Riigikontroll: kaks suurt riiklikku andmebaasi on ebaturvalised

 (21)
Riigikontroll tutvustas Estonian Airi auditit
Riigikontrolör Alar KarisFoto: Rauno Volmar

Riigikontroll toob oma värskes märgukirjas välja, et e-tervise ja sotsiaaltoetuste infosüsteemide kasutamisel rikutakse süstemaatiliselt turvareegleid. Kriitikat saavad nii ministeeriumid kui kohalikud omavalitsused.

Riigikontroll viis eelmisel aastal läbi auditi „Isikuandmete kaitse riiklikes andmekogudes“. Kontrolliti kahe suure riikliku andmebaasi - sotsiaalteenuste ja -toetuste andmeregisteri STAR ja tervise infosüsteemi turvalisust ja isikuandmete kaitsmist.

Esiteks ilmneb auditist, et mõlema infosüsteemi puhul puudub sotsiaalministeeriumil isegi õigus teha järelvalvet, kas KOV-ides ja teistes asutustes, mis infosüsteeme kasutavad, turvareegleid järgitakse.

Infosüsteemide turvameetmete süsteemi ISKE rakendamine on kohustuslik kõigi riigi ja kohaliku omavalitsuse andmekogude pidamisel. Kahes infosüsteemis on ISKE-t auditeeritud ühe korra 2015. aastal. KOV-ides pole ISKE kasutamist aga kordagi auditeeritud, kusjuures sellega oleks pidanud tegelema majandus- ja kommunikatsiooniministeerium (MKM), mitte KOV-id ise.

Riigiasutustel peaks olema ka kaasajastatud infoturvalisuse juhendid. Audit aga näitas, et neljast kontrollitud asutusest kolmes ei ole juhendeid piisava regulaarsusega uuendatud - sotsiaalministeeriumis uuendati seda 5 aastat tagasi, Tallinna linnavalitsuse juhend on kinnitatud aga 6 aastat tagasi.

Viimsi vallas on asi eriti hull - turvajuhend oli auditi tegemise ajaks olnud muutmata kujul kasutusel umbes 10 aastat ja seal puudusid isegi viited sellistele teemadele nagu ID-kaart, mobiil-ID ja andmete krüpteerimine.

Terviseandmetele pääseb lubamatult kergelt ligi

E-tervise süsteemile on kehtestatud kõrgeim turvaklass. See tähendab, et sinna ei tohi siseneda ainult ühte liiki autentimist, näiteks parooli kasutades. Eestis on soovitatav kasutada ID-kaarti või mobiil-ID-d, kus autentimine on kahefaktoriline (kaart + PIN-kood).

Hoolimata sellest näitas audit, et tervise infosüsteemi andmetele said perearstid ligi ka ainult kasutajanime ja parooli kasutades. Riigikontroll märgib, et see tekitab võimalusi volitamata juurepääsuks andmetele ning ka nende pahatahtlikuks muutmiseks või kustutamiseks.

Puuduvad andmete taastamisplaanid

Auditi käigus selgus ka, et tervise infosüsteemi taastamist oli küll testitud, kuid seda ei olnud dokumenteeritud. STAR-i puhul ei saanud riigikontroll aga tõendeid, et taasteplaane oleks üldse testitud, kuigi süsteemi majutav ettevõte oli plaanid teinud.

Probleeme ei ole seejuures lahendatud 2015. aasta keskpaigast saadik, mil turvalisusauditid tõid välja samad puudused. Näiteks soovitati tervise infosüsteemi auditiaruandes regulaarselt testida varukoopiate taastamist.

Isikuandmete töötlemise kohta on raske infot saada

Isikuandmete töötlemisel peab infosüsteemi omanik tagama inimesele kogu info tema andmete töötlemise kohta, sh andmete töötlemise eesmärgid ning töötlejate isikud, samuti nende inimeste nimed, kellele on andmeid edasi saadetud. Nii STAR kui e-tervise süsteem koguvad seda infot logidesse.

STAR-i puhul peab aga iga juhtumi puhul hakkama eraldi infot logidest välja otsima, sest selleks pole loodud süsteemset lahendust. Asutustel tuleb teha käsitsitööd ja info kättesaamine pole seetõttu ei mugav ega kiire. Tervise infosüsteemis on küll patsiendiportaali kaudu võimalik näha, kes ja millal on isikuandmeid töödelnud, kui pole võimalik teada saada töötlemise põhjust.

Riigikontroll märgib küll, et STAR-i probleem peaks lähiajal lahenduse saama, sest see on kaasatud RIA andmejälgija pilootprojekti.

Andmete väärkasutamise võimalust ei analüüsita

Isikuandmete kaitse tagamiseks tuleb kontrollida, kas neid kasutatakse eranditult vaid lubatud eesmärkidel. Selleks tuleb logisid analüüsida. E-tervise süstemis on küll logide analüüsilahendus sisse ehitatud, aga seda pole regulaarselt kasutatud. STAR-i puhuil peaks revisjone tegema pisteliselt vähemalt korra kuus, kui riigikontroll ei saanud tõendeid, et seda oleks tehtud.

Ka see probleem on lahenduseta 2015. aastast alates, kui näiteks STARis korraldatud auditi aruandes oli üheks läbivaks soovituseks juurutada logiserver ja regulaarselt logifaile analüüsida.

Ministeeriumid veeretavad vastutust kõrvale, KOV-id tunnistavad vigu

Loe veel

Ettevõtlus- ja infotehnoloogiaminister Urve Palo vastas riigikontrollile, et esimesed turvaauditid peaks KOV-ides läbi viidama alles järgmise aasta lõpuks. MKM kavatseb seda teha koostöös Riigi Infosüsteemid Ametiga (RIA). Üldiselt aga ei peakski MKMi meelest nemad KOV-ide auditeid tellima, vaid see ülesanne tuleks üle anda RIA-le, kellel olevat vastav kompetents - vastavad läbirääkimised juba käivad.

Sotsiaalministeerium leidis, et kontrolli autentimise üle ei pea tegema mitte nemad, vaid andmekaitse inspektsioon (AKI). Ministeerium süüdistab aga AKI-t turvaintsidentide menetlemisel venitamisega, mis teatud juhtudel võimaldab võimalikul rikkujal jätkata ebaturvaliste tegevustega.

Ministeerium kinnitas aga, et valitsemisala infosüsteemide tsentraalse logimise ja nende analüüsimise teenus on plaanis käivitada, kuid praegu polevat selleks veel raha. "Oleme selle teenuse käivitamiseks taotlenud riigieelarvest raha ning teenuse käivitamise aeg on seotud riigieelarve võimalustega," seisab vastuses.

Kui tervise infosüsteemi eest vastutas enne E-tervise Sihtasutus, siis aasta algusest teeb seda Tervise ja Heaolu Infosüsteemide Keskus ehk TEHIK. Kogu sotsiaalministeeriumi valitsemisala uue infoturbepoliitika väljatöötamine ongi TEHIKule ülesandeks teinud.

Tallinna linnavalitsus vastas riigikontrollile, et infoturvalisuse poliitika uuendamine käib ja soovitusi on arvesse võetud. Ka Viimsi vald tunnistas eksimusi ja lubas hakata ametnikke koolitama.