Riigikontroll manitseb: keegi ei kontrolli X-teed kasutavate eraettevõtete turvalisust

X-tee arendusmeeskond sai uue liikme.Foto: RIA

Riigi infosüsteemi amet (RIA) on üldiselt taganud X-tee keskuse töökindluse, kuid X-teed kasutavate eraettevõtete infoturbe taset X-teega liitumisel ja kasutamisel ei kontrollita, tuvastas Riigikontroll oma täna avaldatud auditiaruandes „X-tee haldus ja töökindlus“.

Riigikontrolli sõnul tekitab muret see, et mitmetel juhtudel ei ole X-teel andmeteenust pakkuvad asutused sõlminud teenuse kasutamise kokkuleppeid. Kui lepinguid siiski sõlmiti, ei teinud ükski auditeeritud riigiasutustest kokkuleppe sõlmimise eel kindlaks, kas eraettevõtjad rakendavad piisavaid meetmeid turvariskide maandamiseks, et tagada andmete terviklus, konfidentsiaalsus ja käideldavus.

„Eraõiguslikud X-tee liikmed kinnitavad küll andmeteenuse kasutamise lepingut sõlmides, et nad rakendavad vajalikke meetmeid, kuid andmeteenuse osutajad kontrolli selle üle ei tee,“ kommenteeris auditijuht Toomas Viira.

Riigikontroll möönis, et andmeteenuse kasutamise kokkulepete täitmist kontrollivad vaid üksikud andmetele juurdepääsu võimaldavad asutused„Andmeteenuse kasutamise lepingute sõlmimata jätmine ja eraettevõtjate turvataseme kontrollimata jätmine kujutavad endast turvariski,“ lisas Viira. „Nii võib tekkida isikutel, kellel selleks õigust pole, ligipääs riigi andmekogudele ja võimalus teha volitamata muudatusi.“

X-teed kasutusele võtvad asutused peavad rakendama infoturbega seotud riskide maandamiseks vajalikke meetmeid, kuid selgitamata on jäetud, milliseid turvameetmeid ja millisel tasemel tuleks rakendada. Valitsuse määrusega „Infosüsteemide andmevahetuskiht“ X-teele kehtestatud nõuded on kohati üldsõnalised ning võimaldavad liitunutel neid rakendamisel erinevalt tõlgendada.

Ehkki eraldi talitluspidevuse plaani X-tee kohta RIA koostanud ei ole, on turvalise andmevahetuse püsivaks toimimiseks kasutusele võetud meetmeid ning muudes dokumentides sätestatud nõudeid talitluspidevuse tagamiseks. Puudusteks võib pidada taastetestide tegemise ebaregulaarsust ja nende dokumenteerimata jätmist. Samuti seda, et X-teega seotud infovarade elutähtsust ja tundlikkust ei ole eraldi hinnatud.

Nõuded arusaadavaks

Riigikontroll soovitas RIA peadirektoril algatada X-tee toimimist korraldava määruse „Infosüsteemide andmevahetuskiht“ muudatus, mis teeks kehtestatud nõuded täpsemaks ja üheselt arusaadavaks, nii et andmeteenuse osutajatel oleks võimalik neid nõudeid rakendada ja Riigi Infosüsteemi Ametil nende rakendamist kontrollida. Samuti tuleks töötada välja vajalikud juhendid määrusest tulenevate nõuete rakendamiseks ja korraldada X-teed kasutavatele asutustele vajalikud koolitused.

Riigikontroll soovitas veel hinnata andmeteenuse kasutamise lepingute sõlmimata jätmisest tulenevaid riske andmekogude turvalisusele ja võtta kasutusele neid riske maandavad tegevused. Samuti tuleb kaaluda andmeteenuse kasutamise kokkulepete sõlmimise ja taotluste halduse funktsionaalsuse lisamist, et muuta X-tee portaali andmeteenuste avamine ja kasutamine senisest vähem bürokraatlikuks.

Ühtlasi soovitati töötada välja X-tee teenuseid kasutavate eraõiguslike juriidiliste isikute kontrollimise süsteem, et tagada andmete terviklus, konfidentsiaalsus ja käideldavusLisaks soovitas Riigikontroll korraldada regulaarselt X-tee kesksete komponentide taastetestimisi ning dokumenteerida need. Puuduste esinemise korral tuleb võtta ette vajalikud parendustegevused.

Populaarsed lood mujal Geeniuses

Igal argipäeval

Ära jää ilma päeva põnevamatest lugudest

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto-, raha- ja meelelahutusportaali olulisematest lugudest.