Mis muutub küberis turvalisemaks?

1. märtsil kiitis valitsus heaks küberturvalisuse seaduse eelnõu, mille jõustumisel muutub meie küberruum veel turvalisemaks.

Mõiste “küber” tekitab IT-spetsialistide jaoks sama palju küsimusi kui valdkonnas õiguse defineerimine. Eesti 2014–2017.a küberjulgeoleku strateegia defineerib küberi eesliitena terminitele, mis on seotud omavahel suhtlevate infotöötlusvahenditega. Teisisõnu peaks seaduse jõustumisel muutuma turvalisemaks võrgu- ja infosüsteemide toimimine ning häirete vältimine või lahendamine. Lisaks võetakse seadusega õigusruumi üle Euroopa võrgu ja infoturbe direktiiv, kuid kuna oleme valdkonnas Euroopas pigem vedajad kui järgnejad, on eesmärk luua seadus, mis lisaks direktiivi ülevõtmisele vastaks Eesti spetsiifilistele vajadustele.

Eesti küberturvalisust ohustab eelkõige Eesti riigi, majanduse ja elanikkonna ulatuslik sõltuvus info- ja kommunikatsioonitehnoloogiast (IKT) ja e-teenustest. IKT kiire areng, globaliseerumine ja piiriülene mõõde, andmemahtude suurenemine ja andmesidevõrkudesse ühendatud eritüübiliste seadmete kasvav hulk omavad mõju nii igapäevaelu, majanduse kui ka riigi toimimisele. Tundub klišee? Ühest küljest toob IKT selline areng kaasa teenuste parema kättesaadavuse ja kasutusmugavuse, teisalt kaasneb tehnoloogia suureneva osatähtsusega ühiskonna, majanduse ja riigi sõltuvus juba harjumispärastest e-lahendustest ning kinnistub ootus tehnoloogia tõrgeteta toimimisele. Kui hommikuseks äratuseks saad voodis mobiiliäppi kasutades panna kohvivee keema ning külmal talvehommikul auto sooja, siis sõltuvad ka suured infrastruktuuri ettevõtted ja riik teenuste osutamisel võrgu- ja infosüsteemidest. Häirete korral võib parimal juhul olla teenus katkenud, halvimal juhul kaob päevadeks elekter, rongiliiklus on häiritud või kiirabi ei jõua abivajajani.

Küberturvalisuse seaduse eelnõu eesmärgiks on tugevdada ühiskonna jaoks määrava tähtsusega erasektori ja riigiasutuste töö toimimiseks kasutatavate võrgu- ja infosüsteemide kaitset.

Seadus jaguneb laias laastus kolmeks:

Esiteks peavad oma süsteemide turvalisuse eest hea seisma ühiskonna jaoks olulised teenused. Nendeks on näiteks elutähtsad teenused ehk teenused, millel on ülekaalukas mõju ühiskonna toimimisele ja mille katkemine ohustab inimeste elu või tervist (vältimatu arstiabi, elektriga varustamine, mobiilside, sularaharinglus). Samuti sõltume me suurtest infrastruktuuriettevõtetest (sadamad, rongiliiklus).

Teiseks seab e-riik hoolsuskohustuse. Riigiasutuste infosüsteemidele on turvanõuded kehtinud juba ligemale 10 aastat. Seaduse jõustumisel tekib aga kohustus rakendada küberturvalisuse tagamiseks meetmeid ka näiteks meiliserverites, failiserverites ja dokumendihaldussüsteemides.

Ilmselt on selle blogi lugejatest paljud kasutanud ka mõne digitaalse teenuse osutaja poolt pakutavat teenust. Näiteks poodelnud e-poes või majutanud oma reisipildid mõnes pilves. Seaduse jõustumisel peavad ka sellised suuremad teenusepakkujad järgima küberturvalisuse reegleid, et reisipildid ei läheks kaduma ning e-poest tellitud T-särk jõuaks just sinuni. Võrgu- ja infosüsteemide usaldusväärsus ja turvalisus peavad majanduse ja ühiskondlike vajaduste jätkusuutlikuks rahuldamiseks olema tagatud valdkondade üleselt ehk turvalisema küberkeskkonna eest vastutavad nii avalik- kui ka erasektor.

Seaduse kohaldamisalas olevad asutused ja ettevõtted peavad rakendama turvameetmeid küberintsidendi ennetamiseks ja lahendamiseks. Näiteks tuleb analüüsida riske, seirata oma süsteeme ohustavat tegevust, rünnete korral piirama süsteemi kasutamist ning teavitama Riigi Infosüsteemi Ametit, kui juhtunud on intsident, mis mõjutab oluliselt teenust või teisi teenusepakkujaid.

Teadlik küberkäitumine on osa kogu ühiskonna turvalisemast toimimisest. Ükski Riigi Teatajas avaldatud seadus küberkeskkonda turvalisemaks ei muuda, küll aga peaks tugevnema ühiskonna jaoks määrava tähtsusega võrgu- ja infosüsteemide kaitse.

Direktiivi ülevõtmisega peaks ühtlustuma ka küberturbealane koostöö liikmesriikide vahel. Eesti jaoks on küberturbe valdkonnas oluline, et vastastikku jagataks rohkem kogemusi, oskusi, tehnoloogiaid ja teavet riiklikus küberruumis toimuva kohta. Seadus on planeeritud jõustuma 10. mail 2018.

Laura Kask, MKMi riigi infosüsteemide õigusnõunik