Häkkerid ründavad riike üha vihasemalt. Kas Eesti elutähtsad teenused on ikka turvatud? Küsime IT-ministrilt

Hiljuti on toimunud tõsiseid küberrünnakuid riikide kriitilise taristu pihta. Näiteks mais ründas Conti häkkerigrupp Iirimaa tervishoiusüsteemi, varastades ja avalikustades isiku- ja terviseandmeid ning takistades juurdepääsu tähtsatele töövahenditele ja dokumentidele.

Conti nõutud umbes 16,4 miljoni euro suurune lunaraha jäi neile maksmata, aga sellised juhtumid on kahtlemata nii ohtlikud kui ka kulukad.

Fortet hakkas huvitama, kui küberturvatud on elutähtsad teenused meie riigis. Küsimustele vastas ettevõtlus- ja infotehnoloogiaminister Andres Sutt.

Mis on elutähtis teenus?

Elutähtis teenus on teenus, millel on ülekaalukas mõju ühiskonna toimimisele ja mille katkemine ohustab vahetult inimeste elu või tervist või teiste teenuste toimimist. Need on hädavajalikud nii ettevõtetele, riigiasutustele kui ka inimestele.

Sellised teenused moodustavad kõigi meie harjumuspäraste teenuste vundamendi, ilma milleta ei saa ühiskond meile tuttaval kujul toimida. Nende alla kuuluvad elektrivarustus, vedelkütusega varustamine, mobiili- ja andmesideteenus, teede sõidetavuse tagamine, makseteenused, vältimatu arstiabi, kaugküte, veevarustus jm.

Kui kaua on Eesti valitsus elutähtsate teenuste küberturvalisusele mõelnud?

Alates digitaalsete süsteemide kasutuselevõtust 2000ndate alguses ehk ajast, mil elektroonilist identiteeti, X-teed, e-valimisi ja kõiki teisi süsteeme arendama hakati, on nende turvalisus olnud üks olulisemaid küsimusi, mida lahendada.

Samas tuleb arvestada, et küberruum on pidevas muutumises ja see tähendab ka uute ohtude esiletõusu või tehnoloogiate aegumist. Seetõttu vajab küberturvalisus järjepidevalt tähelepanu ja investeeringuid, et meie digiühiskond oleks küberruumis kaitstud.

Mis olid meie esimesed sellealased katsetused?

Algupärane lähenemine nägi ette, et süsteemide vastupidavus küberintsidentidele tagati nende turvalise arhitektuuri abil.

Hiljem, kui hädaolukorra seadust täiendati (pärast küberrünnakuid aastal 2007) ja määratleti elutähtsate teenuste mõiste, siis hakati ka neile rohkem tähelepanu pöörama.

Millal küberturvalisus elutähtsate teenuste valdkonnas tõesti väga tähtsaks muutus?

2007. aastal toimunud küberrünnakud Eesti riigiasutuste ja elutähtsate teenuste pakkujate vastu oli kindlasti esimene suurem hoop, mis tõstis küberturvalisuse olulisuse esikohale nii valitsuses kui ka laiemalt ettevõtete ja kodanike seas.

Kes sellega ministeeriumis tegeleb?

Käesoleval aastal lõime MKM-i riikliku küberturvalisuse osakonna, mille ülesandeks on üleriigilise küberturvalisuse tagamise juhtimine, korraldamine ja koordineerimine ning mis allub digiarengu asekantslerile.

Nende teemad on näiteks Eesti küberturvalisuse arengukava koostamine, poliitikate ja õigusaktide väljatöötamine eri teemadel – 5G turvalisus, EL-i joint cyber unit, küberturvalisuse seadus, infoturbe standardi rakendamine jm.

Lisaks rahvusvaheline koostöö ja Eesti esindamine erinevates formaatides – ainuüksi euroliidus on mitukümmend komisjoni ja töögruppi, kus küberturbe tagamise tulevikusuundi kokku lepitakse.

Seega tuleb osakonna töötajatel välja mõelda, kuidas küberturvalisust riigis ajakohaselt ja adekvaatselt korraldada ning arengut edasi viia. Kui küberohud muutuvad, siis tuleb ka küberturbe tagamine muutunud olukorraga vastavusse viia.

Osakonna ülesanded on laiemad kui elutähtsate teenuste kaitse, kuid viimased saavad kindlasti palju tähelepanu.

Arvestades, et küberturvalisuse tagamine on Eestis detsentraliseeritud, on oluline teha igapäevast tööd eri teenuseosutajatega nende küberturbe-taseme tõstmiseks ja hoidmiseks.

MKM on olnud riikliku küberturvalisuse juhtministeerium pikka aega ning nüüd on siis loodud vastav üksus.

Riigi Infosüsteemide Arenduskeskus muudeti 2011. aastal Riigi Infosüsteemi Ametiks ning sinnagi loodi spetsiaalne osakond, mis tegeleb kriitilise informatsiooni infrastruktuuri kaitsega.

Milliseks hindate elutähtsate teenuste valdkonnas küberturvalisuse seisu Eestis praegu? Mis on puudu, mis on hästi õnnestunud?

Küberturvalisuse tagamise eest vastutavad ettevõtted ja erinevad asutused ise, mistõttu selle tase varieerub.

Asutused rakendavad infoturbe nõudeid ja neid ka auditeeritakse, ent kuna küberohupilt on pidevalt muutumas ning rünnakud muutuvad järjest keerulisemaks, siis küberturvalisuse taseme hoidmine on järjepidev protsess ja väljakutse.

Positiivselt poolelt on täna Eestis väga tugev küberturvalisuse kompetents, kuid pahatihti on just IT ja küberturvalisus need, mille pealt otsitakse kokkuhoiukohti – kuigi küberrünnaku ärahoidmine ja ennetamine on alati kordades odavam kui selle tagajärgedega tegelemine.

Kui me räägime Eesti riigikaitsest, siis on meil selge eesmärk – kaitsekulutused peavad olema vähemalt kaks protsenti SKT-st. Küberturvalisuse osas puudub selgelt kokkulepitud eesmärk, aga digiühiskond vajab samasugust kaitset. Seetõttu on minu soov kokku leppida samalaadne eesmärk küberturvalisuse investeeringute sihttaseme määramiseks.

"Küberturvalisuse tagamise eest vastutavad ettevõtted ja erinevad asutused ise, mistõttu selle tase varieerub." Millist kontrolli riik selle üle rakendab?

ETOde IT-süsteemide riskianalüüsi ja toimepidevuse plaani olemasolu ja nende täitmise üle teeb järelevalvet RIA järelevalve osakond. Sisulise poole pealt abistab RIA KIIK-osakond.

Mis täpsemalt on Eesti ETOde kohustused küberturvalisuse eest hoolitsemisel?

Küberturvalisuse seadus kohustab elutähtsa teenuse osutajaid koostama IT-süsteemide riskianalüüsi ja toimepidevuse plaani.

See aga pole eesmärk omaette, vaid IT-riskide analüüsimine ja vähendamine on vajalik kogu (äri)tegevuse sujuva toimise tagamiseks ja elutähtsate teenuste toimimine on ühiskonnale mõistagi väga oluline.

Lisaks tasub oma kübeturvalisuse süsteemi loomisel võtta abiks juba välja töötatud raamistik ehk standard.

Just tänavu kevadel sai RIA valmis Eesti infoturbestandardi (E-ITS), mis on eestikeelne ja Eesti õigusruumile vastav infoturbe käsitlemise alus. See peaks infoturbega tegelemise jõukohasemaks muutma ka väiksematele organisatsioonidele. Soovi korral võib kasutada ka teisi tunnustatud standardeid, näiteks ISO raamistikke.

Kes on meie eeskujud teiste riikide hulgas?

Teiste riikide hulgas selliseid üldiseid eeskujusid ei ole. Erinevatel riikidel on erinevad tugevused. Eesti on ise oma kõrge digiarengu tõttu pidanud rakendama meetmeid, mille suhtes eeskujusid väga võtta ei ole – meie digiriigi tase on lihtsalt nii palju kõrgem.

Üldisel tasemel on viimase viie aasta jooksul ka euroliit välja andnud direktiive ja regulatsioone küberturbe ühtlase taseme saavutamiseks.

Mida eilses ümarlauas kuulda sai?

Tuletasime koos RIAga eilses ümarlauas ettevõtetele meelde põhitõed, kuidas oma organisatsiooni küberturvalisust tagada. RIA kriitilise informatsiooni infrastruktuuri (KIIK) osakond abistab elutähtsa teenuse osutajaid küberturbe parimate praktikate rakendamisel.

Pandeemia tulemusel oleme ühiskonnana varasemast veelgi kiiremas tempos oma elukorralduse digitaalsesse keskkonda ümber kolinud. Sama kehtib ka paraku kuritegevuse kohta.

Just küberrünnakud – eeskätt just lunavararünnakud riigiasutuste, taristu, tervishoiusüsteemide või ka puhtalt teenusepakkujate vastu, kellest sõltuvad näiteks Rootsi toidupoed –, näitavad muutunud ohupilti küberruumis.

Seetõttu kohtusin elutähtsate teenuste osutajatega, et arutada muutunud ohupilti ja kuulata, kuidas ja mida nad elutähtsate teenuste küberturvalisuse tagamiseks teevad.