X-tee liikmete üle tuleb tõhustada kontrolli

Riigikontroll kinnitas täna avalikustatud X-tee auditiaruandes, et RIA on küll taganud X-tee töökindluse, kuid ootab asutuselt suuremat kontrolli kasutajate turvameetmete rakendamise üle.

RIA andmevahetuse osakonna juhataja Joonas Heiter. Foto: Grete Kivi/RIA

Audit toob välja, et X-tee teenustes on viimase kolme aasta jooksul olnud üks olulise mõjuga katkestus, mis on tingitud kesksete komponentide veast. RIA on selgitanud välja ja hinnanud X-tee töökindlust ohustavad olulisemad riskid ning töötanud riskide maandamiseks välja meetmed, millest mitmeid ka rakendatakse.

Kriitilisemad ollakse lepingute sõlmimise ning väljatöötamata kontrollimehanismi suhtes. Näiteks mitmetel juhtudel ei ole X-teel andmeteenust pakkuvad asutused sõlminud teenuse kasutamise kokkuleppeid, või kui need siiski sõlmiti, ei teinud ükski auditeeritud riigiasutustest kokkuleppe eel kindlaks, kas eraettevõtjad rakendavad piisavaid meetmeid turvariskide maandamiseks, et tagada andmete terviklus, konfidentsiaalsus ja käideldavus. Puudub ka kontroll eraõiguslike liikmete üle.

Üldsõnaline määrus jätab tõlgendamisruumi

Kuigi X-teed kasutusele võtvad asutused peavad rakendama infoturbega seotud riskide maandamiseks vajalikke meetmeid, on selgitamata jäetud, milliseid turvameetmeid ja millisel tasemel tuleks rakendada. Valitsuse määrusega „Infosüsteemide andmevahetuskiht“ on X-teele kehtestatud nõuded kohati üldsõnalised ning võimaldavad mitmeti tõlgendamist.

Ehkki RIA ei ole X-tee kohta eraldi talitluspidevuse plaani koostanud, on turvalise andmevahetuse püsivaks toimimiseks võetud kasutusele meetmeid ning muudes dokumentides sätestatud nõudeid talitluspidevuse tagamiseks. Auditis nimetatakse puudusteks ebaregulaarset testimist ja nende dokumenteerimata jätmist.

Tuginedes eeltoodule on riigikontroll teinud RIA-le järgmised ettepanekud:

  • Muuta vabariigi valitsuse määrust selliselt, et kehtestatud nõuded on täpsemad ja arusaadavad nii, et andmeteenuse osutajatel oleks võimalik neid nõudeid rakendada ja RIA-l nende rakendamist kontrollida.
  • Töötada välja vajalikud juhendid määrusest tulenevate nõuete rakendamiseks ja korraldada X-teed kasutavatele asutustele vajalikud koolitused.
  • Hinnata andmeteenuse kasutamise lepingute sõlmimata jätmisest tulenevaid riske andmekogude turvalisusele ja võtta kasutusele neid riske maandavad tegevused.
  • Kaaluda andmeteenuse kasutamise kokkulepete sõlmimise ja taotluste halduse funktsionaalsuse lisamist, et muuta X-tee portaali andmeteenuste avamine ja kasutamine senisest vähem bürokraatlikuks.
  • Töötada välja X-tee teenuseid kasutavate eraõiguslike juriidiliste isikute kontrollimise süsteem, et tagada andmete terviklus, konfidentsiaalsus ja käideldavus.
  • Korraldada regulaarselt X-tee kesksete komponentide taastetestimisi ning neid dokumenteerida.

Andmevahetusosakonna juhataja Joonas Heiter:

Võtame Riigikontrolli auditi järeldusi ja ettepanekuid tõsiselt selleks, et X-teega seotud protsesse paremaks muuta ning tõsta veelgi X-tee usaldusväärsust. Kuivõrd Riigikontrolli audit algas eelmise aasta kevadel, siis mitmed ettepanekud oleme juba töösse võtnud ning algatanud arutelusid ka teiste ettepanekute osas lahenduse leidmiseks. Näiteks on X-tee iseteeninduskeskonda plaanis luua andmevahetusteenuse kokkuleppe üldine põhi. Samas ei tohi ära unustada, et igale X-tee liikmele peab jääma õigus otsustada, kellele, kas ja millistel tingimustel ta oma andmeid jagab ning andmeteenust pakub. Seega jääb ka edaspidi X-teel andmevahetuse üheks eelduseks pooltevahelise andmevahetuskokkuleppe olemasolu ning selle peavad omavahel sõlmima andmeid vahetada soovivad X-tee liikmed. Kõigil X-tee liimetel on kohustus võtta kasutusele vajalikud turvameetmed ning hoolitseda andmete käideldavuse ja konfidentsiaalsuse eest. Samuti kinnitasime audiitorile, et dokumenteerime edaspidi korrektsemalt taasteteste. Tutvu riigikontrolli auditiga Riigikontrolli kodulehel.

Helen Uldrich
RIA kommunikatsioonijuht

RIA andmevahetuse osakond on võrreldav elusloodusega

RIA andmevahetuse osakond. Fotod: Seiko Kuik/RIA

Riigi infosüsteemi ameti andmevahetuse osakond (AVO) – äratuntavalt eriilmelistest, aga lähemal vaatlusel teineteisega tihedas sümbioosis toimivatest rakukestest moodustunud elav masinavärk.

Nii nagu riigi valitsemine jaguneb erinevate ministeeriumide ja neid juhtivate ministrite haldusaladeks, jagunevad ka vastutusvaldkonnad meie digiriigis erinevate osaliste vahel. Neil kõigil on vaja oma funktsioonide efektiivseks täitmiseks koguda ja töödelda hulgaliselt andmeid nii oma infosüsteemides kui neid andmeid omavahel turvaliselt ka vahetada.

Siinkohal tulebki mängu AVO, mis sündis 2018. aastal, kui osakonna ülesanded ja eesmärk said selgemaks. Toona oli mõistlik muuta ka nimi andmevahetusosakonnaks. Seni andmehalduse osakonna nime kandnud üksusega liideti mitu seni teistes osakondades paiknenud ülesannet. Meeskonnaga liitus erasektorist tulnud töötajaid ning andmevahetuse osakonna töö klientide äri õnnestumise nimel sai hoogsalt jätkuda.

RIA pakub ja vastutab paljude teenuste eest ning portfell on suur. AVO alustekstiks ja eeposeks, millest kõik alguse sai, on kahtlemata andmevahetuskiht X-tee, millega AVO pakub oma klientidele võimalust andmeid turvaliselt ühest infosüsteemist teise liigutada. Näiteks saavad liikluspolitseinikud tänu X-teele turvaliselt ja liigse bürokraatiata sinu juhtimisõigust kontrollida, aga ka sa ise perearsti antud retsepti apteegist välja osta või e-töötukassast kiirelt ja mugavalt toetust taotleda.

Samuti kuulub andmevahetuse osakonda turvalist, hajusat ja läbipaistvat e-riiki efektselt illustreeriv Andmejälgija, mis võimaldab inimesel näha, kes ja millistest infosüsteemidest on tema andmeid vaadanud. See käik annab inimestele suurema kontrolli oma andmete üle.

Kõikidest „riigi infosüsteemi“ mõiste alla koondunud ja praegu juriidilise konstruktsiooni „andmekogu“ alla paigutuvate infosüsteemide metaandmetest (andmetest andmete kohta) annab võimalikult ajakohase ja usaldusväärse ülevaate riigi infosüsteemi haldussüsteem (RIHA).

Mõistagi ei soovi võimalikult efektiivset digiriiki üles ehitades keegi jalgratast leiutada, kui see naaberkülas juba kasutuses on. Topelttöö on kallis ja ebaefektiivne. Seepärast lisandus osakonna teenuste paletti hiljuti koodivaramu.eesti.ee keskkond, kus avalik sektor saab avaldada oma e-teenuste arendusprojektide lähtekoodid. Nii kasvab e-riigi läbipaistvus ning soodustame avaliku ja erasektori koostööd. Kui eriolukorras tekkinud vajadus sünnitas uue võimaluse RIA-l oma partneritega turvaliselt suhelda, siis üsna pea sai igaühele võimalikuks sellesama AVO hallatava vestlus.eesti.ee keskkonna kaudu turvaliselt saata sõnumeid ning pildi- ja tekstifaile. Suure mahuga failide turvaliseks vahetamiseks tasub aga kindlasti kasutada failivahetuskeskkonda sahver.eesti.ee.

Andmevahetuse osakonna vägesid juhib Joonas Heiter, kelle sõnul lisandub lähiajal osakonna pakutavate teenuste hulka ka nõusolekuteenus. See annab inimesele võimaluse anda mõne ägeda e-teenuse tarbimisel nõusolek kasutada neid andmeid, mis riigil inimese kohta juba olemas on. Näiteks immuniseerimispassi kasutamiseks või personaalse elukindlustuspoliisi pakkumise saamiseks.

AVO panustab tänavu värske projekti, sündmusteenuste õnnestumisse. Sündmusteenus aitab näiteks lapse sünni või abiellumisega kaasnevad mitme haldusala teenused kasutaja jaoks tervikuks liita. Inimene ei pea tegema kümneid klikke, taotlusi ja allkirjastamisi, vaid kõik see tehakse taustal inimese eest ära. Nii on kodaniku ja riigi infovahetus selgem ja efektiivsem. Praegu käib töö, et eesti.ee riiklik postkast saaks uue välimuse ja koodi ning nüüdisaegsema arhitektuuri.

Töö ei saa kunagi tehtud ega otsa

Meeskonna juhi Joonas Heiteri sõnul on andmevahetuse osakond tulemustele orienteeritud ja niisama istumise eest keegi auhindu ei jaga – töö peab tehtud olema. „Aina kiiremini arenevas e-riigis on ikka hetki, kus mõni projekt saab punkti. Need hetked on väga vajalikud, sest siis on meeskonnal aega, et areneda. Eneseareng on see, mis viib edasi nii inimesi kui ka uusi projekte,“ sõnas Heiter. Ta lisas, et meeskond suhtleb nii suurte huvigruppide kui ka konkreetsete projektide arendajatega. „Klientidega suhtlemist on palju ning tuleb pilk peal hoida, mis toimub e-teenustes laiemalt. Näiteks kiirelt arenevate e-teenuste tuules jälgime, et kõige aluseks olev X-tee oleks jätkuvalt töökindel ja ajakohane.“

Ta tõdeb, et nad üritavad koosolekuid võimalikult vähe pidada, kuid eriolukord ja pidev kaugtöö aitasid kolleegidel jõuda arusaamisele, et kord nädalas on siiski hea üksteisega töövõite ja rõõme jagada. „Nii ei jää me võõraks.“

„Kui rääkidagi töövõitudest, siis AVO viimase aja suuremad saavutused on elukaare lõppfaasi jõudnud teenuste edukad sulgemised. Nii sai lõpuks otsustavalt ajalooõpikute kaante vahele suletud X-tee versioon 5 ning eelmise aasta viimasel päeval suleti ka aastate jooksul juba (kuri)kuulsaks saanud taakvara vana.riha.ee keskkond,“ meenutab Heiter.

Rakukestest elujõuliseks organismiks

Osakonnast rääkides toob Joonas võrdlusi elusloodusega. „Andmevahetuse osakond koosneb 15st mõnevõrra erineva talitlusega rakust, mis loovad töötava masinavärgi, organismi. Kolleegidest igaüks on silmapaistev oma valdkonnas. Meeskonnas on nii valjuhäälsemaid rügajaid kui ka varjuhoidvaid halle kardinale,“ ütles Heiter. Tema sõnul on tagab selline eriilmeliste rakukeste kooslus osakonna elujõulisuse ja võimaldab hea enesetundega järjest suuremaid eesmärke saavutada. „Ma arvan, et igas meeskonnas on suurelt mõtlevaid filosoofe ja kärsituid hingi, kes otsivad lahendusi Eesti elanike muredele. Vahel tuleb osa kõrgelennulisi mõtteid ajutiselt jõuga reaalsusesse ankurdada, nii need laagerduvad ja ootavad õiget hetke. Samas ei mõtle keegi nii, et „aga alati on nii olnud…“.

Heiteri sõnul tagavad osakonna hea ja rõõmsa sisekliima mitmed ühised rutiinid. „Üks on kindel – igat suuremat ja vahel ka tillukest sündmust tähistame kringliga. See rada on sisse tallatud ning see komme ei unune. Kringli söömiseks kogunetakse aeg-ajalt täiesti vabatahtlikult ka väljaspool tööaega,“ meenutab Heiter.

Heiter näeb iga päev, et osakonnas ei ole igavusel kohta – tiimi kollektiivne kogemustepagas on piisavalt suur ja värvikas, et sealt saab võtta erinevaid lugusid nii meeleolu tõstmiseks kui ka õpetussõnade jagamiseks. „Vähemalt sama rikkalik on osakonnas töötavate inimeste hobide ring, alustades arvutimängudest ja lõpetades vehklemisega. Sinna vahele mahuvad mitmed maailmapilti avardavad tegevused. Lõunalauas kuuleb jutte jalgpallist, jalgrattaspordist, värsketest raamatutest, linateostest, investeerimisest, invaspordist, õpetamisest ja tervislikust toitumisest,“ loetleb ta.

Juba kolmandat aastat järjest selgitab osakond välja ka kõige kiirema töötaja kardisõidus. „Naljaga pooleks on lühendil AVO ka teine, mitteametlik tähendus, omakeskis nimetame endid autovahetuse osakonnaks – juhul kui keegi soetab uue neljarattalise, annab see nädalateks jutuainet puhkepausidel ja viib teistelgi mõtted uuele autole. Ja head mõtted viivad ka tegudeni,“ ütleb Heiter.

„Andmevahetuse osakonnas ongi hea töötada just tiimi pärast. Nad on jõudnud punkti, kus tööl käimine ei ole tüütu rutiin, vaid võimalus suhelda tuttavate ja asjalike inimestega, kellega leiab teemasid, mida arutada, ja kellega saab muresid jagada või võimatuna näivaid tegusid korda saata. Osakonda on koondunud inimesed, kelle silmad löövad värskeid ideid kuuldes särama ja kes selle motiveeritult ka reaalsuseks muudavad,“ iseloomustab Joonas Heiter oma meeskonda heade sõnadega.

Küsimused ja vastused: RIA infopäeva teine päev 18.11.2020

RIA koostööpartnerite virtuaalse infopäeva teisel päeval keskenduti suuresti küberturvalisusele ja infoturbele, kuigi alustati siiski ühtsest digiväravast ja riigiportaalist eesti.ee. Kõik esitlused on järelevaadatavad RIA Youtube’i kanalil. Vastame kirjalikult vaatajatele tekkinud küsimustele.

RIA koostööpartnerite virtuaalset infopäeva modereeris ajakirjanik ja saatejuht Eeva Esse. Fotod: Kertu Kärk/RIA

SDG, artiklivaramu ja riiklik postkast, Raimo Reiman

Kas 2021. aastal hakkab RIA asutuste eest nende teenuste kasutust mõõtma? Mil moel seda tehniliselt tehakse?
RIA hakkab koos MKMiga koos raamistikku looma, et teenuste tarbimise statistika automaatselt teenuste kataloogi jõuaks.

Milliseid numbreid näitab 2020. aasta tagasiside ja analüütika? Kuidas on olukord Eestis võrreldes teiste EL riikidega?
Riigiportaali rahulolu on kõrge, teiste riikidega võrdlusmoment hetkel puudub, tuleb koos SDG rakendumisega.

Kes artiklivaramut modereerima hakkab, et sinna lisatud info oleks ka ühtse stiiliga ja keeleliselt õige?
Vastutus sisu eest on teabevaldajal, eesti.ee-s olevaid artikleid jäävad modereerima RIA toimetajad.

Kui paljud inimesed üldse on oma riikliku postkasti ära suunanud, et riigi kirju kätte saada?
450 000. Tegeleme sellega, et @eesti.ee aadressile saaksid kõik asutused kirju saata ning inimestel oleks alati üks koht, kus kindlasti kogu riigi kommunikatsioon olemas on.

Kas Artiklivaramu ja (eestikeelse) Wikipedia vahel on mingi põhimõtteline vahe?
Artiklivaramu hoiab infot riigi teenuste kohta ning nende vahelisi seoseid.

Millal kättetoimetamise teenus kasutusele võetakse (st asutus saaks teada, kas on sõnum kohale jõudnud)?
Juba praegu on võimalik saata @eesti.ee aadressi suunanud inimestele avamiskinnitamisega dokumente. Kättetoimetamiskeskkonna edasiarendustega alustame aastal 2021.

Kas Facebooki kaudu teavituste saatmise potentsiaalsed riskid ja ohud on ka korralikult kaardistatud? #cambridgeanalytica #jälgimisühiskond. Facebooki huvid on riigi huvidest väga erinevad.
Selleks on meil alternatiivsete kanalite analüüs, kus oleme ka infoturbe ohte kaardistanud.

Soovitan Kohustuste Kalendri asemel kasutada midagi pehmemat, nt Võimaluste Kalender vmt. Samuti Kättetoimetamiskeskkonna asemel midagi personaalsemat, nt “Sulle” vmt.
Nõus!

eesti.ee kasutajate rahulolu-uuring, Raimo Reiman

Millal hakkab eesti.ee artiklivaramut ise kasutama?
Eesti.ee juba kasutab artikleid sellisel kujul nagu nad artiklivaramus on, tegeleme sellega, et sisuhalduse kasutajaliides ka partneritele kasutatav oleks.

Kas kättetoimetamisteenust saaksid tulevikus kasutada ka omavalitsused (või on see mõeldud vaid riigile teadete edastamiseks kodanikele/ettevõtetele).
Omavalitsused saavad juba praegu @eesti.ee süsteemi teavituste edastamiseks kasutada.

Millised tegevused sellele uuringule nüüd järgnevad?
Kasutame sisendina ettevõtja ja eraisiku vaate ning riikliku postkasti lahenduste parandamiseks.

Milline on eesti.ee 5 aasta pärast?
Automaatne ja taustal toimiv süsteem, mis aitab riigi info ja teenused kokku tuua kasutaja jaoks eelistatud kanalis.

Millal eesti.ee vana kujundus lõplikult kaob?
2021. aasta lõpuks.

Millal see ettevõtjate ühtne portaal valmis saab?
Ettevalmistavad tööd on alanud, soovime 2021. aasta jooksul esimeste lahendustega avalikuks tulla.

Mis on EU CyberNet, Siim Alatalu

Kuidas seda küberabi koroonatingimustes võimalik anda on?
See on naelapea pihta küsimus. Koroonaviirus tegelikult ei peatanud Euroopa Liidu abiprojektide tööd. Meie enda inimesed RIAstki on jätkanud teiste riikide nõustamist. Nüüd on need toimunud peamiselt virtuaalses vormis. Projektid kohandusid kiiresti ja ma arvan, et online-kursused jäävad toimuma ka järgmistel aastatel. Kõik eksperdid siiski ootavad võimalust minna reaalselt kohapeale ning inimestega näost näkku suhelda, sest seda ei asenda miski.

Kui palju teil juba eksperte või taotlusi ekspertidelt on?
Ma numbrit siin ei ütle, aga eesmärgini 500 liigume täna mind rahuldavas tempos.

Kui ELil juba mitu teist sarnast projekti on, kas siis EU CyberNet pole üleliigne?
EU CyberNet ei ole üleliigne. Selle järelduseni jõudsid Euroopa rahvad juba eelmisel aastal, et sellist projekti on vaja. Aga nali naljaks. Nagu võisite näha, erinevad EL projektid tegelevad teatud niššidega ning EU CyberNeti ülesanne on tekitada nende vahele kooskõla ja koherentsust. Teised projektid võivad kasutada meie andmebaasi omale parimate ekspertide leidmiseks.

Mis olid kõige suuremad katsumused projekti loomise juures?

Ma tahaks loota, et katsumused alles tulevad. Nagu iga projektijuht teab – kõik algab inimestest, kõik algab ajast ja kõik algab rahast. Ma usun, et see projekt on kõigis neis nurkades hästi kaetud.

Kas Venemaa küberturbe eksperdid on samuti projekti kaasatud?
Nagu ma vihjasin, riigid, kellele heidetakse ette teiste ründamist, neil kahtlemata Euroopa Liit paremaks muutuda ei aita.

Kas igaüks, kes valdkonda tunneb, võib eksperdiks hakata ja millised on sellega kaasnevad hüved?
Suurim hüve, kui oled motiveeritud ja vabatahtlik, on võimalus muuta maailma. Sa saad minna kohapeale ja reaalselt aidata mõnel riigil saada vähemalt sama küberturvaliseks kui Eesti. Kui mõelda praktilistele meetmetele, siis kõigi ekspertide lähetusi rahastab Euroopa Liit vastavalt oma tingimustele.

Projekti raames on valmimas tehniline multifunktsionaalne platvorm. Mis funktsionaalsused sellel platvormil olema saavad?
EU CyberNeti tehniline platvorm kujuneb projekti nö online koduks. Selle eesmärk on aidata nii ehitada üleeuroopalist küberekspertide kogukonda ehk tuua kokku eksperdid omakeskus. Sama oluline on aidata ka viia kokku ekspertiisi nõudlus ja pakkumine ehk eksperdid konkreetsete väljaõppemissioonidega. Platvormile saavad isikliku ligipääsu nii eksperdid kui ka üleeuroopaline küberasutuste kogukond ehk EU CyberNet Stakeholder Community. Platvormi arendatakse spetsiaalselt meie projekti jaoks.

CERT-EE, Eesti küberruumi valvur. 2020/2021 suurimad küberohud, Tõnu Tammer

Millistest riikidest meid kõige rohkem rünnatakse?
Seda on keeruline öelda, sest internetis paistab välja vaid riik, kust tuleb ründav pakett. Millises riigis arvuti taga istub ründaja, kes teises riigis asuvat serverit kasutab, on raske pelgalt paketti vaadates tuvastada.

Mis on pahavaralevitajate peamine eesmärk? Kui mu lapse arvutisse see satub, siis ehk ei saa see palju kurja teha?
Peamiselt leviv pahavara teeb kaht: varastab arvutist andmeid ning loob ründajale võimaluse kasutada arvutit edaspidi järgmisteks pahatahtlikeks tegevusteks. Kui pahavara sattub lapse arvutisse, siis esimese asjana tuleks arvestada, et pahavara varastab ära erinevad arvutisse salvestatud paroolid.

Kui sageli rünnatakse poes ostetud seadmete abil. Näiteks akupanga või USB-klaviatuuri abil?
Enamik kodus olevatest tehnilistest lahendustest ja seadmetest on ostetud ning seadmete soetusviis antud kontekstis oluline ei ole. Kuigi teoorias on ründed ühe või teise seadme abil võimalikud, ei ole viidatud seadmed otse ühendatud internetiga. Pigem tuleks olla tähelepanelik nende seadmete soetamisel, millel on internetti ühendumise võimekus (nt WiFi kaamera).

Milline on Tõnu jaoks kõige keerulisem või värvikam intsident?
Viidatud Eestis toimunud intsident leidis kajastust hiljuti meedias.

Kuidas CERT-EE näeb pankade tegevust õngitsusrünnakutega seoses – enamus õngitsuslehti paistab olevat suunatud panga klientide püüdmiseks – mida teeb RIA vs pangad nende lõppemiseks?
Riigi Infosüsteemi Amet hoiatab pidevalt erinevatest internetis levivatest skeemidest. Samuti oleme korraldanud mitu küberteadlikkuse tõstmise kampaaniat ning jätkame ühiskonna teavitamist ka edaspidi. Samuti oleme jaganud avalikult soovitusi, mille abil on ettevõtetel võimalik oma head nime sh. domeeni kaitsta võltsimise eest. Selleks, et saavutada hea küberturvalisuse tase on ühest küljest vaja tehnoloogiliste standardite ja parimate praktikate rakendamist kui ka inimeste teadlikkust ja tähelepanelikkust.

Kas kõigist ohtudest ja rünnakutest nii teadlik olles vahel endal hirmus ei hakka?
Hirmul ei tohi lasta võitu saada ning selle asemel, et muretseda ühe või teise teema pärast on palju mõistlikum võtta see aeg ning teha endal mõni asi paremaks. Üks praktiline tegevus, mis tasuks ära teha oleks paroolihalduri kasutusele võtmine ning kõikides kasutatavates keskkondades paroolide vahetus. Sedasi on kindel, et igale poole saab unikaalne ja pikk parool, mida peab meeles paroolihaldur.

Kas oled ise ka mõne küberrünnaku ohvriks sattunud?
Jah, minu krediitkaardi andmed on varastatud/lekkinud 3 korda.

Millistel äämuslikel juhtudel RIA soovitab lunavara nõude välja maksta? (Tulenevalt esineja väitest)
Me ei soovita kunagi lunaraha maksta. Ennem kui ründajaga suhtlusesse laskuda tuleks ühendust võtta CERT-EE-ga, kes oskab tuge pakkuda tekkinud olukorras.

Kui ajakirjanik Eeva saab oma postkasti tundmatu kirja, ja ta peab selle avama sest tegemist võib olla hea vihjega, siis kuidas ta saab veenduda, et tegemist ei ole viirusega?
Selleks, et oma arvutit kaitsta on oluline regulaarselt paigata operatsioonisüsteemi, brauserit, e-postitarkvara ning teisi arvutis olevaid tarkvarasid. Igapäevaselt peab uuendama antiviiruse tarkvara tuvastuse signatuure ning soovitame antiviiruse tarkvarade puhul kasutada ka tootja teadmusbaasi põhist kontrolli. Juhul, kui kahtlus võimaliku pahavara olemuse kohta püsib, soovitame pöörduda CERT-EE poole või kasutada meie pakutavat avalikuks kasutamiseks mõeldud pahavara süvaanalüüsi keskkonda Cuckoo: https://cuckoo.cert.ee

Milline on aasta 2020 suurimat kahju tekitanud küberintsident, mis tekitas Tõnu näole avapildil näidatud ilme?
Viidatud Eestis toimunud intsident leidis kajastust hiljuti meedias.

Kas iOS vajab antiviirust? Kui jah, siis palun soovitusi.
iOSile on võimalik antiviiruse tarkvara paigaldada. Tulenevalt iOS toimimise loogikast ei ole antiviirus iOS seadmetel samaväärselt tõhus kui mujal. Kuid iOS seadmete keskkonnas on pahavara levitamine ka keerukam, sest rakendusi või äppe saab paigaldada vaid Apple App Store vahendusel ning Apple kontrollib ka levitatavaid rakendusi.

Küberkuu 2020. ja 2019. aasta IT-vaatliku kampaania kokkuvõte, Lauri Tankler

Millal tuleb uus IT-vaatliku kampaania ja kellele see suunatud on?
Järgmine kampaania on suure tõenäosusega suunatud Eesti venekeelsetele elanikele. Kõik ajakava ja sisu veel täpsustub.

Kas teid saab kutsuda ka asutusse töötajaid koolitama?
Küsida võib ikka, eks siis arutame RIAs, kas või kuidas kellelgi aega on. Kampaaniate ajal on ehk vast isegi lihtsam inimesi endale kooli meelitada. Aga pigem soovitaksin küsida otse mõnelt oma tuttavalt küberspetsialistilt, kas ta võiks tulla teile koolitust tegema.

Kuidas seletada vanaemale või 5-aastasele lapsele, et mis asi on küberturvalisus?
Hea võrdlus oleks oma majaga: kui sa head ukselukku ei pane, siis võivad sisse tulla inimesed, keda sa ei taha sinna. Kui sa mõne aja tagant oma katuse läbilaskmist ei kontrolli, siis võib ühel hetkel vihma hakata läbi sadama. Ja kui sul ei ole akende ees kardinaid, näevad mööduvad inimesed sulle tuppa sisse. Kõik see kehtib ka küberruumis: paroolid on lukud, uuendused aitavad su arvutil tõrjuda välisvaenlasi, ja privaatsussätted on su kardinad akende ees.

Mida lisaks kampaaniatele inimeste teadlikkuse suurendamiseks teete?
RIA jagab perioodiliselt informatsiooni ohtude kohta küberruumis – iga kuu, kvartal, aasta – ning ka siis, kui parasjagu mingi suurem küberoht meid varitseb. Meid võib jälgida sotsiaalmeedias ja püüame pidevalt ka oma hoiatavate näidetega ajakirjanduses pilti saada.

Kas on võimalik saavutada olukord, kus kõik Eesti inimesed on IT- vaatlikud?
Kuna turvalisus ei ole kunagi lõplik, ei ole ka kõik inimesed lõpuni turvateadlikud. Kõik inimesed on mingil määral niikuinii oma elus ettevaatlikud, ka it-vaatlikud, kuid iga väiksemgi proaktiivne tegevus selle turvalisuse tõstmiseks tuleb kasuks.

Kas CIS20 on ka mõeldud pigem just 0, 1 kuni 100 töötajaga ettevõttele?
CIS20 on mõeldud ettevõtetele, kellel on töötajaid, keda koolitada; arvutisüsteeme, mida hallata; teenuseid, mis on IT-lahendustega. Seda raamistikku peaks saama kasutada ettevõte nii 10 töötajaga, kui ka 20000 töötajaga. Loe lähemalt https://www.cisecurity.org/controls/

Kas vanaema, kel on nuputelefon ja arvutis loeb vaid ajalehti, peaks ka IT-vaatlik olema?
Kui vanaema arvutis ei ole brauser uuendatud, millega ta lehti loeb, võib tema arvutisse sattuda pahavara. See võib omakorda teha palju pahandust kohalikus arvutivõrgus või hakata ründama teisi süsteeme üle interneti. Seega jah, kõik arvutit ja internetti kasutavad inimesed peaksid vähemasti teadma, et mõned küberturvalisuse teemad on olulisemad kui teised.

Kas on plaanis ka e- valimistega seotud teadlikkuse koolitusi?
Seda tuleb veel vaadata ja kaaluda, sest iga selline teema nõuab eelarvet. E-valimise õpetamist on vaja üha vähem, sest inimesed on Eestis sellega juba niivõrd harjunud ning aitavad ka üksteist. Küll aga peame vajalikuks toonitada, et hea oleks hääletada oma arvutist, mille puhul sul pole kahtlust, et see oleks nakatunud mingi pahavaraga. Küll me leiame võimaluse seda sõnumit levitada.

Kas RIA teeb koolituste osas koostööd ka HTM-ga, et küberturbe küsimused oleksid kooli õppekavades sees?
Haridus- ja teadusministeeriumi all tegutsev Harno (mille koosseisu liideti ka varasem Hariduse Infotehnoloogia Sihtasutus HITSA) pöörab küberturvalisusele koolides palju tähelepanu ning see küsimus on kindlasti üks, mis neil on kaalumisel. Küsimus on siis pigem selline: kas küberturvalisus peaks olema eraldi õppeaine, läbiv teema või mõlemat. Iga uuema valdkonna õppekavadesse liitmine peab tähendama ka seda, et keegi oleks võimeline neid aineid õpetama. Kui seda teha pelgalt kohustuse pärast, ei pruugi sellest head nahka tulla.

Öeldi, et avalikule sektorile võimaldatakse testi tegemist, see on puhas vale! ETO-d on samuti avalik sektor, kuid ETO-le keelduti testi võimaldamisest!
Eeldan, et juttu on Küberhügieeni Digitestist. DigiTest on suunatud eelkõige valitsussektorile, sh valitsusasutused, põhiseaduslikud institutsioonid ja kohalikud omavalitsused, kuid skoopi on laiendatud ka perearstikeskuste ja üldhariduskoolide personalile. Üheks eelduseks on liitumine Riigivõrguga. ETOsid on muidugi on nii avalikus kui ka erasektoris. Kirjutage digitest@ria.ee, et teada saada, millised on teie asutuse võimalused seda õppeplatvormi kasutada.

Milleks ja kellele Eesti uus infoturbestandard, Ilmar Toom

Miks on meile vaja järjekordset standardit?
Eks igal sellisel lahendusel ole oma elukaar ning olemasoleva oma on jõudmas sinna, et aeg on küps uue jaoks. Ka organisatsioonide küpsusaste kasvab tasapisi ning üha rohkemad on valmis võtma kasutusele standardit, mis pakub lisaks etalonturbele ka riskipõhist lähenemist.

Kas RIA hakkab ka uue standardi täitmist kontrollima?
Jah, RIA teostab järelevalvet infoturbemeetmete rakendamise üle nagu praegugi.

Kui palju on iske rakendamise nõuete vastu eksimise eest trahvitud?
RIA ei tee asutustele trahvi. Kui tuvastatakse puuduseid, mida mõistliku aja jooksul ei kõrvaldata, siis saab määrata sunniraha. Seda saab teha korduvalt, senikaua kuni puudused kõevaldatakse.

Kas olete ISKE ise läbi lugenud?
ISKE ei ole juturaamat, et see kaanest kaaneni läbi lugeda. Pigem on see käsiraamatu laadne teatmik, kust vastavalt vajadusele saab infot otsida. Rakendusjuhend jms üldise dokumendid on muidugi mõistlik läbi lugeda.

Kui ISO on olemas, miks siis üldse uut standardit vaja on?
ISO ei sobi kõigile. Kõik asutused ei soovi või ei jaksa ISOt rakendada. Kuid kes soovib, siis palun väga – ISO 27001 sertifikaadi olemasolu korral loetakse infoturbemeetmed rakendatuks.

Kes asutuses peaks e-ITSi kasutusele võtmisega tegelema hakkama või seda kasutuselevõttu algatama?
Iga selline ettevõtmine on terve maja projekt, kõik peavad sellega tegelema ning arusaama, mida ja milleks tehakse. Mõistagi jagunevad tööülesanded erinevate rollide vahel, kuid, nagu enamasti, algatus ja üldvastutus on tippjuhtkonna juures, sealt edasi äriprotsesside omanikud jne.

Kas uue standardi rakendamise toetamiseks luuakse ka tööriist, rakendus vmt?
Esimeses järgus luuakse portaalile, kus standard asuma hakkab, API, mille abil on standardit lihtne integreerida asutuses juba olemasolevasse töövoohaldusesse. Järgmisel aastal tegeleme ka eraldi tööriista loomise küsimusega.

Kui enne oli 5000 lk ja nüüd 500 lk, kas midagi siis jäeti lihtsalt välja?
Standardi loomisel pandi suurt rõhku mh ka sellele, et esitada materjal võimalikult lühidal ja kontsentreeritud kujul. Sellega seoses on seal vähem korduseid, kirjeldavaid taustalugusid ja üldharivat teksti. Kõik oluline on olemas.

Millal ISKE kinni pannakse?
2024 alguses. ISKE saab siis 20-aastaseks.

Kuidas sündis uue standardi nimi? Kas oli ka alternatiive lisaks E-ITSile?
E-ITS on akronüüm standardi pikast nimest. Kas sellet saab ka lõplik nimi, näitab aeg. Praegu on E-ITS nö tööversioon ning kui kellelgi on silmapaistvalt häid ideid, siis andke meile teada. Jah, meil oli ka erinevaid alternatiive.

Kas ja kui paljudele organisatsioonidele on RIA sel aastal sunnirahasid või trahve määranud? Sanktsioneerimine ei ole kunagi olnud RIA eesmärk. Meie eesmärk on ikkagi see, et asutustes oleksid infoturbemeetmed rakendatud. Kui seda on võimalik saavutada ilma sunniraha määramata, siis see on kahtlemata meie eelistus. Alati see siiski ei õnnestu ja mõnedel puhkudel oleme määranud sunniraha.

Kes hakkab uut standardit auditeerima? Kas neid partnereid on juba olemas?
ISKE puhul on endiselt auditi partneritest puudus. Uut standardit hakkavad auditeerima audiitorid, tõenäoliselt paljuski samad, kes senigi. Ma ei tea, et mõni audit oleks tegemata jäänud põhjusel, et ei ole auditeerijat.

Kust saab alla laadida E-ITSi kavandit?
E-ITS ei hakka olema terviklikuna allalaetav dokument, PDF vms. E-ITS hakkab asuma portaalis, nii nagu ISKE praegugi. Portaal muutub avalikult kättesaadavaks jaanuaris.

Kas E-ITS koolitust on plaanis korraldada üle interneti, arvestades praegust COVID seisu?
Kõige parema meelega korraldaksime füüsilise kohaolekuga koolitusi, kuid meid ümbritsevast keskkonnast tulenevaid mõjusid arvestades võib juhtuda, et peame neid tõepoolest tegema üle veebi.

Miks mitte jääda ISO-27001 juurde selle asemel, et ise leiutada?
ISO puhul on seda “ise leiutamist” oluliselt rohkem kui E-ITSi puhul. E-ITSist on soovi korral võimalik võtta etalonturbe meetmed, ilma et peaks neid ise leiutama hakkama. ISO puhul sellist võimalust ei ole.

Kas riik võiks standardi genereerimiste asemel tegeleda toe/teenuse pakkumisel riskide haldamisel/kaardistamisel/lahendamisel?
Riik ei saa tulla ühegi asutuse riske kaardistama ega haldama, see on ikka iga asutuse enda töö. Mõistagi oleme pakkunud tuge ja koolitusi riskianalüüside läbiviimiste jms teemal ning jätkame seda ka tulevikus. Aga ühegi asutuse eest riske kaardistama ega haldama tulla riik ei saa ega tohi.

RIA juhtkonna paneel – Mida toob 2021 RIA-le ja tema partneritele?

Vasakult: RIA peadirektor Margus Noormaa, peadirektori asetäitja küberturvalisuse alal Lauri Aasmann ja peadirektori asetäitja riigi infosüsteemi alal Margus Arm.

Kas RIA saaks või peaks riigiasutuste koostööd küberturvalisuse tagamisel kuidagi paremaks muuta ja milles see võiks väljenduda?
Kindlasti saaks, aga kvalitatiivseks hüppeks oleks vaja küberturvalisusesse rohkem investeerida. Ja mitte ainult RIAsse, vaid laiemalt.

IT minister ütles, et tema ei saa kinnitada ilma väliste audititeta Eesti e-valimiste turvalisust. Kas RIA peadirektor saab kinnitada, et e-valimised on senini olnud turvalised.
Täna ei ole ühtegi põhjust väita, et e-Valimised ei ole turvalised. Uute valimiste osas kindluse saamiseks on kindlasti igasugused auditid teretulnud. Mida põhjalikumad, seda parem.

Eesti on siiani suuresti läinud rätsepatööna tehtud IT hankimise ja arendamise teed. Kas näete, et siinses ökosösteemis on midagi suurt, mida saaks ka nö karbitootena osta või erasektorile delegeerida
Kindlasti saaks riik rohkem sisse osta ja pikajalises vaates ka sellised plaanid on. Nt arvutitöökohtade haldus või pilve kasutamine jne.  

Kui palju MKM kui RIA katusorganisatsioon dikteerib Eesti küberturvalisusest arengusuundi?
Võiks rohkem dikteerida. Täna peamiselt läbi standardi, järelevalve ja kogukonna kaasamise. Samas võiks riigis olla mitmed kesked RIA poolt hallatud lahenduste kasutamine olla kohustuslik ja mitte valikuline a’la riigivõrk, riigiportaal, keskne autentimine jms lahendused.

Ühes kohas väidetakse, et e-valimsed ei ole turvalised, sest auditeerimist pole tehtud, teises kohas väidetakse, et e-valimised on turvalised. Keda me nüüd usume? Kes auditeeris lahenduse või mitte?
Siiani 15 aasta jooksul toimunud valimiste auditeerimiste kohta on info kättesaadav riigi valimisteenuste kodulehelt. Sealt leiab vastused ka korduma kippuvatele küsimustele.

Miks riik kaasab niivõrd vähe tunnustatud tippeksperte väljaspoolt avalikku sektorit? Kas riik on tõesti veendunud, et kogu tippkompetents on avalikus sektoris?
Riik kasutab väga palju erasektori tippspetsialiste. Seda erinevates valdkondades sh nt arenduses ja infoturbes.

Rahast rääkides – kui raha paneb tellija paremini läbi mõtlema – mis on muidugi õige, siis miks ei võiks tellija ise otsustada, millisele tarnijale ta oma raha viib?
Reeglina võibki. Teatud valdkondades tuleb arvestada ka julgeoleku aspektidega ja siin ei ole mõtet võtta liigseid riske.

Riigiasutused saavad oma raha riigieelarvest. Kui riigiasutused hakkavad oma tulu teenima, siis kas see riigieelarveline tugi ei ole ebavõrdne konkurentsieelis erasektori ees?
Riigisektori IKT on olnud ja on jätkuvalt teatud ulatuses alarahastatud ning kui omatulu ka teenitakse, siis kulub see enamasti eelarveaukude lappimiseks. Riik ei peaks riigiarvelise raha eest pakkuma konkurentsi erasektori teenustele, kui see just ei aita kokku hoida riigi enda raha (nt Riigi autentimisteenus).