Tänase seisuga on Eesti etalonturve (vahel nimetatakse ka tüüpturve või baasturve) umbes 20 aastat vana. Esimene Infosüsteemide Kolmeastmelise Etalonturbe (ISKE) käskkiri anti välja 16 aastat tagasi. Turvameetmete auditeerimine tehti kohustuslikuks 12 aastat tagasi... aga tänaseni veel kuuleme, kuidas ISKE on paha ja ka sellest, kuidas elementaarsetest asjadest mööda vaatamise tõttu jälle mõni suurem või väiksem turvaintsident juhtub. Aga... Vaatame siis, mis on taolise etalonturbe valud ja võlud...
Etalonturve (baasturve) pole midagi uut ega haruldast. Eesti enda süsteem on koopia sakslaste BSI-st. Sarnased süsteemid on olemas pea kõikides arenenud infoturbega riikides, näitena: Katakri Soomes; NIST 800-53 Ühendriikides; InformationSecurity Manual (ISM) Austraalias.
Põhjus, miks etalonturbe teed minnakse on ilmne – ta on hästi lihtne. Pole vaja tegeleda riskianalüüsidega, samuti pole vaja hakata ise välja mõtlema turvatasemele sobivaid turvameetmeid – nimekiri on ees, vaatad üle, rakendad ära ja valmis. Samuti on hästi lihtne selle auditeerimine – vaatad nimekirja üle, kontrollid, kas kõik vajalikud meetmed on rakendatud ning ongi korras. Tulemus – omavahel ühendatud süsteemidel on sarnastel alustel turvatase ning selle kohta on olemas kolmanda osapoole kinnitus.
Miks siis ikkagi asju tehtud ei saa või miks rahul ei olda või mida muuta, et asi parem oleks? Üldiselt võib selle kokku võtta kolme sõnaga – teadlikkus, teadlikkus, teadlikkus.
Üldine teadlikkus – etalonturbe meetmete kataloogid on väga mahukad ja kui turvateadlikkuse baas on nõrk, siis ollakse koheselt segaduses. ISKE tüüpiline rakendamine nägi välja nii, et asutuse juht avastas, et ta peab rakendama ISKE-t, vaatas sellele korra otsa, sattus masendusse, printis kõik 3500 lehekülge välja, tõstis selle paki IT-kuli lauale ja ütles: „rakendatagu”. IT-kuli lappas seda pakki, avastas et kõvasti üle poole on selline, mis üldse ei seostu IT-ga ja muutus õnnetuks.
Sarnane muster joonistub kahetsusväärselt sageli välja ka ISKE rakendamise teenuse sisseostmisel. Hangitakse sertide ja teadmistega tüüpe ning öeldakse neile: „rakendatagu”. See, et tegelikult on tegemist organisatsiooni arendamisega, jääb tellijatele mõistmatuks.
Teadlikkus konkreetsete meetmete osas. Meetmete hulgaga seondub servast ka nende ajakohasus ning kirjelduse kvaliteet. Nimelt on meetmete loendi aluseks, nagu varasemalt juba märgitud, sakslaste BSI. Sakslastel endil on uuendamise tsükkel 18 kuud. Kui raha maksta ei taheta, siis tasuta on võimalik kasutada eelmist versiooni. Teisisõnu – lisandub veel 18 kuud. Siseriiklikult lisandub aeg tõlkimisele ja kehtestamise bürokraatiale – veel aasta. Tulemus on see, et turvameetmete loendis on vähemalt neli aastat vanad asjad ning puuduvad hetkel aktuaalsed turvameetmed.
Tõlkija ja toimetaja teadlikkus, ehk teisisõnu – meetmete kirjelduse sisu. Hetkel on kirjelduste sisu väga ebaühtlane. Kohati on see väga detailne aga ei sobi väga Eesti konteksti, kohati on mitu lehekülge väga udust teksti, millest võib välja lugeda mida iganes.
Siia juurde tuleks muidugi nimetada ka veel neljas probleem – Saksa Infoturbeamet tahab oma baasturbemeetmetele teha täieliku restardi. Hetkel pole veel väga kindel, mis toimuma hakkab, kuid selge on see, et midagi muutub. Ühe märgina muudatustest on see, et nad on vana BSI suures osas integreerinud oma IS Security Manuali sisse.
Hüva, siin me nüüd oleme aga kuidas edasi? Kui mitte hakata laiemalt lahkama infoturvet käsitlevat õigusruumi, siis põhimõtteliselt on kolm teed:
-
Oodata, kuni sakslased
oma mõtete ja tegudega on kuhugi jõudnud ja siis koos nendega
edasi minna;
-
Hakata ise ISKE-t
püsti hoidma;
-
Valida mingi teine
standard uueks põhjaks ja sellega edasi minna.
Isiklikult minu arvates võiks edasi minna mingi teise standardiga. Aluseks võib võtta ühe kolmest loo alguses nimetatust, kusjuures hetkel oleks arvatavasti kõige lihtsam, kui valida soomlaste KATAKRI ning selle kasutamise eest panustada selle arendamisse. Lisaks tuleks meil ümber kirjutada hetkel kehtivad ISKE rakendusjuhend ja auditi juhend. Kogu töö võiks olla enam-vähem aastaga tehtud.
Sedasi saaks rahuldatud küberturvalisuse seaduse riskianalüüsi nõue ning ühtlasi ka oleks olemas elementaarne meetmete loend, mida on lihtne rakendada ja auditeerida. Pikemas perspektiivis oleks kasulik siia juurde tekitada ka mingi tööriist, kuid see on juba järgmise jutu teema.
Disclaimer: käesoleva loo autor ei kavatse kandideerida RIA osakonnajuhataja ametikohale. Lugu on kirjutatud ISKE rakendaja ja audiitori seisukohalt, puhtalt isikliku arvamuse avaldamiseks ning loodetavasti üldiseks hüvanguks.
