Riigikontroll kinnitas täna avalikustatud X-tee auditiaruandes, et RIA on küll taganud X-tee töökindluse, kuid ootab asutuselt suuremat kontrolli kasutajate turvameetmete rakendamise üle.
Audit toob välja, et X-tee teenustes on viimase kolme aasta jooksul olnud üks olulise mõjuga katkestus, mis on tingitud kesksete komponentide veast. RIA on selgitanud välja ja hinnanud X-tee töökindlust ohustavad olulisemad riskid ning töötanud riskide maandamiseks välja meetmed, millest mitmeid ka rakendatakse.
Kriitilisemad ollakse lepingute sõlmimise ning väljatöötamata kontrollimehanismi suhtes. Näiteks mitmetel juhtudel ei ole X-teel andmeteenust pakkuvad asutused sõlminud teenuse kasutamise kokkuleppeid, või kui need siiski sõlmiti, ei teinud ükski auditeeritud riigiasutustest kokkuleppe eel kindlaks, kas eraettevõtjad rakendavad piisavaid meetmeid turvariskide maandamiseks, et tagada andmete terviklus, konfidentsiaalsus ja käideldavus. Puudub ka kontroll eraõiguslike liikmete üle.
Üldsõnaline määrus jätab tõlgendamisruumi
Kuigi X-teed kasutusele võtvad asutused peavad rakendama infoturbega seotud riskide maandamiseks vajalikke meetmeid, on selgitamata jäetud, milliseid turvameetmeid ja millisel tasemel tuleks rakendada. Valitsuse määrusega „Infosüsteemide andmevahetuskiht“ on X-teele kehtestatud nõuded kohati üldsõnalised ning võimaldavad mitmeti tõlgendamist.
Ehkki RIA ei ole X-tee kohta eraldi talitluspidevuse plaani koostanud, on turvalise andmevahetuse püsivaks toimimiseks võetud kasutusele meetmeid ning muudes dokumentides sätestatud nõudeid talitluspidevuse tagamiseks. Auditis nimetatakse puudusteks ebaregulaarset testimist ja nende dokumenteerimata jätmist.
Tuginedes eeltoodule on riigikontroll teinud RIA-le järgmised ettepanekud:
- Muuta vabariigi valitsuse määrust selliselt, et kehtestatud nõuded on täpsemad ja arusaadavad nii, et andmeteenuse osutajatel oleks võimalik neid nõudeid rakendada ja RIA-l nende rakendamist kontrollida.
- Töötada välja vajalikud juhendid määrusest tulenevate nõuete rakendamiseks ja korraldada X-teed kasutavatele asutustele vajalikud koolitused.
- Hinnata andmeteenuse kasutamise lepingute sõlmimata jätmisest tulenevaid riske andmekogude turvalisusele ja võtta kasutusele neid riske maandavad tegevused.
- Kaaluda andmeteenuse kasutamise kokkulepete sõlmimise ja taotluste halduse funktsionaalsuse lisamist, et muuta X-tee portaali andmeteenuste avamine ja kasutamine senisest vähem bürokraatlikuks.
- Töötada välja X-tee teenuseid kasutavate eraõiguslike juriidiliste isikute kontrollimise süsteem, et tagada andmete terviklus, konfidentsiaalsus ja käideldavus.
- Korraldada regulaarselt X-tee kesksete komponentide taastetestimisi ning neid dokumenteerida.
Andmevahetusosakonna juhataja Joonas Heiter:
Võtame Riigikontrolli auditi järeldusi ja ettepanekuid tõsiselt selleks, et X-teega seotud protsesse paremaks muuta ning tõsta veelgi X-tee usaldusväärsust. Kuivõrd Riigikontrolli audit algas eelmise aasta kevadel, siis mitmed ettepanekud oleme juba töösse võtnud ning algatanud arutelusid ka teiste ettepanekute osas lahenduse leidmiseks. Näiteks on X-tee iseteeninduskeskonda plaanis luua andmevahetusteenuse kokkuleppe üldine põhi. Samas ei tohi ära unustada, et igale X-tee liikmele peab jääma õigus otsustada, kellele, kas ja millistel tingimustel ta oma andmeid jagab ning andmeteenust pakub. Seega jääb ka edaspidi X-teel andmevahetuse üheks eelduseks pooltevahelise andmevahetuskokkuleppe olemasolu ning selle peavad omavahel sõlmima andmeid vahetada soovivad X-tee liikmed. Kõigil X-tee liimetel on kohustus võtta kasutusele vajalikud turvameetmed ning hoolitseda andmete käideldavuse ja konfidentsiaalsuse eest. Samuti kinnitasime audiitorile, et dokumenteerime edaspidi korrektsemalt taasteteste. Tutvu riigikontrolli auditiga Riigikontrolli kodulehel.
Helen Uldrich
RIA kommunikatsioonijuht