20 miljoni euro küsimus: kuidas tagada andmete turvalisus?

Teaduspargi Tehnopol endine IKT valdkonna juht Toomas Türk jagab uue Oracle Eesti Tech Sales esindajana ettevõtetele praktilisi nõuandeid seoses EL andmekaitse üldmäärusega.

Maikuus leidis küberturvalisus Eestis keskmiselt rohkem kajastust. Esiteks WannaCry viirus, mis halvas Briti tervishoiusüsteemi, kuid jättis Eesti võrdlemisi puutumata. Samas vaid nädal hiljem avastati Garage48 raames, et ühes Eesti riigiasutuses olevad delikaatsed isikuandmed on kõigile nähtavad. Aga see on vaid probleemi pealiskiht. Viimaste aastate jooksul on aset leidnud hirmuärataval hulgal andmelekkeid: iga päev varastatakse maailmas rohkem kui 4 miljonit andmekildu. Näiteks avastati 2016. aastal, et 93 miljoni mehhiklase riiklikult hoitud isikuandmed olid avalikult kättesaadavad.

Kui Veiko Berendsen nõudis oma Postimehes ilmunud arvamusloos riigi kiiremat tegutsemist õigusruumi ümberkorraldamisel, siis tegelikult on riik selles suunas juba liikunud. Viimase kahe kuu jooksul on saadetud kooskõlastamiseks nii isikuandmete kaitse kontseptsioon kui ka küberturvalisuse seadus, mis põhinevad muutustel ELi õiguses.

Üks muutustest on Euroopa Liidu andmekaitse üldmäärus. See on andmekaitse raamistikus lähiaja kõige drastilisem muutus. Esiteks tulenevalt selles sisalduvatest uutest nõuetest. Teisalt aga määruse mõjuala tõttu, mis hõlmab kõiki organisatsioone maailmas, kes töötlevad ELi kodanike andmeid. Kõigele lisaks võib seaduste mittetäitmisel kaasneda trahv kuni €20 miljonit või kuni 4% käibest.

Mida peaks organisatsioonid tegema, et vältida €20 miljonilist trahvi? Ja mis tähtsam – mida peaksid riigiasutused tegema, et tagada kodanike ning kogu riigisüsteemi andmete turvalisus?

Kuigi määrus sisaldab mitmeid detailseid muudatusi, on meeldiv tõdeda, et EL on suuresti kasutanud reguleerimistehnikat, mis toetub põhimõtete seadmisele. See tähendab, et on välditud konkreetsete lahenduste ettekirjutamist ning rõhku on pandud andmekaitse eesmärkide ja põhimõtete määratlemisele. See annab organisatsioonidele vabad käed otsustamaks, missugused lahendused on nende olukorras kõige optimaalsemad. Esitan järgnevalt peamised strateegilised sammud, mis aitaksid riigiasutustel andmekaitse põhimõtteid järgida.

Esiteks: andmekaitseametniku määramine. Tegemist ei ole pelgalt soovitusliku sammuga. Avaliku sektori asutustele ning erafirmadele, kelle põhitegevus on andmete töötlemine, on andmekaitseametniku määramine kohustuslik. See aitab tagada küberturbele vajaliku tähelepanu ja iseseisvuse.

Teiseks: organisatsiooni andmebaasi kaardistamine. Vajalik on tuvastada ja kategoriseerida organisatsioonis töödeldavad andmed. Oluliseks osaks on siin tundlikke andmete tuvastamine, mis võimaldab prioritiseerida andmekaitse strateegiat lähtuvalt nii andmetöötluse vajadustest kui ka ressursside olemasolust.

Kolmandaks: andmebaasi turvalisuse testimine ja hindamine. See annab aimu olemasoleva arhitektuuri nõrkustest ja tugevustest.

Neljandaks: riskide maandamise kava ning tegevuste eelarvestamine. Muuhulgas tuleb analüüsida andmebaaside ligipääsuõigusi (sh. füüsiline juurdepääs). Maandamiskava planeerimisel ja eelarvestamisel tuleb leida jällegi tasakaal hallatava info kasutamise ning kaitsmise vahel – kogutud info jagamine võib olla kasulik, kuid samas suurendab riske.

Viiendaks: arendusprojektid. Andmebaaside kaitse tugevdamiseks on mõistagi vaja sisse viia täiendavaid kaitsemeetmeid. Konkreetseteks lahendusteks on näiteks pseudonümiseerimine, andmete anonüümsus ja krüpteerimine.

Kuuendaks: pidev monitooring. WannaCry näitas selgelt, kui oluline on kaasaegsete tehnoloogiate kasutamine. Seetõttu on turvalise andmebaasi omaduseks pidev monitooring ja vastavalt tagasisidele täienduste sisseviimine.

Need kuus sammu on väga laiahaardelised ning muutustega on vaja alustada juba täna. Veritas Technologies uuring leidis,  et enamik organisatsioonidest pole teinud veel ühtegi sammu uue määrusega vastavuse saavutamiseks. Samas tunnistas koguni 86% vastanutest, et seadusega kooskõla saavutamine on hädavajalik. Globaalsed tehnoloogiafirmad on just sellest lähtuvalt teinud suuri investeeringuid pakkumaks nii riigi- kui erasektorile andmebaaside- ja kaitse täisteenust. Näiteks avas Oracle maikuus ELi regiooni pilvekeskuse Saksamaal, mis lähtub just ELi andmekaitse üldmäärusest.

Eesti kui e-riigi kuvand on juba ammu palju reaalsem kui lihtne mainekujundus. Seda peab toetama ka regulatiivne raamistik ja kasvava andmetöötluse keerises tähelepanuta jäänud läbimõeldud lahendused andmete turvalisuse tagamisel.

Meie partnerid

Ole kursis põnevate innovatsiooniuudistega