Praegu on kriitiliste andmekogude nimekirja pannud 10 nime ametnike ja ekspertide grupp – selle täpne nimi on valitsuse julgeolekukomisjoni oleva küberjulgeoleku nõukogu kriitiliste andmekogude töögrupp.

Kriitilised andmekogud on:

1. e-toimik
2. kinnistusraamat
3. äriregister
4. Riigi Teataja infosüsteem
5. maakataster
6. riigikassa infosüsteem
7. maksukohustuslaste register
8. rahvastikuregister
9. isikut tõendavate dokumentide register
10. riiklik pensionikindlustuse register

Kui neis kümnes andmekogus, mille kohta arvestatakse, et kui neis olevaid andmeid muudetakse, need lekivad või kaovad, siis ei suuda riik enam funktsioneerida. Seejuures on nende andmekogude haldus jaotunud viide asutusse:

• justiitsministeeriumi registrite ja infosüsteemide keskus (RIK)
• keskkonnaministeeriumi infotehnoloogiakeskus
• rahandusministeeriumi infotehnoloogiakeskus (RMIT)
• siseministeeriumi infotehnoloogia- ja arenduskeskus (SMIT)
• tervise ja heaolu infosüsteemide keskus (TEHIK)

Plaan A: Lindid saatkondadesse

Seepärast on töögrupp kunagi leidnud, et nii tähtsaid andmebaase tuleks varundada ka väljapoole Eesti territooriumi. Hea mõte, aga poolikult tehtud! Nimelt tehakse varukoopiaid riigist välja ainult poolte andmekogude puhul, rääkis auditijuht Toomas Viira.

Viie kriitilise andmekogu puhul tagatakse niisiis andmete säilivus, terviklus ja kättesaadavus sellega, et neist tehakse krüpteeritud andmebaasi koopiad. Need saadetakse diplomaatilise postiga välismaal paiknevatesse Eesti saatkondadesse ja hoiustatakse sealsetel turvaaladel. Seda kõike on tehtud ainult veidi üle aasta ehk alates mullu märtsist.

Ülejäänud viie tähtsa andmekogu puhul ei tehta sedagi ja riigikontroll nendib, et puudub täpne tegevuskava ja tähtajad, millal sellise varundamisega alustatakse.

“Isikut tõendavate dokumentide registri puhul on käsil analüüs, kas see andmekogu peaks kuuluma kriitiliste hulka ja kas on õiguslikke takistusi seda väljaspool riiki hoida. Maksukohustuslaste registri puhul on Rahandusministeeriumil käsil seaduse muutmine, et andmeid saaks hoiustada väljaspool riigipiire. Riigikassa, rahvastikuregistri ja pensionikindlustuse registri puhul on töötasandil otsustatud, et neid Eesti saatkonda ei varundata. Varukoopiad hakatakse saatma Luksemburgi andmesaatkonda selle valmimisel,” kirjutavad audiitorid.

Kuidas varukoopiast andmebaas taastada? Ei tea, kas saabki

Ent enne veel kui saab rääkida suurejoonelisest Luksemburgi andmesaatkonna plaanist, on praegusel varundamisel oluline puudus, leidsid audiitorid.

Kogu andmekogude välismaale kopeerimise mõte on see, et kui Eestis oleva andmekeskusega midagi juhtub, saaks riik edasi funktsioneerida, sest andmetest on koopia.

Kuid välismaal asuvate varukoopiate puhul polegi analüüsitud, millised on kriitiliste andmekogude taastatavad funktsionaalsused ja taasteajad. “Kriitiliste andmekogude omanikud avaldasid auditi käigus arvamust, et pigem ei ole neid koopiaid võimalik hõlpsasti ja kiiresti töökõlblikuks muuta, sest töö ja teenuste taastamiseks on vaja, et ka rakendustarkvara ning erinevad tugiteenused toimiksid,” vahendasid audiitorid.

Taastamissimulatsioone pole tehtud ja omavahelistes vestlustes oli selleks kõigeks inimlikult ka väga arusaadavad põhjendused: IT-osakonnad on tööga ülekoormatud, asutuste juhid pole veendunud küberturvalisusse investeerima, kohati on asutused ka alamehitatud. Riigikontrolli auditi ajal lahkus viiest auditeeritavast asutusest kaks IT-turbe juhti erasektorisse.

Plaan B: Luksemburgi lahendus

Kui kriitiliste andmekogude lihtsalt lintidel välismaale saatmine oli justkui esimene ja lihtsam samm, siis tegelikult on Eestis suurejoonelisem andmesaatkondade plaan. Selle juba majandusministeeriumi IT-asekantsleri Taavi Kotka ametiajal loodud plaani järgi toimuks varundamine välismaale üle võrgu.

Praegu ollakse plaaniga jõutud Luksemburgis andmesaatkonna loomiseni, mis peaks käivituma juuni lõpus. Majandusministeerium, mis kogu riigi IT-valdkonda kordineerib, võtab Luksemburgi andmesaatkonda pilootprojektina. Selle õnnestumise pealt vaadatakse, kas ja kuidas seda laiendada.

Ent palju Luksemburgi lahendus üldse maksma läheb, pole veel teadagi. Selge on näiteks andmesaatkonna aastane andmesidekulu 236 000 eurot ehk ligi 20 000 eurot kuus. Riistvara maksumust pole teada, kuid hanke kogumaksumus on miljon eurot.

Kogu plaani maksumus on veel hägune: “Kuna praegu pole esimese andmesaatkonna tegevusega seotud üksikasjad kokku lepitud (nt mida, mil moel, millise sagedusega, millisel meetodil varundama hakatakse), ei ole ka kalkulatsiooni, kui palju võiks maksma minna kriitiliste andmekogude elektrooniline varundamine Luksemburgi andmesaatkonda.”

Riigikontroll on selles osas kriitiline: kui kuludest ja eelarvest ülevaadet ei ole, siis ei saa ka andmete säilimist tagada. “Kui kriitiliste andmekogude varukoopiate saatkondades hoiustamise ega andmesaatkondade loomisega seotud kulutusi ei analüüsita, ei suudeta tagada riigipilve kontseptsiooni õigeaegset ega planeeritud mahus elluviimist,” ütlevad audiitorid.

Regulaarseid turvakontrolle ei tehta

Mis meetmetega aga Eestis kriitilisi andmekogusid kaitstakse, selle üle regulaarset kontrolli ei tehta ja osaliselt on kontroll ka auklik.

Idee poolest peaks kõik riigi andmekogud ja nendega seotud infosüsteemid kasutama ISKE süsteemi (infosüsteemide kolmeastmeline etalonturbe süsteem). Piltikult öeldes on see justkui spikker või mudel, mille järgi kontrollida ja ellu viia IT-turvameetmed vastavalt sellele, kas tegu on kõrge või madala turbetasemega, mis tarkvara, riistvara ja võrgulahendused kasutusel on ja nii edasi.

Turvalisus on aga ajas pidevalt muutuv, sest muutub tarkvara ja süsteemid. “Asutuse IT-keskkonna või infosüsteemide muudatuste puhul tuleb perioodiliselt üle kontrollida, millised moodulid, ohud ja turvameetmed lisandusid ning vajaduse korral rakendada vajalikke lisanduvaid turvameetmeid,” meenutavad riigikontrolli audiitorid.

Tuli aga välja, et ISKE auditeid pole tehtud näiteks isikut tõendavate dokumentide registri ega rahvastikuregistri puhul. Nendega alustati alles riigikontrolli audiitorite saabudes.

Ent riigikontrolli IT-audiitorid leidsid teisigi probleeme. Nimelt võtsid nemad lähtekohaks teise infoturbe süsteemi, CIS Critical Security Controls. See erineb ISKEst, kuid täidab sama eesmärki – tagada IT-süsteemi turvalisus.

Tuues paralleeli, siis auto ohutust võib hinnata ühe või teise tüübikinnituse järgi, eesmärk on ikkagi sama, et auto oleks ohutu keskkonnale, inimestele ja liiklusele.

Kui riigikontroll kriitilise tähtsusega andmekogusid oma valitud süsteemi järgi hindama hakkas, tuli välja, et paljud elementaarsena tunduvad asjad olid katmata, kuna ISKE neid ei nõua.

Võõrad mälupulgad ja arvutid on lubatud

Näiteks ei olnud mõnedes asutustes reglementeeritud, kas asutuse arvutivõrku võib väljast toodud seadme ühendada ja mis sellega teha saab. “On elementaarne, et kui asutuse arvutivõrku tuleb külaline, siis ei pääseks ta ligi nendele süsteemidele, milles töötab kriitiline andmekogu,” rääkis auditijuht Toomas Viira.

Sama lugu oli kõiksugu muude seadmetega nagu võõrad mälupulgad või kõvakettad. On võimalus, et kui asutuse võrgus oleva arvuti külge tohib panna võõra mälupulga, siis saab sellega rünnata nii andmekogu ja kogu süsteemi või varastada andmeid.

Sama moodi ei olnud mõnedes asutustes selget kontrolli nutiseadmete üle, mida kasutatakse mõnede tööasjade tegemiseks, kõige lihtsamal puhul kas või töökirjavahetuseks.

Korraliku infoturbega organisatsioonis peaks olema sellised nutiseadmed keskselt hallatavad – see tähendab, et kui nutiseade näiteks varastatakse või kaob, on võimalik asutuse administraatoril sellele teha remote wipe ehk üle võrgu selle sisu kustutada. Seda turvameedet polnud rakendatud, mis samuti asutuse IT-süsteemide riske tõstab.

Milliste asutuste ja andmekogudega täpselt mis asjad halvasti olid, ei saanud audiitorid avaldada. Osa riigikontrolli raportist on kuulutatud asutusesiseseks kasutuseks ja seda ei avalikustata selleks, et mitte panna infosüsteemide turvalisust ohtu.