18 May 2018

Küberturvalisuse seadus


Oma kursusel „Sissejuhatus infoturbesse“ pean ühe loengu ka infoturvet reguleerivate õigusaktide teemal. Kuna konkreetne loeng on ülevaatlik ja käsitletavaid õigusakte päris mitu, siis vaatleme ainult väga põhilisi asju – mida reguleerib, kuidas reguleerib, keda puudutab ja keda mitte ning seosed või vastuolud teiste õigusaktidega. Kuna ma ise olen eelkõige praktik, siis analüüsime õigusakte justnimelt praktiku seisukohast. Juhul, kui on vaja põhjalikumalt süveneda siis on minu soovitus alati olnud, et abi tuleks otsida juriidilise haridusega isiku käest.

Küberturvalisuse seadus võeti vastu 14.05.2018 ning praeguse plaani järgi peaks see alustama kehtimist 23.05.2018. RIA, kui selle õigusakti põhiline eestvedaja, esitles seda, kui suurt töövõitu. Kahjuks on see õigusakt üks suur pettumus. Olen kunagi detsembris riigikogusse läinud versiooni kohta kasutanud väljendit: „paras rulli keerata ja sisse istuda“ ja… no ei ole vahepeal oluliselt paremaks läinud… Aga võtame järjest.

Mida reguleerib

Paragrahv 1 lõige 1 ütleb: „Käesolev seadus sätestab ühiskonna toimimise seisukohast oluliste ning riigi ja kohaliku omavalitsuse üksuse võrgu- ja infosüsteemide pidamise nõuded, vastutuse ja järelevalve ning küberintsidentide ennetamise ja lahendamise alused.“

Teisisõnu – reguleeritakse ainult võrguturvet ja infosüsteeme. Seadusega kehtestatav termin „võrgu- ja infosüsteem“ (§2 lg 1) määratleb väga täpselt ära millest jutt käib ja küberist on asi ikka väga kaugel. Antud juhul on probleem selles, et juhul, kui keegi nüüd soovib hakata ka päriselt küberiga tegelema, siis on tal teed kinni. Ainuke võimalus on selle sama seaduse muutmine.

Kuidas reguleerib

Võrgu- ja infosüsteemide puhul on paika pandud põhimõtted ja turvameetmete rakendamise nõue ning järelevalve nende nõuete täitmise üle.

Küberturvalisuse põhimõtted on: isiklikkuse põhimõte; tervikliku kaitse põhimõte; kahjuliku mõju vähendamise põhimõte; ja koostööpõhimõte.
Kommentaariks: kõik need põhimõtted on väga head aga tõlgendamise ruumi on päris palju. Ma ütleks isegi, et liiga palju. Tõlgendamise ruumi vähendavad natukene turvameetmete rakendamise punktid, kuid vaatame lähemalt…

Turvameetmed tuleb rakendada intsidendi ennetamiseks, lahendamiseks ja mõju leevendamiseks. Meetmete rakendamisel tuleb koostada riskianalüüs, koostada turvaeeskirjad, rakendada turvameetmed ning kõik see ära dokumenteerida (§7 lg2 pp1-2).
Kommentaariks: riskianalüüsi nõue on hea ja vajalik, kuid sellises sõnastuses laseb see veega alla ISKE ja selle rakendamise. Kusjuures on see põhimõtteline teema – tüüpturve ei eelda riskianalüüsi ning riskianalüüsile põhinevale turbe rakendamisele järgnevalt veel tüüpturvet rakendama hakata on täiesti mõttetu.

Huvitav on punkt, mis käsib üles seada seiresüsteemi ning tulemusi edastama RIA-le (§7 lg2 p3).
Kommentaariks: Punktist ei selgu küll täpselt, mida mõeldakse, kuid sõnastuse põhjal oletaksin, et mõeldud on IDS-i (Intrusion Detection System). Iseenesest ei ole seiresüsteemi ülesseadmine midagi keerulist, küll aga hakkab see hilisemas ekspluatatsioonis nõudma üsna suurt ressurssi nii tehnilises kui ka inimeste mõttes. Väiksemale ettevõttele või asutusele ei ole selline asi üldsegi jõukohane. Omaette huvitav küsimus saab olema informatsiooni edastamine RIA-le – kuidas see peaks välja nägema, kas tuleb see seiresüsteem teha väljast juurdepääsetavaks ja anda RIA tüüpidele ligipääsuõigused, või tuleb korra nädalas/päevas esitada mingi raport.

Paragrahv 7 punkt 4 käsib kasutusele võtta intsidendi mõju ja leviku vähendamise abinõud – intsidendihalduse protseduurid.
Kommentaariks: Iseenesest pole midagi üle mõistuse – kehvemal juhul tuleb lihtsalt juhe seinast välja sikutada ja ongi kogu lugu. Samas, keerulisemal juhul eeldab see eriettevalmistusega seltskonda (CSIRT) ning sellise võimekuse hankimine ei pruugi väiksemates kohtades olla üldse mõttekas.

Seaduse paragrahv 8 ütleb, et turvaintsidendist tuleb teavitada ning paneb üsna täpselt paika, millistel tingimusetel ning kuidas see käib.
Kommentaariks: Nõue, kui selline on positiivne, kuid koosmõjus teiste õigusaktidega (eelkõige GDPR aga ka valdkondlikud regulatsioonid) tekib olukord, kus teavitada tuleb heal juhul kolme, kehvemal juhul kuni viite osapoolt. Näiteks peab pank oma infosüsteemi rikke puhul teavitama Finantsinspektsiooni, RIA-t ja AKI-t ning lisaks välja saatma ka veel pressiteate.

Keda puudutab

Alustame sellest, keda ei puuduta. Regulatsioon ei kohaldu digitaalteenuse osutajale, kellel on alla 50 töötaja ja kelle aastakäive on alla 10 miljoni EUR-i. Sisuliselt välistab see enamiku Eesti internetiteenuse pakkujatest, sealhulgas Eesti suurima domeenide registripidaja.

Minu lemmiknäide oleks siin „osta.ee“. Neil on ~300tuhat registreeritud kasutajat ja ~200tuhat unikaalset külastust päevas ning kui mõni neist laseb seal keskkonnas kogemata mõne pahavara lahti, siis on kõik hästi – antud regulatsioon osta.ee-d ei puuduta.

Puudutab see õigusakt kindlasti kolme suuremat telkot, kõiki elutähtsa teenuse osutajaid, kõiki riigiasutusi ja kohalikke omavalitsusi. Kurioosumina tuleks märkida, et see õigusakt puudutab kõiki perearste (§28 lg1) ning samuti ka suuremaid muuseume. Muuseumitega on see huvitav lugu, et vastavalt §4 lg1 p1 on digitaalse teenuse osutaja see, kes pakub internetipõhist kauplemiskohta ning paljudel muuseumitel on olemas oma veebipood. Näiteks https://pood.ekm.ee/

Järelevalve

Kõige rohkem furoori on kahtlemata tekitanud RIA-le antud õigus infosüsteemil juhe seinast välja tõmmata. Kuna konkreetsete punktide sõnastus on pehmelt öeldes sant, siis on ka täiesti arusaadav, miks selline õiguste andmine poleemikat tekitab.

Samas on tähelepanuta jäänud, et RIA on saanud õigused küsitlemiseks ja dokumentide nõudmiseks; Kutsumiseks ja sundtoomiseks; Isikusamasuse tuvastamiseks; Vallasasja läbivaatuseks ja selle hoiule võtmiseks; ning Valdusesse sisenemiseks ja selle läbivaatuseks.

Õnneks (või kahjuks) pole sanktsioonid just väga suured – turvameetmete rakendamata jätmise eest saab eraisikut karistada kuni 200 trahviühikuga ning juriidilist isikut kuni 20tuhande euroga.

Seosed teiste õigusaktidega

Küberturvalisuse seadus tekitab teatava vaakumi (või siis ülekatte) eelkõige just riigiasutustes ja KOV-des, kuna need peavad rakendama nii AvTS-ist tulenevaid nõudeid – ISKE, kui ka käesolevast seadusest tulenevaid nõudeid – tegema riskianalüüsi. Nagu eelnevalt sai mainitud, muudab see ISKE mõttetuks või siis tekitab tohutu ülekulu.

Teine asi, mis isiklikult minu jaoks tekitas suure hämmingu, oli seaduse koostajate väide, et seos Isikuandmete kaitse üldmäärusega puudub. Tuletame meelde varasemas loengus käsitletud infoturbe definitsiooni: Infoturve on riskihalduslik tegevus teabe turvalisuse säilitamiseks vastavalt organisatsiooni tegevuse eesmärkidele, sealhulgas ka andmekaitse realiseerimise vahendina. [https://akit.cyber.ee/term/513-infoturve ]

Siia juurde peaks lisama, et EU-s tulid nad välja ühise paketina ning kui neid nüüd omavahel võrrelda, siis on seal väga palju ühiseid tegevusi: riskianalüüs, turvameetmete rakendamine, turvameetmete rakendatuse kontroll, intsidendist teavitamine jne.

Kui me nüüd vaatame Küberturvalisuse seaduse aluseks olevat EU võrguturbe direktiivi, siis seal on mitmes kohas vähendatud halduskoormust sellega, et kui turvameetmed või teavitamine on sätestatud mõne teise õigusaktiga, siis mingeid täiendavaid tegevusi enam teha pole vaja.

Viited

Siia juurde lihtsalt informatiivsetel eesmärkidel üks pildike standardist EVS-ISO/IEC 27032:2018 – Infotehnoloogia Turbe meetodid Küberturbe juhised

Jutt isikuandmete kaitse üldmääruse kohta http://www.aki.ee/et/andmekaitse-reform/isikuandmete-kaitse-uldmaarus
RIA poolne reklaamjutt seaduse kohta https://www.ria.ee/ee/kuberturvalisuse-seadus.html

No comments:

Post a Comment