Toomas Türk: 20 miljoni euro küsimus – kuidas tagada andmete turvalisus?

Toomas Türk
Copy
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Toomas Türk.
Toomas Türk. Foto: Erakogu

Mida peaksid infotöötlusele spetsialiseerunud organisatsioonid andmelekete vältimiseks tegema, kirjutab tehnoloogiaettevõtte Oracle Eesti müügidirektor Toomas Türk.

Maikuus leidis küberturvalisus Eestis keskmiselt rohkem kajastust. Esiteks WannaCry viirus, mis halvas Briti tervishoiusüsteemi, kuid jättis Eesti võrdlemisi puutumata.

Samas vaid nädal hiljem avastati infotehnoloogia arendusüritusel «Garage48» raames, et ühes Eesti riigiasutuses olevad delikaatsed isikuandmed on kõigile nähtavad. Aga see on vaid probleemi pealiskiht.

Viimaste aastate jooksul on aset leidnud hirmuärataval hulgal andmelekkeid: iga päev varastatakse maailmas rohkem kui neli miljonit andmekildu. Näiteks avastati 2016. aastal, et 93 miljoni mehhiklase riiklikult hoitud isikuandmed olid avalikult kättesaadavad.

Kui Veiko Berendsen nõudis oma Postimehes ilmunud arvamusloos riigi kiiremat tegutsemist õigusruumi ümberkorraldamisel, siis tegelikult on riik selles suunas juba liikunud. Viimase kahe kuu jooksul on saadetud kooskõlastamiseks nii isikuandmete kaitse kontseptsioon kui ka küberturvalisuse seadus, mis põhinevad muutustel Euroopa Liidu (EL) õiguses.

Üks muutustest on ELi andmekaitse üldmäärus. See on andmekaitse raamistikus lähiaja kõige drastilisem muutus. Esiteks tulenevalt selles sisalduvatest uutest nõuetest. Teisalt aga määruse mõjuala tõttu, mis hõlmab kõiki organisatsioone maailmas, kes töötlevad ELi kodanike andmeid. Kõigele lisaks võib seaduste mittetäitmisel kaasneda trahv kuni 20 eurot miljonit või kuni neli protsenti käibest.

Mida peaksid organisatsioonid tegema, et vältida 20 euro miljonilist trahvi? Ja mis tähtsam – mida peaksid riigiasutused tegema, et tagada kodanike ning kogu riigisüsteemi andmete turvalisus?

Kuus strateegilist sammu

Kuigi määrus sisaldab mitmeid detailseid muudatusi, on meeldiv tõdeda, et EL on suuresti kasutanud reguleerimistehnikat, mis toetub põhimõtete seadmisele. See tähendab, et on välditud konkreetsete lahenduste ettekirjutamist ning rõhku on pandud andmekaitse eesmärkide ja põhimõtete määratlemisele.

See annab organisatsioonidele vabad käed otsustamaks, missugused lahendused on nende olukorras kõige optimaalsemad.

Esitan järgnevalt peamised strateegilised sammud, mis aitaksid riigiasutustel andmekaitse põhimõtteid järgida.

Esiteks: andmekaitseametniku määramine. Tegemist ei ole pelgalt soovitusliku sammuga. Avaliku sektori asutustele ning erafirmadele, kelle põhitegevus on andmete töötlemine, on andmekaitseametniku määramine kohustuslik. Kuigi paljudel Eesti riigiasutustel on juba selle valdkonna eest vastutav ametikoht, siis üldmäärusega muutuvad nendele esitatud ootused märgatavalt kõrgemaks.

Teiseks: organisatsiooni andmebaasi kaardistamine. Vajalik on tuvastada ja kategoriseerida organisatsioonis töödeldavad andmed. Oluliseks osaks on siin tundlikke andmete tuvastamine, mis võimaldab prioritiseerida andmekaitsestrateegiat lähtuvalt nii andmetöötluse vajadustest kui ka ressursside olemasolust.

Kolmandaks: andmebaasi turvalisuse testimine ja hindamine. See annab aimu olemasoleva arhitektuuri nõrkustest ja tugevustest.

Neljandaks: riskide maandamise kava ning tegevuste eelarvestamine. Muuhulgas tuleb analüüsida andmebaaside ligipääsuõigusi (sh füüsiline juurdepääs). Maandamiskava planeerimisel ja eelarvestamisel tuleb leida tasakaal hallatava info kasutamise ning kaitsmise vahel – kogutud info jagamine võib olla kasulik, kuid samas suurendab riske.

Viiendaks: arendusprojektid. Andmebaaside kaitse tugevdamiseks on mõistagi vaja sisse viia täiendavaid kaitsemeetmeid. Konkreetseteks lahendusteks on näiteks pseudonümiseerimine, andmete anonüümsus ja krüpteerimine.

Kuuendaks: pidev monitooring. WannaCry näitas selgelt, kui oluline on kaasaegsete tehnoloogiate kasutamine. Seetõttu on turvalise andmebaasi omaduseks pidev monitooring ja vastavalt tagasisidele täienduste sisseviimine.

Need kuus sammu on väga laiahaardelised ning muutustega on vaja alustada juba täna. Veritas Technologies uuring leidis, et enamik organisatsioonidest pole teinud veel ühtegi sammu uue määrusega vastavuse saavutamiseks.

Samas tunnistas koguni 86 protsenti vastanutest, et seadusega kooskõla saavutamine on hädavajalik. Globaalsed tehnoloogiafirmad on just sellest lähtuvalt teinud suuri investeeringuid pakkumaks nii riigi- kui erasektorile andmebaaside- ja kaitse täisteenust. Näiteks avas Oracle maikuus ELi regiooni pilvekeskuse Saksamaal, mis lähtub just ELi andmekaitse üldmäärusest.

Eesti kui e-riigi kuvand on juba ammu palju reaalsem kui lihtne mainekujundus. Seda peab toetama ka regulatiivne raamistik ja kasvava andmetöötluse keerises tähelepanuta jäänud läbimõeldud lahendused andmete turvalisuse tagamisel.

Kommentaarid
Copy
Tagasi üles