Andmekaitse inspektsioon: avalikus sektoris kasutatavad pilveteenused on riigi turvalisusrisk

 (26)
Raamatupidaja
RaamatupidajaFoto: Hendrik Osula

Riigiteenistujad hoiustavad delikaatseid andmeid kulutõhusates, ent ebaturvalistes virtuaalsetes andmekogudes. Andmekaitse inspektsioon soovib seda muuta.

Odavate, lihtsakoeliste ja laialt levinud internetipõhiste andmearhiivide (näiteks Google Apps'i ja Dropbox'i) kasutamine riigiteenistujate poolt on Andmekaitse Inspektsiooni silmis oluliseks probleemiks riigiteenistujate valduses oleva tundliku info konfidentsiaalse käsitlemise võtmes. Sedalaadi pilveteenuste kasutamises nähakse ohtu delikaatse teabe turvalisusele ning murekohaks peetakse ka andmekogude kättesaadavust oletatavates kriisisituatsioonides.

Vastuolu seadustega

Andmekaitse inspektsiooni (AKI) koostatud dokument rõhub avalikus sektoris laialt kasutatavate virtuaalsete andmekogude küsitavale turvalisusele: täpsemalt selle vähesusele.

Kirjas, mis sai saadetud ministeeriumide kantsleritele, IT-asekantslerile, linna- ja vallasekretäridele ning Eesti Linnade ja Valdade Liidule, toonitatakse Eesti riigi poolt avaliku sektori andmetöötlejatele asetatud hoolsuskohustust tagada asutusesiseseks kasutamiseks mõeldud teabe igakülgne kaitse - alused selleks tulevat nii avaliku teabe kui ka küberturvalisuse seadusest.

"Pilve" salvestatud teave võib minna vastuollu konfidentsiaalsusnõuete täitmisega, kuna pilveteenust pakkuvad ettevõtted peavad klientide andmete kaitsmise nimel vaatama failide sisse. "Andmekaitseliselt pole vahet, kas seda teeb inimene või tehnoloogia," seisab AKI dokumendis.

Lisaks mängib antud küsimuses olulist rolli 2018. aastal Ameerika Ühendriikides vastu võetud õigusakt "Cloud Act", mille kohaselt on USA õiguskaitseasutusel võimalus juurdepääsuks ühendriikide põhiste teenusepakkujate kliendiandmetele, sõltumata sellest, kas andmeid töödeldakse ühendriikides või väljaspool - teave, mis on jäädvustatud USA pinnal toimetavate ettevõtete virtuaalsesse arhiivi, on riigile vajadusel kättesaadavad. Delikaatseid andmeid sisaldavad Eesti Vabariigi asjaajamist puudutavad dokumendid ei tohiks aga sellisesse olukorda sattuda.

IT-asekantsler Siim Sikkut kommenteeris: "Andmekaitse inspektsioon teavitas meid pilveteenuste kasutamise murekohtadest." Et ta kohtub AKIga alles tuleval teisipäeval, mõeldakse siis edasiste lahenduste üle.

Mis saab kriisiolukorras?

2007. aasta kevadel Eesti riigi vastu suunatud küberründe näitel toonitatakse dokumendis teabevahetuse efektiivsuse aspekti.

"Peame suutma korraldada teabevahetuse ka olukordades, kus välisühendused halvatakse kas pahatahtliku ründe tõttu või on sunnitud riik ennetava meetmena ise ühendused katkestama," märgitakse kirjas. "Selleks peab aga olema tagatud õigeaegne juurdepääs teabele, teave peab tulema autentsest allikast ning ei tohi olla volitamata muudetud ega ligipääsetav. Kui teabele juurdepääs ja selle edastamine sõltub ainult välisest teenusepakkujast sh välisühendustest, ei pruugi õnnestuda neid kohustusi täita."