Jaanuarist jõustunud uus infoturbestandard (E-ITS) on väljakutse nii riigiasutustele kui ka ettevõtetele, kes peavad kolme aasta jooksul läbima auditi ning tõestama, et suudavad pakkuda teenust turvaliste süsteemide abil. Uuenenud standard on mõeldud kasutamiseks laiemale sihtgrupile, kui seda oli 20 aastat kehtinud infoturbesüsteem ISKE.

E-ITS kirjeldab meetmeid, mida järgides kasvab oluliselt organisatsiooni toimepidevus – tekib ülevaade protsessidest ja riskidest, paraneb nii küberrünnakute ennetamise kui ka tagajärgedega tegelemise võimekus.

Pikemas usutluses räägib RIA infoturbe meetmete osakonna juhataja Rain Ojastu, mis seisus täna ettevõtted on, millele ja miks rõhku pöörata ning kuidas aitab uus standard vältida kuni 20 miljoni euro suurust trahvi.

Miks me täna räägime infoturbe vajalikkusest ning sellest, et Eesti asutused ja ettevõtted peaksid järgima küberturvalisuse standardeid?

Kui asutused oleksid piisavalt küpsed, et infoturbemeetmeid ise välja töötada, ei oleks ühtki standardit vaja. Paraku see nii ei ole.

Standard on mõõdupuu, mis annab asutustele ette selge lävendi – kuidas kaitsta süsteeme, et säilitada see teenus, mida igapäevaselt pakutakse. Keegi ju ei taha, et näiteks digilugu pole kriitilisel hetkel kättesaadav või lapsendamise andmebaas lekiks. Standard ei anna lõplikku garantiid, et küberturvalisusega seotud intsidente kunagi ei juhtu, ent kasvatab kordades tõenäosust, et vajalikud teenused oleks püsti ja kui ka on katkestused, siis need pole häirivalt pikad. Olgu see küberrünnak või mõni ootamatu rike – kui infoturbemeetmed on paigas, saavad asutused sellele vaatamata jätkata oma põhiteenuse tagamist.

Mina tahan elada riigis, kus ma ei jää vee või elektrita, saan sularaha vabalt kätte, minu terviseandmed ei leki. Teadmine, et infoturbestandardeid on järgitud, tagab turvatunde kodanikele.

Mis on Eesti infoturbestandard ehk E-ITS?

Lühidalt öeldes on E-ITS infoturbemeetmete kogu. Me ise nimetame seda hellitavalt aabitsaks. Seal on kirjas ABC, mida järgides on väiksem oht, et teenusega midagi juhtub. Sisuliselt on asutustele ette antud checklist – raamistik, millele infoturbemeetmeid jõustades tugineda.

Kellele Eesti infoturbestandard suunatud on?

E-ITS-i rakendamise kohustus on alates sellest aastast ca 3500 ettevõttel/asutusel üle Eesti. Täna on see suunatud avalikule sektorile ning teistele elutähtsate ja oluliste teenuste osutajatele, näiteks pankadele, perearstikeskustele, vee- ja elektriettevõtetele.

Toon ühe näite – veevõrk on tänapäeval digitaliseeritud süsteem ja nagu iga süsteemiga, võib ka seal esineda rikkeid. Sellepärast infoturvet vaja ongi, et vältida olukorda, kus teenust pakkuda ei saa. Kui juhtub lunavararünnak või mis iganes rike, mille tõttu on teenus “maas”, on sel väga karmid tagajärjed. Kui inimestel ei ole mitu päeva vett, hakkavad nad haigestuma. Sellepärast on elutähtsate ja oluliste teenuste osutajatel vaja standardit järgida, nii nagu riigisektoris.

Riigiasutuste puhul on asi selge. Kuidas eraettevõte teab, kas talle on E-ITS-i rakendamise kohustus pandud või mitte?

Enamik neist on juba teadvustanud, et E-ITS on tulnud. Kahtluse korral on mõistlik meie käest üle küsida. Kõik seadused on avalikud, aga oleme puutunud kokku ka n-ö piiripealsete olukordadega, mille puhul on mõistlik teha meile päring. Selliseid asutusi pole palju, võib-olla 10–20 tükki.

Kuidas on olukord Eesti asutustes täna infoturbe tagamisega, milline on üldine tase?

Nii kummaline kui see ka ei ole, ei ole siiani tegelikult toimunud selget infoturbetaseme mõõtmist. Nüüdseks oleme loonud RIA-s infoturbemeetmete mõõtmise tööriista, millega soovime saada tulevikuks selge ülevaate, mida juba õigesti tehakse ja kus on veel puudujääke. Täna on seis asutuseti väga erinev: loomulikult on asutusi, nagu RIA, kus on infoturbe peale mõeldud ja vajalikud meetmed paigas, aga paraku on ka neid, kes jäävad allapoole mõistlikku taset.

Tegelikult on E-ITS-i rakendamine pidev protsess, mis ei saa kunagi valmis – kellel on rakendamise kohustus, sellel peab see “tehtud” olema 2025. aasta lõpuks, aga meetmeid tuleb kogu aeg hoida ajakohasena. 2025. aasta lõpp on lihtsalt esimene vahefiniš.

E-ITS pole kaugeltki esimene infoturbestandard. Kui palju on Eestis asutusi, millel on juba varasemast rahvusvahelised sertifikaadid olemas?

Meie andmetel on täna Eestis ainult kaks riigiasutust, kellel on ISO/IEC 27001 vastavussertifikaat. See on E-ITS-iga sisuliselt võrdväärne infoturbestandard, ent leidub ka olukordi, kus ISO standardi rakendamisest ei piisa, et kõiki E-ITS-ist tulenevaid nõudeid täita.

Üks vahe on neil veel. ISO 27001 annab kätte ainult tegevussuunad, E-ITS-is on aga kirjas oluliselt konkreetsemad meetmed, mistõttu on seda standardit palju lihtsam rakendada.

Mis eristab E-ITS-i varem kehtinud infosüsteemide turvameetmete süsteemist ISKE-st?

ISKE oli n-ö andmekogupõhine. E-ITS on loodud äriprotsesside kaitsmiseks – reaalse asutuse tegevuse kaitsmiseks. Kui ISKE kaitses ainult andmekogusid, siis E-ITS kaitseb kogu asutust.

Teine vahe on sama, millest rääkisin ka ISO/IEC 27001 standardi puhul. E-ITS-is on väga lihtsal kujul toodud välja meetmed, mida tegema pead. Seda ISKE-s polnud.

Kes E-ITS-i rakendamist kontrollib?

Esmalt peaks iga asutus ise omama oma asutuse infoturbe olukorrast ülevaadet, st teadma, mis ohud tegelikult õhus on.

Kuna E-ITS-i rakendamise kohuslastest sõltub riigi kodanike heaolu, siis meetmete rakendamist jälgib ka RIA järelevalveosakond. Riigiasutustele, kohalikele omavalitsustele ja elutähtsate teenuse osutajatele kehtib ka auditeerimiskohustus. Audit tuleb läbi viia enne 2025. aasta detsembri lõppu.

RIA järelevalve on ainult üks asi. Tegelikult kehtib Eestis veel palju muid regulatsioone, mida E-ITS-i järgimine aitab täita. Seepärast oleme E-ITS-i nimetanud hellitavalt GDPR-i (Euroopa Liidu isikuandmete kaitse üldmäärus) vaktsiiniks. GDPR kehtib aastast 2015 ja tegelikult ei pakkunud riik selle nõuete täitmiseks ühtegi meedet. E-ITS on esimene, mis pakub vastavaid rakendusmeetmeid. GDPR-i trahvid, mida meil küll rakendatud pole, on kuni 20 miljonit eurot. See on nii suur summa, et andmelekke korral Eesti ettevõte peale seda enam ei tegutse. E-ITS on seega ka tööriist oma kohustuste täitmiseks.

Niisiis soovitan kõigil hakata E-ITS-i kohe rakendama, eriti neil, kellel on auditi kohustus. Kolm aastat läheb väga kiiresti.

Mida auditi tellimise kohta teadma peaks?

Soovitame auditi tellida umbes aasta enne tähtaega. Muidu võib see jääda liiga viimasele minutile. Audiitorite kontaktid on leitavad EISAÜ ehk Eesti infosüsteemide audiitorite ühingu lehelt. N-ö Meelis metsast auditit teha ei saa – E-ITS-i auditi viivad läbi rahvusvaheliselt sertifitseeritud audiitorid.

Mis juhtub, kui kolme aasta lõppedes ei ole õnnestunud auditeerida?

E-ITS-i auditiga on hea see, et kui olulised osad on tehtud, pole praktiliselt võimalik läbi kukkuda. Pigem on küsimus, kas jõutakse vajalike lähtepositsioonideni, et audit sisse tellida. Kui audit jääb tegemata, võib RIA järelevalve alustada menetlust ja määrata sunniraha.

Küll aga tuleb mõista, et infoturbestandard pole RIA ega valitsuse pahatahtlik soov panna asutustele lisakohustusi, mille pealt sunniraha väänata. Tegelikult on audit täpselt samasugune infoturbemeede nagu standard ise. See annab asutuse juhile kindluse, et kõik on hästi, samuti juhib tähelepanu sellele, mida saaks paremini teha. Kui audit toob välja olulisi riske, siis tasub asutuse juhil päris oluliselt üle vaadata, kas teenuste toimepidevus ja regulatsioonide täitmine on üldse tagatud – see ongi ju juhi vastutus.

Millised on asutuste suurimad murekohad standardi rakendamisel?

Suurim murekoht hetkel ongi juhtkonna kaasatulek. Infoturvet on paljudes asutustes siiani nähtud kui üht tüütut teemat, millega IT tegeleb. Kohaliku omavalitsuse näitel – maanteeauk paistab silma, see parandatakse ära, aga auku infoturbemeetmetes märgatakse alles siis, kui server on ära krüpteeritud ja näiteks õpetajate palkasid ei saa välja maksta. Paljud ei mõista, et infoturve tagab tegelikult äri toimimise.

Teine murekoht on, et tahetakse rakendada kõike ja korraga. Tegelikult tuleks alustada ühest kohast ja vaikselt liikuma hakata. On täiesti tavaline, et asutused on juba täna rakendanud 300, 400, mõni isegi 600 E-ITS-i meedet ilma “aabitsasse” sisse vaatamata. Kui nad lõpuks E-ITS-i süvenevad, märkavad üllatusega, et kolmandik või pool on enese teadmata juba tehtud. Seda kinnitavad ka meie esimesed mõõtmiskatsetused.

Kui palju meetmeid E-ITS-is kokku on?

Kokku on meil 1600 meedet, aga rõhutan, et kõik ei pea kõiki rakendama. Rakendada tuleb vaid neid, mis kehtivad vastava asutuse kohta, sõltuvalt sellest, milliseid varasid kasutatakse.

Mida standardi rakendamine tähendab ja kuidas see välja näeb? Milline on siin RIA roll?

Kõigepealt peab asutuse juht võtma vastu otsuse E-ITS-i töögrupi loomiseks. Juht on see, kes vastutab asutuse infoturbe eest, nii et temalt peab tulema ka algatus. Tuleb aru saada, kust tulevad asutusele nõuded ja millised need on. Seejärel on vaja ülevaadet varadest ja siis juba saab E-ITS-i kataloogist vajalikud meetmed. Märgiks veel ära, et juba mingi vara kasutusse võtmise plaanimise jaoks on E-ITS-is meetmed – tuleb ju juba hankefaasis plaanida vara turvalise kasutuse võimekus ja võimalused.

RIA saab asutuste jaoks olla vaid konsulteerivas rollis, meie midagi asutuse eest ära teha ei saa. Meie digikoolitused on leitavad E-riigi Akadeemiast. Vajadusel tuleme kohapeale koolitama ja õpetama. Aitame leida konkreetsed meetmete paketid, mida tuleks vastavalt asutusele rakendada. Kuna E-ITS-i sihtgrupp on lai, ei saa teha ühte kirvest, mis lööb kõike. Suurtele asutustele võib see kirves olla liiga nõrk ja väikestele jälle liiga raske.

Tegelikult peaks iga asutuse töötaja vähemalt kord aastas tegema läbi ka kübertesti. See on n-ö üldine hügieen. Sageli pole kõige nõrgem koht asutuses mitte süsteem ise, vaid inimesed, kes nendega toimetavad. Meil on olemas E-ITS-i portaal, kust saab kätte vajaliku info. Kellel tekib lisaküsimusi, saab kirjutada standard@ria.ee.

Milline on tänane seis rakendamisega? Kas ja kes on juba olulise teinud ning milline on RIA/riigi hinnang?

Tänaseks on esimene asutus jõudnud juba E-ITS-i auditini. Alustasid nad sellega eelmise aasta alguses. Avaliku sektori asutustele muutus E-ITS kohustuslikuks alles tänavu jaanuarist, nii et täna veel tulemusi välja tuua ei saa. 1. juulist laieneb see kohustus elutähtsate ja oluliste teenuste osutajatele.

Kas E-ITS-i on mõtet järgida ka neil, kellele sellist kohustust pandud pole?

Absoluutselt. Tegelikult vaatavad ka eraettevõtted päris agaralt meie poole. Kui oleme vaadanud, kui palju on läbitud meie E-ITS-i e-koolitusi just eraettevõtete poolt, paistab selgelt, et huvi on olemas ja kasvab.

Täna on meil näiteid ettevõtetest, kellel on vaja rahvusvaheliselt oma küberturvalisust tõendada. Nad on taotlenud ISO/IEC 27001 sertifikaati, aga neil pole võimekust ega teadmist ISO-st läbi murdmiseks. Seega kasutavad nad E-ITS-i meetmeid, et ISO/IEC 27001 nõuetele vastata. See on oluline ettevõtetele, kes peavad tõendama oma küberturvalisust väljaspool Eestit.