Oma kursusel „Sissejuhatus infoturbesse“ pean ühe loengu ka
infoturvet reguleerivate õigusaktide teemal. Kuna konkreetne loeng on
ülevaatlik ja käsitletavaid õigusakte päris mitu, siis vaatleme ainult väga
põhilisi asju – mida reguleerib, kuidas reguleerib, keda puudutab ja keda mitte
ning seosed või vastuolud teiste õigusaktidega. Kuna ma ise olen eelkõige
praktik, siis analüüsime õigusakte justnimelt praktiku seisukohast. Juhul, kui
on vaja põhjalikumalt süveneda siis on minu soovitus alati olnud, et abi tuleks
otsida juriidilise haridusega isiku käest.
Küberturvalisuse seadus võeti vastu 14.05.2018 ning praeguse
plaani järgi peaks see alustama kehtimist 23.05.2018. RIA, kui selle õigusakti
põhiline eestvedaja, esitles seda, kui suurt töövõitu. Kahjuks on see õigusakt
üks suur pettumus. Olen kunagi detsembris riigikogusse läinud versiooni kohta
kasutanud väljendit: „paras rulli keerata ja sisse istuda“ ja… no ei ole
vahepeal oluliselt paremaks läinud… Aga võtame järjest.
Mida reguleerib
Paragrahv 1 lõige 1 ütleb: „Käesolev seadus sätestab ühiskonna
toimimise seisukohast oluliste ning riigi ja kohaliku omavalitsuse üksuse
võrgu- ja infosüsteemide pidamise nõuded, vastutuse ja järelevalve ning
küberintsidentide ennetamise ja lahendamise alused.“
Teisisõnu – reguleeritakse ainult võrguturvet ja infosüsteeme.
Seadusega kehtestatav termin „võrgu- ja infosüsteem“ (§2 lg 1) määratleb väga
täpselt ära millest jutt käib ja küberist on asi ikka väga kaugel. Antud juhul
on probleem selles, et juhul, kui keegi nüüd soovib hakata ka päriselt küberiga
tegelema, siis on tal teed kinni. Ainuke võimalus on selle sama seaduse
muutmine.
Kuidas reguleerib
Võrgu- ja infosüsteemide puhul on paika pandud põhimõtted ja
turvameetmete rakendamise nõue ning järelevalve nende nõuete täitmise üle.
Küberturvalisuse põhimõtted on: isiklikkuse
põhimõte; tervikliku kaitse põhimõte; kahjuliku mõju vähendamise põhimõte; ja
koostööpõhimõte.
Kommentaariks:
kõik need põhimõtted on väga head aga tõlgendamise ruumi on päris palju. Ma
ütleks isegi, et liiga palju. Tõlgendamise ruumi vähendavad natukene turvameetmete
rakendamise punktid, kuid vaatame lähemalt…
Turvameetmed tuleb rakendada intsidendi ennetamiseks,
lahendamiseks ja mõju leevendamiseks. Meetmete rakendamisel tuleb koostada
riskianalüüs, koostada turvaeeskirjad, rakendada turvameetmed ning kõik see ära
dokumenteerida (§7 lg2 pp1-2).
Kommentaariks:
riskianalüüsi nõue on hea ja vajalik, kuid sellises sõnastuses laseb see veega
alla ISKE ja selle rakendamise. Kusjuures on see põhimõtteline teema –
tüüpturve ei eelda riskianalüüsi ning riskianalüüsile põhinevale turbe
rakendamisele järgnevalt veel tüüpturvet rakendama hakata on täiesti mõttetu.
Huvitav on punkt, mis käsib üles seada seiresüsteemi ning
tulemusi edastama RIA-le (§7 lg2 p3).
Kommentaariks: Punktist
ei selgu küll täpselt, mida mõeldakse, kuid sõnastuse põhjal oletaksin, et
mõeldud on IDS-i (Intrusion Detection
System). Iseenesest ei ole seiresüsteemi ülesseadmine midagi keerulist,
küll aga hakkab see hilisemas ekspluatatsioonis nõudma üsna suurt ressurssi nii
tehnilises kui ka inimeste mõttes. Väiksemale ettevõttele või asutusele ei ole
selline asi üldsegi jõukohane. Omaette huvitav küsimus saab olema informatsiooni
edastamine RIA-le – kuidas see peaks välja nägema, kas tuleb see seiresüsteem
teha väljast juurdepääsetavaks ja anda RIA tüüpidele ligipääsuõigused, või tuleb
korra nädalas/päevas esitada mingi raport.
Paragrahv 7 punkt 4 käsib kasutusele võtta intsidendi mõju
ja leviku vähendamise abinõud – intsidendihalduse protseduurid.
Kommentaariks: Iseenesest
pole midagi üle mõistuse – kehvemal juhul tuleb lihtsalt juhe seinast välja
sikutada ja ongi kogu lugu. Samas, keerulisemal juhul eeldab see eriettevalmistusega
seltskonda (CSIRT) ning sellise võimekuse hankimine ei pruugi väiksemates
kohtades olla üldse mõttekas.
Seaduse paragrahv 8 ütleb, et turvaintsidendist tuleb
teavitada ning paneb üsna täpselt paika, millistel tingimusetel ning kuidas see
käib.
Kommentaariks: Nõue,
kui selline on positiivne, kuid koosmõjus teiste õigusaktidega (eelkõige GDPR
aga ka valdkondlikud regulatsioonid) tekib olukord, kus teavitada tuleb heal
juhul kolme, kehvemal juhul kuni viite osapoolt. Näiteks peab pank oma
infosüsteemi rikke puhul teavitama Finantsinspektsiooni, RIA-t ja AKI-t ning lisaks
välja saatma ka veel pressiteate.
Keda puudutab
Alustame sellest, keda ei puuduta. Regulatsioon ei kohaldu
digitaalteenuse osutajale, kellel on alla 50 töötaja ja kelle aastakäive on
alla 10 miljoni EUR-i. Sisuliselt välistab see enamiku Eesti internetiteenuse
pakkujatest, sealhulgas Eesti suurima domeenide registripidaja.
Minu lemmiknäide oleks siin „osta.ee“. Neil on ~300tuhat
registreeritud kasutajat ja ~200tuhat unikaalset külastust päevas ning kui mõni neist laseb seal keskkonnas kogemata
mõne pahavara lahti, siis on kõik hästi – antud regulatsioon osta.ee-d ei
puuduta.
Puudutab see õigusakt kindlasti kolme suuremat telkot, kõiki
elutähtsa teenuse osutajaid, kõiki riigiasutusi ja kohalikke omavalitsusi.
Kurioosumina tuleks märkida, et see õigusakt puudutab kõiki perearste (§28 lg1)
ning samuti ka suuremaid muuseume. Muuseumitega on see huvitav lugu, et vastavalt
§4 lg1 p1 on digitaalse teenuse osutaja see, kes pakub internetipõhist
kauplemiskohta ning paljudel muuseumitel on olemas oma veebipood. Näiteks https://pood.ekm.ee/
Järelevalve
Kõige rohkem furoori on kahtlemata tekitanud RIA-le antud
õigus infosüsteemil juhe seinast välja tõmmata. Kuna konkreetsete punktide sõnastus
on pehmelt öeldes sant, siis on ka täiesti arusaadav, miks selline õiguste
andmine poleemikat tekitab.
Samas on tähelepanuta jäänud, et RIA on saanud õigused küsitlemiseks
ja dokumentide nõudmiseks; Kutsumiseks ja sundtoomiseks; Isikusamasuse
tuvastamiseks; Vallasasja läbivaatuseks ja selle hoiule võtmiseks; ning Valdusesse
sisenemiseks ja selle läbivaatuseks.
Õnneks (või kahjuks) pole sanktsioonid just väga suured –
turvameetmete rakendamata jätmise eest saab eraisikut karistada kuni 200
trahviühikuga ning juriidilist isikut kuni 20tuhande euroga.
Seosed teiste õigusaktidega
Küberturvalisuse seadus tekitab teatava vaakumi (või siis
ülekatte) eelkõige just riigiasutustes ja KOV-des, kuna need peavad rakendama
nii AvTS-ist tulenevaid nõudeid – ISKE, kui ka käesolevast seadusest tulenevaid
nõudeid – tegema riskianalüüsi. Nagu eelnevalt sai mainitud, muudab see ISKE
mõttetuks või siis tekitab tohutu ülekulu.
Teine asi, mis isiklikult minu jaoks tekitas suure hämmingu,
oli seaduse koostajate väide, et seos Isikuandmete kaitse üldmäärusega puudub.
Tuletame meelde varasemas loengus käsitletud infoturbe definitsiooni: Infoturve
on riskihalduslik tegevus teabe turvalisuse säilitamiseks vastavalt
organisatsiooni tegevuse eesmärkidele, sealhulgas ka andmekaitse realiseerimise
vahendina. [https://akit.cyber.ee/term/513-infoturve
]
Siia juurde peaks lisama, et EU-s tulid nad välja ühise
paketina ning kui neid nüüd omavahel võrrelda, siis on seal väga palju ühiseid tegevusi:
riskianalüüs, turvameetmete rakendamine, turvameetmete rakendatuse kontroll,
intsidendist teavitamine jne.
Kui me nüüd vaatame Küberturvalisuse seaduse aluseks olevat
EU võrguturbe direktiivi, siis seal on mitmes kohas vähendatud halduskoormust
sellega, et kui turvameetmed või teavitamine on sätestatud mõne teise
õigusaktiga, siis mingeid täiendavaid tegevusi enam teha pole vaja.
Viited
Siia juurde lihtsalt informatiivsetel eesmärkidel üks pildike
standardist EVS-ISO/IEC 27032:2018 – Infotehnoloogia Turbe meetodid Küberturbe
juhised
Küberturvalisuse seadus eelnõude infosüsteemis https://eelnoud.valitsus.ee/main/mount/docList/e7ff643b-8b72-4a70-8f3e-dab03f9ca79f
Küberturvalisuse seadus riigikogus https://www.riigikogu.ee/tegevus/eelnoud/eelnou/61815f7a-1025-4aea-9b0e-d9cf97337e59/K%C3%BCberturvalisuse%20seadus
Jutt isikuandmete kaitse üldmääruse kohta http://www.aki.ee/et/andmekaitse-reform/isikuandmete-kaitse-uldmaarus
RIA poolne reklaamjutt seaduse kohta https://www.ria.ee/ee/kuberturvalisuse-seadus.html
No comments:
Post a Comment