Uudis

Inimliku eksimuse tõttu paljastas riigiasutus elutähtsa teenuse osutaja seaduserikkumise

Riigi infosüsteemi ameti logo.Foto: Eero Vabamägi/PM/Scanpix

Inimliku eksituse tõttu oli avalikult kättesaadav info, mis paljastas ühe elutähtsa teenuse osutaja seaduserikkumise. Kas riik kavatseb seadust rikkunud teenuse osutajale määrata rahalise kohustuse ei ole veel otsustatud.

Eelmise aasta kevadel jõustus küberturvalisuse seadus, mis kohustas elutähtsate teenuste osutajatel koostama eelmise aasta viimaseks päevaks IT-riskianalüüsi. Riik hakkas hiljuti uurima, kas teenuste osutajatel on võimekust uute nõuetega toime tulla ja riskianalüüsid iseseisvalt läbi viia.

Protsessi käigus tehti aga inimlik eksitus, mis paljastas tõsiasja, et ühe elutähtsa teenuse osutajal ei ole IT-riskianalüüs siiani valminud. Riik on eksimusest õppinud ning vaatab protsessid üle pilguga, et midagi taolist enam ei korduks. Lisaks hakkab riik tundliku sisuga kirjade puhul tuletama teistele osapooltele meelde dokumentide krüpteerimise vajalikkust.

RIA tuletab dokumentide krüpteerimise vajalikkust meelde

Riigi infosüsteemi amet (RIA) esitas mitmele elutähtsate teenuse osutajale hiljuti mitmeid küsimusi toimepidavuse tagamise ja IT-riskianalüüsi koostamise osas. RIA infoturbe meetmete arendamise ja järelevalve osakonna juhtiveksperdi Erika Adamsi sõnul oli arupärimine tingitud 2018. aasta kevadel jõustunud küberturvalisuse seadusest (KüTS), mis näeb ette, et elutähtsa teenuse osutajad pidid 2018. aasta viimaseks päevaks koostama IT-riskianalüüsi.

“Eesmärk on saada ülevaade sellest, kuidas on elutähtsa teenuse osutajad analüüse koostanud ja KüTSis seatud nõudeid täitnud, ning planeerida järelevalvetegevusi,” ütles ta.

Ametile andis vastuse üks elutähtsa teenuse osutaja, kuid Adamsi sõnul jäi see RIA töötaja inimliku eksituse tõttu dokumendiregistris avalikult kättesaadavaks. Seda seni kuni Geeniuse toimetus küsis RIAlt kirja kohta lisainformatsiooni, mispeale viga kõrvaldati ning dokument ei ole enam avalikult kättesaadav.

Kõnealuse elutähtsa teenuse osutaja, mille nime Geenius ei avalda, tipptöötaja vastuses on selgelt kirjas, et kuigi KüTSist tulenevalt pidi neil juba pea aasta tagasi olema IT-riskianalüüs valminud ei ole see veel tänaseni valmis saanud.

Täpsemaid põhjuseid ei ole kirjas mainitud. Adamsi sõnul on RIAl õigus teenuse osutajale kohaldada erinevaid rahalisi kohustusi, kuid seda tehakse vaid juhul, kui kaardistamise tulemusel selgub, et mõnel ettevõttel puudub koostöötahe ning valmisolek seadust täitma asuda.

Adams kinnitab, et RIA vaatab oma protsessid üle pilguga, kas neid on võimalik täiendada nii, et taolised dokumendid ei satuks enam avalikult kättesaadavaks.

“RIA krüpteerib tundliku sisuga väljasaadetavad kirjad juba ka praegu. Turvalisuse tagamisel on kõigil osapooltel oma roll ning seetõttu palumegi alati ka oma suhtluspartneritelt neilt väljaminevad tundliku sisuga kirjad krüpteerida. Üks järeldus on ka see, et peame asutustele seda asjaolu ja krüpteerimise olulisust meelde tuletama,” ütles Adams.

Ta lisas, et kui kõnealune vastuskiri oleks olnud krüpteeritud, siis poleks ka ühe poole inimliku eksimuse tagajärjel AK info avalikuks tulnud.

Hädaolukorra seaduse kohaselt kuuluvad elutähtsate teenuste alla elektriga varustamine, maagaasiga varustamine, vedelkütusega varustamine, riigitee sõidetavuse tagamine, telefoniteenus, mobiiltelefoniteenus, andmesideteenus, elektrooniline isikutuvastamine ja digitaalne allkirjastamine, vältimatu arstiabi, makseteenus, sularaharinglus, kaugküttega varustamine, kohaliku tee sõidetavuse tagamine, veega varustamine ja kanalisatsioon.

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.