Riigikontroll möönis, et andmeteenuse kasutamise kokkulepete täitmist kontrollivad vaid üksikud andmetele juurdepääsu võimaldavad asutused. „Andmeteenuse kasutamise lepingute sõlmimata jätmine ja eraettevõtjate turvataseme kontrollimata jätmine kujutavad endast turvariski,“ lisas Viira. „Nii võib tekkida isikutel, kellel selleks õigust pole, ligipääs riigi andmekogudele ja võimalus teha volitamata muudatusi.“
X-teed kasutusele võtvad asutused peavad rakendama infoturbega seotud riskide maandamiseks vajalikke meetmeid, kuid selgitamata on jäetud, milliseid turvameetmeid ja millisel tasemel tuleks rakendada. Valitsuse määrusega „Infosüsteemide andmevahetuskiht“ X-teele kehtestatud nõuded on kohati üldsõnalised ning võimaldavad liitunutel neid rakendamisel erinevalt tõlgendada.
Ehkki eraldi talitluspidevuse plaani X-tee kohta RIA koostanud ei ole, on turvalise andmevahetuse püsivaks toimimiseks kasutusele võetud meetmeid ning muudes dokumentides sätestatud nõudeid talitluspidevuse tagamiseks. Puudusteks võib pidada taastetestide tegemise ebaregulaarsust ja nende dokumenteerimata jätmist. Samuti seda, et X-teega seotud infovarade elutähtsust ja tundlikkust ei ole eraldi hinnatud.
Nõuded arusaadavaks
Riigikontroll soovitas RIA peadirektoril algatada X-tee toimimist korraldava määruse „Infosüsteemide andmevahetuskiht“ muudatus, mis teeks kehtestatud nõuded täpsemaks ja üheselt arusaadavaks, nii et andmeteenuse osutajatel oleks võimalik neid nõudeid rakendada ja Riigi Infosüsteemi Ametil nende rakendamist kontrollida. Samuti tuleks töötada välja vajalikud juhendid määrusest tulenevate nõuete rakendamiseks ja korraldada X-teed kasutavatele asutustele vajalikud koolitused.
Riigikontroll soovitas veel hinnata andmeteenuse kasutamise lepingute sõlmimata jätmisest tulenevaid riske andmekogude turvalisusele ja võtta kasutusele neid riske maandavad tegevused. Samuti tuleb kaaluda andmeteenuse kasutamise kokkulepete sõlmimise ja taotluste halduse funktsionaalsuse lisamist, et muuta X-tee portaali andmeteenuste avamine ja kasutamine senisest vähem bürokraatlikuks.
Ühtlasi soovitati töötada välja X-tee teenuseid kasutavate eraõiguslike juriidiliste isikute kontrollimise süsteem, et tagada andmete terviklus, konfidentsiaalsus ja käideldavus. Lisaks soovitas Riigikontroll korraldada regulaarselt X-tee kesksete komponentide taastetestimisi ning dokumenteerida need. Puuduste esinemise korral tuleb võtta ette vajalikud parendustegevused.