Tag Archives: küberturvalisuse seadus

Tugevam e-riik

Uku Särekanno, RIA küberturvalisuse teenistuse juht

Uku Särekanno, Riigi Infosüsteemi Ameti peadirektori asetäitja küberturvalisuse alal

Kett on täpselt nii tugev, kui tugev on selle nõrgim lüli. 2018. aastal juhtus mõndagi, mis seda ütlust kinnitab.

Mitukümmend Eesti ettevõtet kirjutasid korstnasse kokku sadu tuhandeid eurosid arvepettuste tõttu. Maakataster pääses napilt maani maha põlemisest. Mitmel korral kadus kogu riigis võimalus pangakaardiga maksta, häirekeskuse liinid olid terve päeva tummad ühe suure mobiilsideoperaatori klientidele, kopamehed lõikasid ära Baltikumi suurima tanklaketi kõik automaattanklad. Lekkisid delikaatsed isikuandmed sõjaväelaste ja koolilaste kohta, pandi toime rünnakuid meediaportaalide vastu, pressiti lunavara välja suurettevõtteilt ja perearstikeskustelt. Intsidentide loetelu võib jätkata pikalt — registreerisime 17 000 pöördumist, mida on enam kui 60 protsenti rohkem kui aasta varem.

Ometi oli 2018. aasta hea ja turvaline aasta. Hüppeliselt kasvanud pöördumiste arvule vaatamata registreeriti kriitilisi intsidente kokkuvõttes vähem kui aasta varem. NotPetya ja Wannacryga võrreldavaid suuri ja rahvusvahelisi kampaaniaid ei kordunud. E-riigi alustalad, nagu ID-kaart ja X-tee, toimisid stabiilselt ja suuremate tõrgeteta.

Politsei- ja piirivalveamet sulges mais 11 000 ID-kaarti e-teenuste kasutamiseks ning RIA eksperdid murdsid lahti vigase kiibiga ID-kaardi. Sellega sai sisuliselt punkti 2017. aasta ID-kaardi kriis. Õppetunnid olid käes, uusi turvanõrkusi pole ilmnenud ning aasta lõpust asuti väljastama juba täiesti uut ja seni Eesti ajaloo kõige turvalisemat ID-kaarti.

2018. aastal said paika mitmed eeldused, et Eesti e-riik püsiks turvalistel alustel. Korrastus õiguslik raamistik ning valitsus otsustas eraldada IKT valdkonnale oluliselt lisaraha: 2019. aastal 21 miljonit ning järgmise nelja aasta jooksul kokku 118,4 miljonit eurot. Euroopa Liidu tasandil jõustus andmekaitse üldmäärus (GDPR) ning võrgu- ja infoturbe direktiiv (NIS), Eestis aga küberturvalisuse seadus ja isikuandmete kaitse seadus.

Võeti vastu küberturvalisuse strateegia aastateks 2019–2022, mille kolm peamist fookust on uue infoturbestandardi väljatöötamine, riikliku küberturbekeskuse loomine ning süsteemne ennetustegevus. Kogu uut strateegiat kannab arusaam, et investeering halva ära hoidmisse on mitu korda odavam kui tagajärgedega tegelemine. Täpselt nii, nagu politsei pöörab tähelepanu kuriteo ennetusele ja päästeamet tuleohutusele. Riskide väljaselgitamine ja nende maandamine on kokkuvõttes tulemuslikum ja odavam.

RIA ülesandeks on seadusest tulenevalt maandada riske, tõsta teadlikkust ja tagada e-riigi võtmekomponentide turvaline toimimine. Me pakume 400 asutusele Eesti kõige turvalisemat riigivõrku, 15 suurele ettevõttele võrguseire teenust, kümnetele ettevõtetele turbeteste ning sadadele ohuteateid. Kõikidele Eesti kodanikele ja asutustele aga turvalisi lahendusi autentimiseks, digitaalallkirjastamiseks ja andmevahetuseks.

Seda kõike on üksjagu, ent mitte piisavalt. Üle kõige on vaja laiemat suhtumise muutust — arusaama, et küberturvalisus väärib tähelepanu ning see pole IT-osakonna või tehnikute asi. See on ennekõike juhtkonna asi, kes otsustab äriportsessi ja investeeringute üle. Vastasel juhul kannatavad tooted/teenused, kaob maine, kliendid ja raha. Juht annab tegevustele suuna, tunnetuse ja prioriteedid. RIA saab olla siinkohal hea partner ja konsultant. Ent vajadust ja vastutust peab mõistma iga juht ise. Ei tasu olla nõrgim lüli.

Loe täpsemalt aastaraamatust “Küberturvalisus 2019”

RIA juht Taimar Peterkop: küberturvalisuse seadus on vajalik meie tänapäevase eluviisi kaitseks

Riigikogu menetleb küberturvalisuse seaduse eelnõu. Riigi Infosüsteemi Ameti peadirektor Taimar Peterkop selgitab, miks sellist seadust on vaja ning kuidas see aitab tagada küberturvalisust. Tekst avaldati 15. märtsil 2018 Delfi arvamusrubriigis.

Taimar Peterkop

Küberturvalisuse seadus aitab ettevõtetel ja riigil paremini koos turvalisust tagada ning kaitsta Eesti digiriiki. Kuna ühiskonna toimimine sõltub üha enam infosüsteemidest, nõuab küberruumi kaitse selgemaid regulatsioone, kiiret reageerimist ja riigi panust vastutuse võtmisel.

Tänane Eesti õigusruum ei toeta meie ühise digitaalse riigi ja inimestele eluks vajalike (energia, telefoniside, meditsiini jms) teenuste kaitset piisavalt. Riikliku julgeoleku ja kaitse tagamise kohustus on asutuste õlul, kellel ei pruugi olla head ja terviklikku olukorra ülevaadet küberruumis toimuvast. Teenuse pakkujalt eeldatakse küberintsidendi lahendamist ja otsuste tegemist, mis aga mõjutavad suuremal või vähemal määral meid kõiki – seda, kas ja kuidas toimib meie e-riik. Nende otsuste tegemise juures saab riik olla vaid soovitavas rollis, mis tähendab, et riigil pole meid kõiki puudutavas küberturvalisuse valdkonnas ei korralduste andmise ega nende eest vastutuse võtmise õigust.

Riigi Infosüsteemi Ameti juhtimisel on enam kui aasta töötatud seaduse kallal, mis lisaks Euroopa Liidu võrguturbe direktiivi rakendamisele likvideerib need puudujäägid õigusruumis – seab riigile suurema kohustuse ning annab ka õigused. Meie kohustus on digiriigina teha enam ja olla teerajajaks küberturvalisuse valdkonnas laiemalt, mistõttu peame pingutama, et ka meie õigusruum järgiks meie pidevaltareneva digitaalse eluviisi tagamise vajadusi. Nagu ID-kaardi päästmine näitas, siis riik ei saa jätta ühiskonna kaitse kohustust ettevõtetele ega küberruumis tekkivaid ohuolukordi kuidagi eirata. Selliselt toimides kaoks usaldus, mis on aga digiriigi toimimise alus.

Küberturvalisuse seadus on sama oluline ja vajalik kui mistahes füüsilises maailmas toiminguid reguleeriv seadus, kas või näiteks pääste- ja korrakaitseseadused. Suure tõenäosusega ei tule lennufirmad pommikahtluse korral lennujaamas kahjusid sisse nõudma, sest lennujaam järgis politsei korraldust ning võimaldas neil inimeste elusid päästa. Samas, kui on kahtlus, et aeronavigatsiooni süsteemides on mingi keeruline pahavara, mis võib protsesse iga kell juhtida ja peatada, siis puudub lennujaamal täna alus riigi soovituste alusel oma teenuseid peatada, kuni probleem on likvideeritud. Kehtiva õiguse järgi ei ole selge, kas riik saab anda sellise korralduse, ning lennujaamal endalgi pole kindlust, kuidas sellises olukorras riigi soovituste järgi tegutseda. Sarnaseid näiteid võib tuua ka muudest valdkondadest.

Eestis registreeritud küberturbejuhtumite hulk lööb tänavu rekordeid: eelmise aasta juhtumite arv oli ligi kolmandiku võrra suurem kui mullu, küündides 11 000-ni. Põhjused registreeritud juhtumite taga on väga erinevad, alates seadmeriketest ja inimlikest eksimustest kuni pahatahtliku tegevuseni. Jälgides maailmas toimuvat näeme üha enam, et suurenenud on välisriikide ründav tegevus küberruumis. Eesti riigiasutuste andmesidevõrke skannitakse ja kaardistatakse pidevalt, kontrollitakse meie kommunikatsioonivahendite võimekust ja üritatakse lisaks riigiasutustele tungida ka elutähtsaid teenuseid pakkuvate ettevõtete arvutivõrkudesse.

Igapäevast turvalisust ohustavad aga veelgi enam küberkurjategijate ründed: lunavara levitamisega kasumit teenida lootev organiseeritud kuritegevus seab oma tegevusega ohtu inimeste elu ja tervise. Sagedased rünnakud haiglatele põhjustavad halvemal juhul arstiabi andmise katkemise. Selliste rünnakute vastu ei piisa parimatest infotehnoloogiavahenditest ega kõige pädevamast küberturvalisust tagavast meeskonnast, kui kasutaja pole riskidest teadlik või on hooletu. Oskus küberruumis turvaliselt toimetada ja riske õigesti hinnata võimaldab tagada turvalisuse kogu riigis.

Ühiskonna suureneva IT-sõltuvuse taustal areneb tehnoloogia ülikiiresti. Võrgu- ja infosüsteemide suurenev keerukus, internetti ühendatud väga erinevate seadmete kasvav arv ning küberruumis tegutsevate erineva motivatsiooni ja oskustega toimetajate kasvav hulk muudab küberturvalisuse üha suuremaks väljakutseks. Eesti senine edukas küberkaitse mudel põhineb kogukondlikul lähenemisel – riigi, ettevõtete ja haridusasutuste koostööl. Turvalisust ei saa võtta kergekäeliselt ja riik või ettevõtted üksi üksi ei suuda tagada turvalisust küberruumis. Küberturvalisuse seadus on üks oluline osa, mille pinnalt jätkuvalt ehitada seda kogukondliku küberkaitse mudelit.