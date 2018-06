Riigikontroll leidis, et omavalitsuste üldine infoturbekultuur on madal nii teenistujate kui ka juhtkonna tasandil. Sageli puuduvad suunised IT-vahenditega ümberkäimiseks, neid ei ole töötajatele tutvustatud või päriselus neist ei lähtuta; majasiseste IT-nõuete täitmist toetavaid koolitusi ja teavitustööd ei tehta. „See ongi kõige murettekitavam, et audiitorid kohtasid kohalikes omavalitsustes ka selliseid vastutavaid ametnikke, kelle jaoks turvameetmete süsteemi rakendamise, sh andmekaitse vajalikkus jäi niisama arusaamatuks kui investeerida turismireisi Marsile – see on midagi kauget, mis nende eluaja jooksul nagunii ei juhtu. Ajal, kus teadaolevate küberturbejuhtumite arv Eestis on juba üle 10 000 aastas, on naiivne ja ohtlik endiselt arvata, et „meiega seda ju ei juhtu“ või „meie andmed ei ole olulised“,“ nentis riigikontrolör Janar Holm.

Lisaks selgus, et auditeeritud omavalitsused ei pea ennast vastutavaks enda asutusest väljas majutatud andmekogude andmete turvalisuse, andmekogude riigi infosüsteemi haldussüsteemis (RIHA) registreerimise ja X-teega liidestamise eest, kuid ei nõua seda ka teenuse osutajalt. See selgitab mõneti, miks omavalitsustes kogutavatest andmetest puudub terviklik ülevaade, neile on tegemata turvaanalüüs, nende kogumiseks õigust andev kooskõlastamise protsess on läbimata ning andmete kättesaadavusega teistest andmekogudest ei arvestata. Kodanike ja ettevõtjate, aga ka omavalitsuste ametnike endi jaoks tähendab see tihtipeale topelt andmete esitamise koormust.

Põhjus võib peituda ka IT-spetsialistide väheses arvus omavalitsustes. Üldiselt on väikestes omavalitsustes IT antud mõne teise valdkonna spetsialisti vastutusalasse ning keskmise suurusega KOVides koosneb IT-teenistus kuni paarist spetsialistist.

Peamiselt suudetakse pakkuda IT tehnilist tuge, aga spetsialiseerumist (sh infoturbele) on vähe. Turvameetmete süsteemi rakendamisel on infoturbejuhi või tema ülesannete täitja määramine ka omavalitsustes kohustuslik. Kuna alati ei ole selleks mõistlik tööle võtta eraldi inimest, saaksid Riigikontrolli arvates omavalitsused siinkohal teha rohkem koostööd erasektoriga või teiste omavalitsustega.

Probleemide põhjusi võis leida ka riigipoolsetes tegevustes. Näiteks tuvastas Riigikontroll, et andmekogude kooskõlastamise tegelikus praktikas ei kontrollita iga andmekogu andmekoosseisu, vaid kooskõlastus antakse nn karbitoote registreeringu käigus. Andmekaitse Inspektsiooni selgituste kohaselt oleks iga registreeringu ülevaatamine mõttetu ajakulu, sest üldiselt on tegemist sama tarkvaralise lahendusega, mida kasutavad mitmed asutused oma andmekogude pidamiseks.

Riigikontroll leidis, et nn karbitooteid puudutavas osas on riigi nõuded andmekogude pidamisel läbi mõtlemata, mistõttu tekitab nende rakendamine ebamõistlikku dubleerimist nii omavalitsuste kui ka järelevalveasutuste jaoks. Riigikontroll näeb olukorra parandamises rolli ministeeriumidel, kes on omavalitsustele meelevaldselt andmekogude asutamise kohustuse pannud. Vastavad ministeeriumid võiks anda omavalitsustele andmekogude pidamisel tegevusjuhised (sh infoturbealased) kõikides nendes küsimustes, mis neile huvi pakuvad. Riigikontroll leiab, et tegelikult võiks ministeerium ise ka tarkvara selle ülesande täitmiseks arendada ning asuda vastutava töötleja rolli – nii saab riik võtta enda kanda andmetele turvavajaduse määramise, sellele vastavuse auditi tellimise jms.