes. Näiteks tuvastas Riigikontroll, et andmekogude kooskõlastamise tegelikus praktikas ei kontrollita iga andmekogu andmekoosseisu, vaid kooskõlastus antakse nn karbitoote registreeringu käigus. Andmekaitse Inspektsiooni selgituste kohaselt oleks iga registreeringu ülevaatamine mõttetu ajakulu, sest üldiselt on tegemist sama tarkvaralise lahendusega, mida kasutavad mitmed asutused oma andmekogude pidamiseks.

Riigikontroll leidis, et nn karbitooteid puudutavas osas on riigi nõuded andmekogude pidamisel läbi mõtlemata, mistõttu tekitab nende rakendamine ebamõistlikku dubleerimist nii omavalitsuste kui ka järelevalveasutuste jaoks. Riigikontroll näeb olukorra parandamises rolli ministeeriumidel, kes on omavalitsustele meelevaldselt andmekogude asutamise kohustuse pannud.

Vastavad ministeeriumid võiks anda omavalitsustele andmekogude pidamisel tegevusjuhised (sh infoturbealased) kõikides nendes küsimustes, mis neile huvi pakuvad. Riigikontroll leiab, et tegelikult võiks ministeerium ise ka tarkvara selle ülesande täitmiseks arendada ning asuda vastutava töötleja rolli – nii saab riik võtta enda kanda andmetele turvavajaduse määramise, sellele vastavuse auditi tellimise jms.

Ettevõtlus- ja infotehnoloogiaminister nõustus Riigikontrolliga, et sarnaste ja ühetaoliste andmekogude pidamisel peaks lähtuma ühtsetest alustest ja protseduurid ei tohiks olla üksteist dubleerivad. Minister lubas auditi soovitusi käsitleda nii RIHA, X-tee kui ka turvameetmete süsteemi õigusnõuete täitmise suuniste (s.o turvameetmete süsteemi määrus, ISKE rakendusjuhend, ISKE-auditi juhend) ülevaatamise käigus.

Lisaks leidis Riigikontroll oma auditis, et omavalitsuste infoturbe praegust olukorda arvestades ei saa pidada senises mahus tehtud riigipoolset järelevalvet piisavaks. Oli ka auditeeritud omavalitsusi, kus ametnikud ka ise tõid välja, et sisuliselt olematu järelevalve ei sunni omavalitsusi pingutama. Nii Riigi Infosüsteemi Amet (RIA) kui ka Andmekaitse Inspektsioon on oma vastustes Riigikontrolli tehtud soovitusele öelnud, et ulatuslikumat järelevalvet omavalitsustes tehakse vastavalt prioriteetsusele ja võimalustele. RIA sõnul on neil juba kavas minna haldusreformi järel omavalitsustesse kontrolle ja teavitustööd tegema.

Seni on riik panustanud omavalitsuste infoturbe taseme tõusu pigem teavitustegevuse ning rahaliste toetuste kaudu. Riigikontrolli auditi tulemused aga ei näita, et need oleks loodetud arengut omavalitsuste infoturbe olukorra parendamisel kaasa toonud.

Auditis selgus, et Majandus- ja Kommunikatsiooniministeerium ega Rahandusministeerium ei pea KOVide info- ja kommunikatsioonitehnoloogia taristu infosüsteemide turvameetmete süsteemi nõuetele vastavuse toetamist Euroopa Liidu toetusrahast kuigi jätkusuutlikuks lahenduseks – andmeturve ei saa sõltuda toetusraha olemasolust.

Riigikontrolli hinnangul on teavitustegevused olnud omavalitsustele kättesaadavad. Põhjus, miks olukord ei ole omavalitsustes parem, võib olla aga selles, et senine sihtrühm, kes koolitustel on käinud, on olnud IT-spetsialistid ja mitte asutuse juhtkond. RIA oma vastuskirjas tõi välja, et tippjuhtide huvi sellistel koolitustel osaleda on vähene. Riigikontroll toonitab oma aruandes, et taoliste koolituste läbimine ei ole tegelikult asutuste juhtidele valikuline. Kui majasiseseid koolitusi ei tehta, siis on juhtkonnal võimalus osaleda RIA korraldatud vastavasisulistel koolitustel.

Riigikontroll tunnustab auditeeritud omavalitsusi, kes juba auditi kestel asusid oma suhtumist andmete turvalisuse tagamise kohustuse täitmisesse märgatavalt parandama.

Riigikontroll soovitas omavalitsustele:

* määrata infoturbe juhi ülesannete täitja või tellida infoturbe juhtimine teenusena sisse;

* seada andmekogude pidamiseks kasutatavatele standardsetele tarkvaralahendustele nõuded sisestatavate andmete turbevajadusest lähtudes;

* veenduda, et lahendus oleks vajaduse korral liidestatav X-teega; ning leppida lepingus teenuse osutajaga kokku turvameetmete auditeerimise korraldus.

IT-turbe intsidente omavalitsustes

KOVides on teadaolevalt toimunud näiteks järgmised suuremad intsidendid:

* 2017. aastal murti sisse nelja Harjumaa KOVi valvekaameratesse. Rünneteks kasutati ära kaamerate lappimata turvaauke ning asjaolu, et ligipääs seadmetele oli piiramata.

*2017. aastal andis teadmatuse tõttu Viljandi muusikakooli töötaja ligipääsu oma arvutile ingliskeelse telefonikõne peale, kus helistaja teatas, et on Microsofti esindaja ning vajab ligipääsu arvutile, sest see on viirusi täis. Selleks ajaks, kui IT-spetsialistid jaole said, oli jõutud arvutile parool peale panna. Andmeid pahalased seekord siiski kätte ei saanud.

* Mainimist väärt on 2017. aastal ka ulatuslikum kasutajaandmete leke (üle 550 kasutajakonto) Tartu Kutsehariduskeskuses arvutitesse paigutatud nn klahvinuhi kaudu.

* 2014. aastal toimus paljudes KOVides kalastusrünne, kus teenistujatele saadeti heas eesti keeles e-kiri, mis kutsus üles ühes n-ö andmebaasis enda, kolleegide ja asutuse kontakte uuendama ja parandama.

* 2013. aastal olid mitmed koolid hädas kooli veebiserverisse istutatud pornolehtede, pahavara levitavate ja ravimimüügile keskendunud veebilehtedega.

* 2010. aastal said tundmatud pahalased ligipääsu Narva Kesklinna Gümnaasiumi serveritele, mille kaudu suunati ringi ligi 3700 Miami ja Kuuba telefonikasutajate kõnet. Gümnaasiumile esitati ligi 24 000 euro suurune arve, mis tasuti Narva linna eelarvest.

Riigikontrolli auditeeritud kümnest omavalitsusest kolm olid kokku puutunud lunavararündega. Kahes neist õnnestus krüpteeritud töökohaarvuti kõik andmed taastada, aga ühes mitte, kuna osa andmeid ei olnud varundatud. Ühe auditeeritu veebilehe kaudu said pahalased välja saata rämpskirju, sest veebilehe tarkvaraversioon oli uuendamata. Veel tõid auditeeritud intervjuudes välja, et üldiselt on tavapärane, et nende sisevõrgu portide avatust skaneeritakse ning proovitakse ka eelseadistatud paroolidega seadmetesse (näiteks tulemüüri) sisse pääseda. Oli näiteid, kus KOVi sisevõrku on ühe kuu jooksul proovitud pääseda 4000–5000 erineva välise seadmega.

Taustaks:

Avaliku sektori edukas toimimine rajaneb järjest enam infotehnoloogial ja andmetel, mida riigi ja kohaliku omavalitsuse asutused koguvad. Võimaluse kõrval arendada välja paremaid, mugavamaid ja soodsamaid avalikke teenuseid kasvab andmete hulgaga samas suunas ka oht, et andmed satuvad valedesse kätesse, hävinevad, saavad kahjustada jne. Ka omavalitsused ei ole selle vastu immuunsed. Omavalitsuste ja riigi andmekogud vahetavad üksteisega X-tee kaudu andmeid, mis tähendab, et omavalitsustes tähelepanuta jäetud nõrkused kanduvad edasi ja võivad teha kahju laiemalt.

Selleks et tagada riigis kasutatavate infosüsteemide omavaheline koosvõime, on Eestis andmekogude pidamisele seatud erinevaid nõudeid – kõik need moodustavad tervikliku kogumi riigi infosüsteemi kindlustamiseks. Andmete turvalisuse tagamisega seotud nõuded on lõimitud eelkõige järgmiste põhimõtete rakendamisse:

* Vähemalt kõik andmekogud peavad olema leitavad (osa ka kooskõlastatud) riigi infosüsteemi halduse infosüsteemis (RIHA).

* Andmevahetus riigi infosüsteemi kuuluvate andmekogudega ja riigi infosüsteemi kuuluvate andmekogude vahel peab toimuma riigi infosüsteemi andmevahetuskihi (X-tee) kaudu.

* Infosüsteemide turvameetmete süsteemi (ISKE) rakendamine (sh auditeerimine) on kohustuslik kõigi riigi ja kohaliku omavalitsuse andmekogude (sh organisatsiooni sisemise töökorralduse vajadusteks või asutustevaheliseks dokumentide menetlemiseks) pidamisel.

Auditi eesmärk oli hinnata omavalitsuste tegevust infoturvameetmete rakendamisel ning riigi tegevust omavalitsuste infoturbe olukorra parendamisel. 10 vallas ja linnas hinnati IT-turbe planeerimist ja seatud nõuete täitmist (nt andmevarundust, paroolide kasutamist, IT-kasutajate õiguste jagamist, turvauuenduste tegemist, viirusetõrjet). Auditeeritud omavalitsused olid Kuusalu vald, Rapla vald, Viljandi vald, Paide linn, Valga linn, Võru vald, Audru vald, Kohtla-Järve linn, Avinurme vald, Vihula vald.

Nelja riikliku andmekogu puhul analüüsiti, mida on teinud andmekogu pidaja, et tagada omavalitsuse osavõtul toimuva andmevahetuse turvalisus. Need andmekogud olid Siseministeeriumi vastutada olev rahvastikuregister, Justiitsministeeriumi e-toimik, Haridus- ja Teadusministeeriumi (HTM) Eesti hariduse infosüsteem (EHIS) ning Maa-ameti aadressiandmete süsteem (ADS).

Lisaks analüüsiti Riigi Infosüsteemi Ameti (RIA), Andmekaitse Inspektsiooni (AKI) ning Majandus- ja Kommunikatsiooniministeeriumi (MKM) tegevust, kelle vastutada on toimiv järelevalve IT-turbe küsimustes. Lisaks vaadati ka omavalitsustele pakutavaid teavitustegevusi ning toetusi.

Toomas Mattson
Riigikontrolli kommunikatsioonijuht

Vasta

Sinu e-maili ei avaldata.

This site uses Akismet to reduce spam. Learn how your comment data is processed.