“Oleme järelevalvega alati mitmes kohas korraga, aga meie prioriteedid sõltuvad riskihinnangutest ja ka näiteks teenuse ühiskondlikust olulisusest – kui elektrit ei ole, ega siis väga kaugele ei jõua,” räägib Ilmar Toom, kes vastutab RIA-s järelevalveosakonna töö eest. 

Oma ametis näeb ta lähedalt, millega ettevõtted ja riigiasutused kriitilise tähtsusega küberturbe teemades alt lähevad. Ukraina sõja taustal on küber muutunud viimastel aastatel olulisemaks kui kunagi varem.

Pikemas intervjuus räägib RIA järelevalveosakonna juht, mis juhtub, kui nõudeid ei täideta, milliseid vigu annaks lihtsa vaevaga vältida ning miks tuleb järelevalve asemel teha sageli hoopis selgitustööd.

Millega RIA järelevalveosakond tegeleb?

Jälgime, kuidas on erinevates ettevõtetes ja asutustes täidetud küberturvalisuse seadusest tulenevad nõuded. Vaatame, kui hästi on küberturbemeetmed rakendatud ning kui leiame puuduseid, toome need välja ja anname “hoolealustele” võimaluse need kõrvaldada. Kui probleemid jäävad, teeme ettekirjutuse ja vajadusel määrame sunniraha.

Milline on teie “hoolealuste” ring?

Ametlikus mõistes on nad KüTS-i ehk küberturvalisuse seaduse subjektid. Sinna kuulub terve avalik sektor, sealhulgas kohalikud omavalitsused, ning erasektorist eeskätt need, kes osutavad elutähtsat teenust (elektri, maagaasi, vedelkütuse, kaugkütte ja veega varustamine, teede sõidetavuse tagamine, mobiili-, tavatelefoni ja andmesideteenus, kanalisatsioon, elektrooniline isikutuvastamine ja digitaalne allkirjastamine, makseteenus ja sularaharinglus – toim.). Kokku on järelevalvatavaid organisatsioone üle 3000.

Mis on järelevalve eesmärk? Miks peavad küberturbenõuded olema täidetud?

Meie e-ühiskond on kõigist nimetatud teenustest üha kasvavas sõltuvuses. Tänapäeval ei kujuta ette, et midagi ilma nendeta toimuks. Samamoodi nagu riigi ja KOV-ide osutatavad teenused, kasutavad ka elutähtsad teenused suuresti IT-süsteeme. Reeglina on need moel või teisel arvutitega juhitavad – sealt tuleb terve rida ohte ja riske.

Viimase pooleteise aastaga on ümbritsev maailm palju muutunud, kahjuks mitte paremuse poole. Kindlasti on Venemaa sõda Ukrainas toonud selgelt välja vajaduse kübermaailma tugevamalt kaitsta.

Niisiis on ühiskonna vaatest kõige suurem kasu, et saame kõik rahulikult magada teadmisega, et meie andmed, mis riigi käes on, on hoitud ja kaitstud, ning kõik e-teenused, mida oleme harjunud igapäevaselt kasutama ja mille najal Eesti riik ja ühiskond tegelikult seisab, on kaitstud ja toimivad.

Milliste asutuste/ettevõtete üle olete viimastel aastatel järelevalvet teinud? Miks olete keskendunud just neile sektoritele?

Kuna meie järelevalvatavate ring on läinud aina laiemaks, ei jõua esimese hooga igale poole ning tuleb seada prioriteedid.

Esimesel poolaastal oli meil 50 menetlust. Aasta lõikes liigume 100 menetluse graafikus. Teeme oma menetlused pigem põhjalikult, et saaksime organisatsioonist ära minna tundega, et midagi sai paremaks tehtud. Samal ajal püüame hoida ülevaadet kogu mänguplatsist ja pöörata oma tähelepanu sinna, kus vajadus on kõige suurem. Koostame ka ohuprognoosi, millele vastavalt teeme oma tööplaani. Me ei pane kogu tööplaani ette täis, vaid jätame ruumi ka plaaniväliste vajadustega tegelemiseks, näiteks olulise mõjuga intsidendid või muud teemad, mis päevakorrale kerkivad.

Viimastel aastatel oleme palju tegutsenud just meditsiinisektoris – nii üldhaiglad kui regionaalhaiglad ja tänavu ka perearstid.

Lisaks on meil töös olnud ka teised elutähtsa teenuse osutajad, näiteks tanklad ja elektriettevõtted, ning pidevalt on fookuses kindlasti ka avalik sektor: ministeeriumid, riigi IT-majad ja KOV-id. Oleme järelevalvega alati mitmes kohas korraga, aga meie prioriteedid sõltuvad riskihinnangutest ja ka näiteks teenuse ühiskondlikust olulisusest – kui elektrit ei ole, ega siis väga kaugele ei jõua. 

Kes järgmisena ette võetakse ja miks just nemad?

Jätkame samal lainel. Praegu on olnud suurema proportsiooniga töös perearstikeskused ja IT-majad, samuti KOV-id. Nende suhtes algatame pidevalt uusi menetlusi. Tõenäoliselt pöörame järgmisena pilgu ka haridusasutuste, see tähendab riigi- ja munitsipaalkoolide poole.

Kuidas see järelevalvamine välja näeb? Kas minnakse kohale ette teatamata või lepitakse eelnevalt kokku?

Üllatusvisiite me ei tee. Kui asutusel puudub riskihaldus või jooksevad veetorud läbi serveriruumi, ei jõua seda nagunii nipsust korda teha – niisiis pole ootamatutel külastustel mõtet.

Kõigepealt anname asutusele teada, et oleme menetluse algatanud, küsime välja dokumendid, mis asutuses seda valdkonda reguleerivad, küsime küsimusi ja tõendusmaterjale. Suhtleme organisatsiooni juhtkonna ja võtmeisikutega. Võtmeisikuteks on reeglina infoturbejuht, IT-juht või keegi kolmas, kelle on asutuse juht meile kontaktisikuks või suhtluspartneriks määranud. Kohapeal teeme ka paikvaatluse – vaatame maja füüsilisi turbemeetmeid, näiteks pääsu- ja tulekustutussüsteeme, ning serveriruumi kaitsust.

See, et me algatame menetluse, ei tähenda ilmtingimata, et midagi halvasti oleks. Kui on tegemist plaaniliste järelevalvetega, siis vaatame, kas asjad on korras ja kui pole, siis anname nõu, mida oleks vaja muuta. Anname järelevalvatavale alati võimaluse oma seisukoht öelda.

Mis juhtub, kui on midagi valesti?

RIA järelevalveosakond ei ole repressiivorgan, vaid me ikkagi püüame olla konstruktiivne partner, kes annab hinnangu olukorrale ja kui on mingid parandamist vajavad kohad, siis juhime neile tähelepanu ja anname võimaluse puudused korda teha. Alati alustame n-ö pehmemast suhtlusviisist ja proovime heaga. Alles siis, kui see tulemust ei anna, võtame kasutusele karmimad meetmed. Kui puudust menetluse käigus vabatahtlikult ei kõrvaldata, teeme ettekirjutuse. Anname tähtaja ja kui see on käes, siis vaatame uuesti üle.

Kui ettekirjutust siiski ei täideta, saame riikliku järelevalve menetluses määrata sunniraha. Seda saab määrata ka korduvalt – senikaua, kuni asjad korda saavad.

Kindlasti ei ole meie eesmärk teha võimalikult palju ettekirjutusi, vaid ikkagi see, et asjad korda tehtaks. Kõige parem ja lihtsam soovitus ettekirjutusest pääsemiseks on, et täitke õigusaktidest tulenevaid nõudeid ja rakendage turvameetmeid nii, nagu peab. Siis ei ole ka mingit ettekirjutust karta.

Kui tihti seda tuleb ette, et on vaja sunniraha määrata?

Õnneks ei tule seda väga tihti ette. Suur osa puuduseid kõrvaldatakse tegelikult juba menetluse käigus. Samamoodi, kui ettekirjutus ilusti ära täidetakse, siis ei tule sunniraha maksta.

Neid kordi, kui oleme pidanud sunniraha määrama, on olnud üsna vähe – umbes kümmekond.

Millised on võimalikud sunnirahad ja trahvid?

Seadus ütleb, et sunniraha igakordne ülemmäär on 20 000 eurot. See on ühe rikkumise eest – see tähendab, et ühe ettekirjutusega saab tegelikult sunniraha määrata ka mitme asja eest.

Esimesel korral reeglina maksimumsummat ei määrata. See on menetleja kaalutlusotsus, kui suure ta määrab. Kui ühest korrast ei piisa, siis järgmistel kordadel muutub summa muidugi suuremaks, kuni ülemmäärani välja.

Miks neid puudusi siis ei kõrvaldata? Kas ei osata või ei raatsita?

See oleneb juhtkonna arusaamisest – kas tahetakse päriselt midagi paremaks teha või tehakse sellepärast, et “RIA nõuab”. Kui tehakse midagi üle jala ära ja see tegelikult ei ole korrektne, siis sellega me ei lepi.

Mõni arvab lihtsalt, et võib meie ettekirjutuse peale vilistada. Mõnikord aetakse RIA järelevalvet segamini auditiga. Auditi käigus tullakse samuti vaatama ning antakse mingid hinnangud ja soovitused. Siis on asutuse juhi otsustada, kas ta selle soovituse ellu rakendab või mitte. Arvatakse, et RIA-ga on samamoodi, aga tegelikult on nii, et kui meie oleme ettekirjutuse teinud, siis see tuleb päriselt täita ja me ei lõpeta enne menetlust.

Ega me asutuste sisse lõpuni ju ei näe. Mõnikord nad lihtsalt ei jõua õigeks ajaks valmis. Kui palutakse tähtaega pikendada ja see on põhjendatud, siis oleme vastu tulnud.

Milline on üldine olukord küberturbe nõuete täitmisega RIA kogemuste põhjal?

Hästi on see, et lõpuks on hakatud aina rohkem aru saama, et küberturvalisus on oluline ning mis võib juhtuda, kui neid asju korda ei tehta. On rõõm tõdeda, et teadlikkus on järjest paranenud.

Kindlasti on pikk tee veel minna. On kohti, kus ollakse veel algusjärgus. Seepärast on keskmist raske välja tuua – on nii väga häid kui ka halbu näiteid. Üldine trend on siiski ülesmäge.

Kus on suurimad kitsaskohad?

Tüüpiline koht, mis vajab tähelepanu, on juhtkonna suhtumine või teadlikkus – sellest hakkab tegelikult kogu organisatsiooni kultuur ja käitumine pihta. Kui juhtkond ütleb, et see infoturve on mingi imelik asi, millega ei viitsi tegeleda, ega siis ei ole loota, et sealt altpoolt midagi sünnib.

Palju on näiteid, kus juhtkond ei ole alguses oma vastutust tunnetanud, aga oleme siis näinud vaeva, et juhte harida ja see teadmine kohale viia, mille eest nad vastutavad ja milles see vastutus seisneb. Üsna suur osa meie tööst on selgitav. See on andnud tulemusi, aga ka siin on veel vaja aega, kuni jõuame sinnamaani, et kõik oleks hästi.

Näiteks ühes asutuses öeldi meile, et muidu on see küber küll hästi oluline, aga seoses Ukraina sõjaga ei saa me sellega tegeleda – peame muude asjadega tegelema. Siis tuli selgitada, et tegelikult on neil kahel asjal hoopis teistpidine seos ja Venemaa sõda Ukrainas just näitab, et küberiga peab tegelema. Teinekord on inimeste mõttekäigud päris kummalised.

Millega veel alt minnakse?

Tänapäeval on popp kõiki asju väljast tellida. Iseenesest pole sellega midagi valesti, aga tihti ei pöörata seejuures tähelepanu, mida ja millistel tingimustel ikkagi tellitakse. Teenuslepingud, mis sõlmitakse – kui üldse sõlmitakse –, on tihtipeale tugevalt teenuse osutajate poole kaldu. Sageli pole turvalisusele tähelepanu pööratud või kui on, siis väga üldisel tasemel. Teinekord ei saa ka tellija ise aru, mida teenuse osutaja päriselt teeb, et teenus oleks turvaline. Alles siis, kui tekivad probleemid, hakatakse vaatama lepingut ja avastatakse, et turvalisuses polegi kokku lepitud.

Seda oleme mitmel pool rõhutanud, et teenuselepingud ja nende tingimused peavad väga täpselt paigas olema. Tingimused tuleb kokku leppida lepingut tehes – siis on, millele pärast tugineda.

Teine populaarne võlusõna on pilv. Tihtipeale ollakse arvamusel, et pilveteenuste kasutuselevõtmine kuidagi maagiliselt lahendab kõik probleemid. Tõepoolest, pilves saab teha palju toredaid asju, aga tuleb ka aru saada sellest, et eriti just avaliku sektori puhul on seal ka hulk piiranguid, millega tuleb arvestada, näiteks mida saab ja tohib pilve panna ja mida mitte. Pilv on ikkagi vahend, mitte eesmärk, ja et sellest kasu oleks, tuleb ka ise panustada. Iseenesest ei juhtu seal midagi.

Mis täpsemalt siis lepingut tehes paika panemata jääb?

Näiteks juhtus nii, et serveriruumis oli varutoide, jahutus ja kõik muu vajalik olemas, aga tuba läks ikka liiga palavaks (serveriruumis peab olema kindel toatemperatuur, et seadmed üle ei kuumeneks – toim.). Siis selgus, et teenuse osutaja ehk serveriruumipidaja ja tellija polnud omavahel kokku leppinud, mis toatemperatuur peab olema. See oli täiesti reaalne juhtum, kus jahutusvõimsus oli olemas, aga seda ei kasutatud, kuna lepingus ei olnud kirjas. Sel juhul pole teenuse osutaja tegelikult midagi valesti teinud.

Teine näide on logimine. Logimine on oluline monitooringu jaoks. Kui juhtub intsident ja on vaja mingit viga taga ajada, siis saab logidest vaadata, kust see alguse sai jne. Tihti on lepingus kirjas, et mingeid asju logitakse, aga kes ja mida logib, kui kaua logi hoitakse ja kellele väljastatakse, selles kokku ei lepita. On olnud olukordi, kus teenuse osutaja ütleb, et logid on olemas, aga tellijale neid ei väljastata.

Varundamisega samamoodi. Tihtipeale on üldisel tasemel arusaam, et võiks varundada, aga kui konkreetseks minna, on asjad kokku leppimata. Siis juhtubki, et mingid asjad kukuvad n-ö kahe laua vahele ja ollakse üksteise peale pahased. Tulemus on, et teenus kannatab ja kliendid kannatavad. Seda kõike saaks ära hoida, kui lepingud oleksid korrektselt sõlmitud.

Millised tähelepanekud ja soovitused teil on?

Üks hea soovitus on võtta oma tegemistes aluseks infoturbestandard, mis on kõigile tasuta kättesaadav. See annab hea ülevaate ja ettekujutuse sellest, mida peaks üks organisatsioon tegema, et luua eeldused, et asjad oleksid hästi.

Selle juurde käib kindlasti soovitus teha asju enda pärast, mitte sellepärast, et RIA nõuab. Ikka kohtame n-ö põllul olukordi, kus näeme, et mingi asi on tehtud linnukese pärast. Näiteks ostetakse turult mingi üldine riskianalüüs, mis päriseluga kokku ei lähe. Tegelikult tuleks aru saada, et neid riske on vaja analüüsida asutusel endal, RIA ainult vaatab, et see oleks tehtud.

Meie ohuprognoosid on avalikud. Selle järgi saab iga asutuse juht vaadata, millised on üldised trendid ja kus on riskid kõige suuremad.