07.03.2019 Neljapäev

Küberturvalisuse seadust peaksid jälgima kõik

Maarja Lehemets, jurist
Maarja Lehemets, jurist Advokaadibüroo Triniti Estonia

Digitaalne ohutus on meie igapäevaelus aina olulisem teema, mis puudutab ka kõiki, kes soovivad interneti teel soetada kaupu või tarbida teenuseid.

Digiühiskonna arenguga on paratamatu küberturvalisuse temaatika tõusetumine. Kui isikutuvastamine, pangamaksed ja suhtlus toimuvad veebi kaudu, on vajalik kindlus, et ekraani taga on õige inimene ning nuppu „kinnitan” vajutab maksevahendi õige omanik. Küberruumi turvalisuse tagamisele kaasaaitamiseks on Euroopa Parlament ja nõukogu 6. juulil 2016 vastu võtnud direktiivi (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (edaspidi – direktiiv). Direktiiv on Eesti seadusandlusesse üle võetud 23. mail 2018 jõustunud küberturvalisuse seadusega.

Küberjulgeolek hoiab ära suure kahju

Küberturvalisuse regulatsiooni eesmärk on tagada võrgu- ja infosüsteemide turvalisuse ühtlane tase kogu Euroopa Liidus, sest nii majandus kui andmevahetus üldisemalt on tugevalt mõjutatud infosüsteemide toimimisest ja turvalisusest.

Riigi Infosüsteemi Ameti raportis „Küberturvalisus 2018” on toodud 2017. aastal toimunud küberturbejuhtumite statistika:

  • 10 923 juhtumit registreeriti,
  • 3162 juhul tuvastati otsene mõju teabe- või süsteemi konfidentsiaalsusele, terviklikkusele või kättesaadavusele,
  • 122 korral olid mõjutatud riigi ja ühiskonna toimimise seisukohalt olulised teenused.

On selge, et teenuse mittekättesaadavus, aga ka andmete leke ja teised küberohud võivad kaasa tuua suuri kahjusid ning nende ärahoidmiseks ja ühiskonna toimimiseks on vajalik võtta kasutusele turvalisust tagavaid meetmeid.

Küberturvalisuse seadus sätestab selleks võrgu- ja infosüsteemide pidamise nõuded, vastutuse ja järelevalve ning küberintsidentide ennetamise ja lahendamise alused. Küll aga ei ole kohustatud isikuteks kõik ettevõtjad ega füüsilised isikud, vaid teenuse osutajad, kes pakuvad riigi ja ühiskonna toimimise mõttes olulisi teenuseid ja digitaalse teenuse osutajad küberturvalisuse seaduse mõttes.

Oluliste teenuste osutajad

Oluliste teenuste osutajate nimistu on toodud küberturvalisuse seaduse §-is 3. Näiteks kuuluvad oluliste teenuste osutajate alla järgnevad teenuse osutajad:

  • raudtee-ettevõtja, kes majandab avalikku raudteeinfrastruktuuri või kelle kaubaveo või reisijateveo turuosa on vähemalt 20 protsenti;
  • lennuvälja käitaja, kelle käitatav lennuväli on avatud rahvusvaheliseks regulaarseks lennuliikluseks;
  • sadamateenuse osutaja, kellele kuulub sadam, mis teenindab rahvusvahelises meresõidus sõitvaid reisilaevu või 500-se ja rohkema kogumahutavusega laevu, ning sadam, mis teenindab meresõiduohutuse seaduse kohaselt määratletud kohalikus rannasõidus sõitvaid I kategooria laevu või A-klassi reisilaevu sadama toimimise teenuse osutamisel;
  • sideettevõtja, kes osutab kaabelleviteenust, mida tarbib vähemalt 10 000  lõppkasutajat, ja ringhäälinguvõrgu teenuse osutaja kaabelleviteenuse või ringhäälinguvõrgu teenuse osutamisel;
  • haiglavõrku kuuluvate piirkondliku haigla ja keskhaigla pidaja statsionaarse eriarstiabi osutamisel ja kiirabibrigaadi pidaja kiirabi osutamisel ning perearst üldarstiabi osutamisel;
  • perearstikeskused; perearste puudutavad sätted jõustuvad 1. jaanuaril 2022;
  • Eesti maatunnusega seotud tipptaseme domeeninimede registri haldaja registri pidamiseks kasutatava süsteemi ja tipptaseme nimeserveri teenuse osutamisel ning riigi ja kohaliku omavalitsuse üksused.

Digitaalse teenuse osutaja on infoühiskonna teenuse seaduses sätestatud infoühiskonna teenuse osutaja, kes pakub internetipõhist kauplemiskohta või internetipõhist otsimootorit või pilveandmetöötlusteenust. Küberturvalisuse seaduse seletuskiri selgitab veel nii palju:

„Internetipõhised kauplemiskohad on näiteks www.on24.ee, www.osta.ee või www.iizi.ee keskkonnad (ei ole näiteks www.hinnavaatlus.ee keskkond), internetipõhised otsimootorid on näiteks www.neti.ee ja www.google.ee ning pilvandmetöötlusteenused on näiteks Dropbox või Microsoft Azure.”

Oluline välistus digitaalse teenuse osutaja puhul on see, et küberturvalisuse seadust ei kohaldata digitaalse teenuse osutajale, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ja kelle aasta bilansimaht või aastakäive ei ületa kümmet miljonit eurot.

Kõigile on oluline küberohte vältida

Küberturvalisuse seadusega kohustatud isikute ring on piiratud, mis ei tähenda, et järgnevaid nõudeid ja meetmeid ei peaks järgima kohustatute ringist välja jäävad ettevõtjad. Küberohtude vältimine on oluline kõikidele teenuse osutajatele, kes kasutavad oma teenuse osutamisel infosüsteeme, ning kõigile füüsilistele isikutele. Ei soovi ju keegi teha ülekannet valele kontole ja rahast ilma jääda ega veebipoe või kassasüsteemide riket, mis müügi täielikult peatab. Niisiis tasub küberturvalisuse tagamise nõudeid järgida kõigil.

Teenuse osutaja kohustused on seotud kahe põhilise ülesandega:

  • võtta kasutusele süsteemi turvameetmed ja
  • teavitada Riigi Infosüsteemi Ametit viivitamata (hiljemalt 24 tunni jooksul) olulise mõjuga küberintsidendist.

Olulise mõjuga intsidendiga on tegemist, kui on täidetud vähemalt üks küberturvalisuse seaduse §-i 8 lõike 2 tingimustest; sisuliselt on olulise mõjuga need intsidendid, mille ebasoodsal mõjul on selline intensiivsus, mis olemuslikult ei ole tavaolukorras lubatav.

Digitaalse teenuse osutaja kohustused on laias laastus samad, mis mõned direktiivist ja direktiivi rakendusmäärusest tulenevad erisused.

Ennetada, lahendada ja leevendada

Süsteemi turvameetmete rakendamise eesmärk on ennetada, lahendada ja leevendada küberintsidentide võimalikku mõju. Selleks on digitaalse teenuse osutaja ja teenuse osutaja mõlemad kohustatud tegema oma süsteemidele riskianalüüsi (erinevad ainult riskianalüüsi nõuded). Teenuse osutaja nõuded riskianalüüsile on kehtestatud ettevõtlus- ja infotehnoloogiaministri 13. juuli 2018 määrusega nr 40 „Võrgu- ja infosüsteemide riskianalüüsi nõuded ning turvameetmete kirjeldus”.

Selle määruse §-i 3  kohaselt peab teenuse osutaja esitama süsteemide riskianalüüsis vähemalt järgmised andmed:

  • metoodika lühikirjeldus ning viited riskianalüüsiga seotud lisadokumentidele;
  • loetelu teenuse osutamiseks vajalikest kriitilistest tegevustest koos nende toimimiseks vajalike süsteemidega;
  • loetelu süsteemidega seotud ressurssidest, ohtudest  ja nõrkustest;
  • hinnang ohtude realiseerumise tõenäosusele, arvestades tuvastatud nõrkusi ja rakendatud meetmeid;
  • hinnang võimaliku küberintsidendi tagajärgedele ning tagajärgede raskusaste, arvestades tagajärgede raskusastme määramise kriteeriumitena küberintsidendist mõjutatud isikute ligikaudset arvu, teenuse katkemise kestust, küberintsidendist mõjutatud piirkonna ulatust, võimalikku kahju liiki ja määra ning süsteemi turvalisuse või teenuse toimepidevuse taastamise keerukust;
  • loetelu riskidest koos iga riski kriitilisuse määraga ja
  • riske maandavate abinõude kirjeldus.

Nõuded teenuse osutajale

Teenuse osutaja  turvameetmed peavad hõlmama vähemalt järgnevat:

  • protseduurid, ressursid, tegevused ning küberintsidendi lahendamise korraldus;
  • personali tööülesanded ja vastutus;
  • süsteemide juurdepääsuõiguste haldamine, süsteemi kasutajate identifitseerimine ja autoriseerimine;
  • teenuse osutamiseks vajalikest andmetest regulaarsete varukoopiate tegemine ja protseduurid andmete varukoopiatest taastamiseks;
  • süsteeme käitava ja süsteemides käideldava tarkvara ajakohasus;
  • süsteemides läbiviidavate toimingute logid toimingu teostaja, toimingu liigi ja toimingu tegemise ajaga;
  • tarkvaralised ja riistvaralised lahendused süsteemide turvalisust ohustava tegevuse ja tarkvara tuvastamiseks ning tõrjumiseks;
  • protseduurid süsteemide turvalisuse või teenuse toimepidevuse taastamiseks.

Seega nõuab küberturvalisuse seadus organisatsiooniliste ja tehniliste meetmete kasutuselevõttu.

Organisatsiooniliste meetmete alla kuuluvad asutusesisesed protsesside kirjeldused (näiteks Riigi Infosüsteemi Ameti teavitamise juhis), juhised intsidentide ennetamiseks, tuvastamiseks ja nende mõju vähendamiseks ning küberturbepoliitika. Samuti peavad nii teenuse osutaja kui ka digitaalse teenuse osutaja tagama süsteemide pideva seire ja ajakohastama turvameetmeid.

Teenuse osutaja puhul on kohustuslik kontrollida dokumentide/juhiste vajaduspõhist uuendamist. Auditi või enesehindamise tulemuse dokumentatsiooni tuleb säilitada 3 aastat.

Tehniliste meetmete osas rõhutatakse küberturvalisuse seaduses süsteemide seiret, mis tähendab nii organisatoorsete meetmete järgimist ja kontrollimist kui ka kasutusel oleva infosüsteemi seiret. Täpsemalt kohustab seadus teenuse osutajat tagama süsteemi turvalisust ohustava tegevuse või tarkvara tuvastamiseks süsteemi seire ja edastama teavet süsteemi turvalisust ohustava tegevuse või tarkvara kohta Riigi Infosüsteemi Ametile.

Kohustuslik kõigile ettevõtjaile

Ka digitaalse teenuse osutaja on kohustatud läbi viima oma süsteemide riskianalüüsi ja võtma kasutusele turvameetmed, kuid digitaalse teenuse osutaja peab nende tegevuste juures lähtuma direktiivi rakendusmäärusest , mis sätestab täpsemad vajalike meetmete nõuded. Tegu on Komisjoni rakendusmäärusega (EL) 2018/151, 30. jaanuarist 2018, millega nähakse ette  direktiivi kohaldamise eeskirjad,  et täpsustada elemendid, mida digitaalse teenuse osutajad peavad  võrgu- ja infosüsteemide turvalisust ohustavate  riskide haldamiseks arvesse  võtma.

Näiteks kohustab rakendusmäärus tagama juurdepääsu kontrolli, kehtestama juhised personalile, vajadusel võimekuse krüpteerimiseks.

Tegelikkuses on oma infosüsteemide turvalisuse tagamine oluline kõigile ettevõtjatele. Küberturvalisuse seadus kohustab tõesti vaid seaduses loetletud teenuse osutajaid ja digitaalse teenuse osutajaid, kuid kõik infosüsteeme kasutavad teenuse pakkujad peaks üle vaatama juhised personalile ja oma süsteemide turvalisuse tagamiseks kasutusel olevad lahendused.

Toetajad

Suno 365 logo 10 Uku tarkvara

Liituge meiega sotsiaalvõrgustikes