Riigikontroll auditeeris viit delikaatseid andmeid sisaldavat üleriigilist andmekogu ja jõudis järeldusele, et kuigi seal olevatele andmetele on juurdepääs vaid selleks volitatud isikutel, on kahe andmekogu puhul nende isikute juurdepääsuõigused ebamõistlikult laiad. . Andmepäringute põhjendatust tuleks rangemalt kontrollida ja logisid analüüsida, et teha kindlaks, kes, millal ja mis põhjustel andmeid kasutas.
Riigikontroll auditeeris selliseid andmebaase nagu sotsiaalkindlustuse infosüsteem (SKAIS), sotsiaalteenuste ja -toetuste register (STAR), karistusregistri andmebaas (KARR), e-toimiku väärteomenetluse liides (VMP), automaatne biomeetria. Identifitseerimissüsteemi andmebaas (ABIS) on väljatöötamisel.
“Delikaatsete andmete kasutajal peaks olema juurdepääs andmetele, mis on otseselt seotud tema tööga ja mida tal on vajadus teada, kuid mitte rohkem,” ütles riigikontrolör Janar Holm. “Riigikontrolli hinnangul on kasutajate juurdepääs Sotsiaalkindlustusameti andmebaasides SKAIS1 ja STAR olevatele andmetele liiga ulatuslik ning see tekitab teatud andmete väärkasutuse riski.”
Sotsiaalteenuste ja -toetuste registris on kohaliku omavalitsuse üksuse ametnikul juurdepääs teiste omavalitsusüksuste elanikega seotud menetlustele ja nendes sisalduvatele andmetele. Riigikontroll juhib tähelepanu, et sotsiaalteenuste ja -toetuste register ei ole logide analüüsi ja päringute põhjendatuse kontrollimiseks vajalikke meetmeid rakendanud. Protseduuride arv, millele kasutajatel on juurdepääs, on suhteliselt suur, sest sotsiaalteenuste ja -toetuste register on olnud kasutusel alates 2010. aasta aprillist ning sellest ajast alates pole andmebaasist andmeid, näiteks arhiveeritud, eemaldatud. See lisab veelgi suuremat kaalu vajadusele kaitsta inimestega seotud suuri andmemahtusid.
Riigikontrolli hinnangul peaks sotsiaalteenuste ja -toetuste registri andmebaasi kasutajatel kohalikus omavalitsuses olema juurdepääs oma kohalikus omavalitsuses elavate inimeste andmetele. Kui aga on vaja juurdepääsu teiste kohalike omavalitsuste elanikega seotud protseduuridele, tuleks kindlaks määrata täiendava juurdepääsu kontrollimise kord.
Riigikontroll on seisukohal, et juurdepääsuõiguste auditeerimine tuleks edaspidi muuta delikaatsete andmete puhul kohustuslikuks, kuna see aitaks maandada andmeturbega seotud riske. Riiklike andmekogude kohustuslik infoturbe rakendamise audit viidi läbi viiest auditeeritud andmebaasist neljas. Nendes auditites ei kontrollitud juurdepääsuhaldusmooduli turvameetmeid, kuna kolmetasemelise baasturvasüsteemi ISKE auditi juhiste kohaselt ei olnud audiitorid seda kohustatud tegema.
Riigikontroll märgib, et andmekogude logiandmeid on vaja pidevalt analüüsida, et võimalikult varakult avastada andmete väärkasutus. Riigikontroll tuvastas auditi käigus, et kuigi logiandmeid – infot andmebaasis toimuvate sündmuste kohta – koguti ja säilitati, ei toimunud logiandmete süstemaatilist ega pidevat analüüsi. Asutuste või andmekogude tegevust reguleerivad dokumendid ei näinud ette logiandmete analüüsi ega jälgimise kohustust.
Auditeeritud andmebaasides ei teostatud regulaarset ega süstemaatilist seiret ega päringute põhjendatuse kontrolli. Ka andmekogude asutuste tegevust reguleerivates dokumentides ei olnud selline kontroll täpsemalt reguleeritud. Kontrollid viidi läbi ebaregulaarselt ja alles pärast avastatud intsidente, andmesubjektide päringuid/kaebusi või muid väliseid sündmusi.
Turvaintsidente saab varakult ja suuremate kahjudeta avastada vaid siis, kui andmebaaside kasutamist pidevalt jälgida ja logisid analüüsida. Ilma selleta on tundlike andmete lekkimise oht. Samuti tuleks hinnata logide volitamata muutmisega seotud riske ning logide terviklikkuse tagamiseks rakendada ajatembeldamise ja/või krüptokettide lahendusi.
Taust
Auditi eesmärk oli hinnata, kas juurdepääsu haldamine on korraldatud lähtuvalt kehtestatud nõuetest ja parimast praktikast, kas auditeeritavates andmekogudes on rakendatud meetmeid, mis tagavad volitatud isikute juurdepääsu andmekogule ja välistavad kõrvaliste isikute juurdepääsu ning kas auditeeritavates andmekogudes on rakendatud meetmed, mis tagavad juurdepääsu andmekogule volitatud isikute poolt rakendatud meetmed on funktsionaalsed. Ekspertvalimi tulemusena auditeeriti järgmisi andmebaase: sotsiaalkindlustuse infosüsteem (SKAIS), sotsiaalteenuste ja -toetuste register (STAR), karistusregistri andmebaas (KARR), e-toimiku väärteomenetluse liides (VMP). ), automaatse biomeetrilise identifitseerimissüsteemi andmebaas (ABIS) (st andmebaas on alles väljatöötamisel).
Peamine kriteerium, mille alusel need andmebaasid auditeerimiseks valiti, oli nende andmete tundlikkus – viiele andmekogule on kehtestatud ISKE konfidentsiaalsuse sektsiooni turvaklass S2 või S3. Turvaosa klass S2 tähistab konfidentsiaalset teavet: teabe kasutamine on lubatud ainult teatud kindlatele kasutajarühmadele, juurdepääs teabele on lubatud juurdepääsu taotlejal õigustatud huvi korral. S3 tähistab äärmiselt konfidentsiaalset teavet: teabe kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatud, kui juurdepääsu taotlejal on õigustatud huvi.
Juurdepääsu haldamine peab tagama, et kasutajatel oleks juurdepääs ainult neile andmetele ja IT-ressurssidele, mida nad oma tööülesannete täitmiseks vajavad ja ainult sellises ulatuses, milleks nad on volitatud.
Priit Simson
Riigikontrolli kommunikatsioonijuht