Tag Archives: küberturvalisus

RIA juht Taimar Peterkop: küberturvalisuse seadus on vajalik meie tänapäevase eluviisi kaitseks

Riigikogu menetleb küberturvalisuse seaduse eelnõu. Riigi Infosüsteemi Ameti peadirektor Taimar Peterkop selgitab, miks sellist seadust on vaja ning kuidas see aitab tagada küberturvalisust. Tekst avaldati 15. märtsil 2018 Delfi arvamusrubriigis.

Taimar Peterkop

Küberturvalisuse seadus aitab ettevõtetel ja riigil paremini koos turvalisust tagada ning kaitsta Eesti digiriiki. Kuna ühiskonna toimimine sõltub üha enam infosüsteemidest, nõuab küberruumi kaitse selgemaid regulatsioone, kiiret reageerimist ja riigi panust vastutuse võtmisel.

Tänane Eesti õigusruum ei toeta meie ühise digitaalse riigi ja inimestele eluks vajalike (energia, telefoniside, meditsiini jms) teenuste kaitset piisavalt. Riikliku julgeoleku ja kaitse tagamise kohustus on asutuste õlul, kellel ei pruugi olla head ja terviklikku olukorra ülevaadet küberruumis toimuvast. Teenuse pakkujalt eeldatakse küberintsidendi lahendamist ja otsuste tegemist, mis aga mõjutavad suuremal või vähemal määral meid kõiki – seda, kas ja kuidas toimib meie e-riik. Nende otsuste tegemise juures saab riik olla vaid soovitavas rollis, mis tähendab, et riigil pole meid kõiki puudutavas küberturvalisuse valdkonnas ei korralduste andmise ega nende eest vastutuse võtmise õigust.

Riigi Infosüsteemi Ameti juhtimisel on enam kui aasta töötatud seaduse kallal, mis lisaks Euroopa Liidu võrguturbe direktiivi rakendamisele likvideerib need puudujäägid õigusruumis – seab riigile suurema kohustuse ning annab ka õigused. Meie kohustus on digiriigina teha enam ja olla teerajajaks küberturvalisuse valdkonnas laiemalt, mistõttu peame pingutama, et ka meie õigusruum järgiks meie pidevaltareneva digitaalse eluviisi tagamise vajadusi. Nagu ID-kaardi päästmine näitas, siis riik ei saa jätta ühiskonna kaitse kohustust ettevõtetele ega küberruumis tekkivaid ohuolukordi kuidagi eirata. Selliselt toimides kaoks usaldus, mis on aga digiriigi toimimise alus.

Küberturvalisuse seadus on sama oluline ja vajalik kui mistahes füüsilises maailmas toiminguid reguleeriv seadus, kas või näiteks pääste- ja korrakaitseseadused. Suure tõenäosusega ei tule lennufirmad pommikahtluse korral lennujaamas kahjusid sisse nõudma, sest lennujaam järgis politsei korraldust ning võimaldas neil inimeste elusid päästa. Samas, kui on kahtlus, et aeronavigatsiooni süsteemides on mingi keeruline pahavara, mis võib protsesse iga kell juhtida ja peatada, siis puudub lennujaamal täna alus riigi soovituste alusel oma teenuseid peatada, kuni probleem on likvideeritud. Kehtiva õiguse järgi ei ole selge, kas riik saab anda sellise korralduse, ning lennujaamal endalgi pole kindlust, kuidas sellises olukorras riigi soovituste järgi tegutseda. Sarnaseid näiteid võib tuua ka muudest valdkondadest.

Eestis registreeritud küberturbejuhtumite hulk lööb tänavu rekordeid: eelmise aasta juhtumite arv oli ligi kolmandiku võrra suurem kui mullu, küündides 11 000-ni. Põhjused registreeritud juhtumite taga on väga erinevad, alates seadmeriketest ja inimlikest eksimustest kuni pahatahtliku tegevuseni. Jälgides maailmas toimuvat näeme üha enam, et suurenenud on välisriikide ründav tegevus küberruumis. Eesti riigiasutuste andmesidevõrke skannitakse ja kaardistatakse pidevalt, kontrollitakse meie kommunikatsioonivahendite võimekust ja üritatakse lisaks riigiasutustele tungida ka elutähtsaid teenuseid pakkuvate ettevõtete arvutivõrkudesse.

Igapäevast turvalisust ohustavad aga veelgi enam küberkurjategijate ründed: lunavara levitamisega kasumit teenida lootev organiseeritud kuritegevus seab oma tegevusega ohtu inimeste elu ja tervise. Sagedased rünnakud haiglatele põhjustavad halvemal juhul arstiabi andmise katkemise. Selliste rünnakute vastu ei piisa parimatest infotehnoloogiavahenditest ega kõige pädevamast küberturvalisust tagavast meeskonnast, kui kasutaja pole riskidest teadlik või on hooletu. Oskus küberruumis turvaliselt toimetada ja riske õigesti hinnata võimaldab tagada turvalisuse kogu riigis.

Ühiskonna suureneva IT-sõltuvuse taustal areneb tehnoloogia ülikiiresti. Võrgu- ja infosüsteemide suurenev keerukus, internetti ühendatud väga erinevate seadmete kasvav arv ning küberruumis tegutsevate erineva motivatsiooni ja oskustega toimetajate kasvav hulk muudab küberturvalisuse üha suuremaks väljakutseks. Eesti senine edukas küberkaitse mudel põhineb kogukondlikul lähenemisel – riigi, ettevõtete ja haridusasutuste koostööl. Turvalisust ei saa võtta kergekäeliselt ja riik või ettevõtted üksi üksi ei suuda tagada turvalisust küberruumis. Küberturvalisuse seadus on üks oluline osa, mille pinnalt jätkuvalt ehitada seda kogukondliku küberkaitse mudelit.

Riigi infosüsteemi küberturvalisus

Riigi infosüsteemi turbe talituse juht Aare Reintam võtab kokku RIA olulisemad tegevused küberturbe edendamisel.

Eesti on infotehnoloogia kiire arenguga kaasas käiv riik. Meie infoühiskond ja infotehnoloogilised protsessid on arenenud nii kaugele, et peame igal elualal loomulikuks e-teenuste kasutamist ning ühiskonna usaldus e-kanalite kaudu esitatavate teenuste vastu aina kasvab.

Riigi Infosüsteemi Ameti ülesanne on tagada, et inimeste kasutatavad teenused oleksid kergesti kättesaadavad, mugavad kasutada, aga ka turvalised. Teenuste turvalisuse edendamiseks eesmärkide edendamiseks tegeleme järgnevaga:

  1. Koolitame inimesi, kes arendavad, haldavad ja kasutavad infosüsteeme ja nende pakutavaid teenuseid. 2013. aastal korraldasime 18 küberturbe koolitust, millest võtsid osa ligi 500 inimest. Koolitusi leidus nii juhtidele (läbistusdemod), administraatoritele (süsteemide turvaline konfigureerimine), tavakasutajatele (infoturbe sissejuhatus) kui riigiasutuste turvajuhtidele (seminarid);
  2. Koondame erialakogukondi, et tagada parem infovahetus e-kanalite ja töögruppide kaudu ning reageerimine intsidentidele. RIA eestvedamisel on loodud kriitilise informatsiooni kaitse tagamise töörühm, automaatjuhtimissüsteemide turvajuhtide kogukond, 2014. aastal luuakse riigiasutuste turvajuhtide komisjon;
  3. Koostame juhendeid: 2014. aastal oleme RIA kodulehel avaldanud 23 juhendit IT halduse ja IT-turbe paremaks reguleerimiseks.
  4. Arendame Eesti infoturbe standardit ISKE. 2015. aasta II pooles lubab Saksamaa Infoturbe Amet välja lasta uue Grundschutzi versiooni, mis tuleb õhem, täpsem, kiiremini uuenev ja kergemini järgitav;
  5. Kogume ja analüüsime elutähtsate teenuste riskianalüüse eesmärgiga omada ülevaadet ETOde küberturvalisuse tasemest ja nende vastastikusest sõltuvusest;
  6. Lähtuvalt ISKE nõuetest ja VV määrusest “Infoturbe juhtimise süsteem” kogume ning analüüsime Eesti riigis ja asutustes juhtunud intsidente, et töötada välja tõhusad kaitsemeetmed ja juhised edasiste intsidentide ärahoidmiseks ja mõjude vähendamiseks;
  7. Töötame välja regulatsioone infoturbe ühtluseks ja selgeks arenguks;
  8. Koostame küberturbe ülevaateid ja analüüse partnerasutustele ja asjaomastele huvigruppidele;
  9. Tellime ja korraldame turvatestimisi. Alates 2012. aastast on RIA korraldanud ligikaudu 40 turvatestimist ning tellinud umbes 10 läbistus- ja haavatustestimist.

Loetelu võiks ja saaks veel pikendada, kirja said vaid olulisemad tegevused. RIA-le on oluline, et Eesti e-riigi keskkond oleks innovaatiline, turvaline, kasutajasõbralik ja kõikidele kättesaadav.

Turvalist ja innovatiivset e-keskkonda soovides

Aare Reintam
Riigi infosüsteemi turbe talitus