Kuidas uute küberturvanõuete rägastikust eluga läbi murda? 

Mullu jõustus Eesti uus infoturbestandard E-ITS, mis asendas senist etalonturbekataloogi ISKE, oktoobrikuuks peab Eesti üle võtma Euroopa Liidu uue võrgu- ja infosüsteemide turvalisuse direktiivi NIS2 ning järgmise aasta 17. jaanuaril finantssektori digitaalse tegevuskerksuse uute nõuete määruse DORA. Infoturbejuht Janar Randväli annab nõu, kuidas selles uute nõuete ja regulatsioonide rägastikus tervet mõistust säilitada.

E-ITS laiendas märkimisväärselt  täitmiskohustusega ettevõtetete ja asutuste ringi – selle kohustuslasteks on elutähtsate teenuste osutajad, vähemalt 10 000 lõpptarbijaga sideettevõtjad, tervishoiuteenuse osutajad (sh perearstid), andmekogude töötlejad, riigiasutused ja kohalikud omavalitsused ning e-poed, interneti otsimootorid ja pilvekeskkonnad. Täpsemalt on see ring määratletud kübeturvalisuse seaduses

NIS2 nõudeid peavad järgima avalik sektor, pangad ja finantsasutused, telekommunikatsiooniettevõtted, digitaalsete teenuste osutajad (näiteks pilve- ja usaldusteenuste pakkujad, andmekeskuste pidajad jt) ning elutähtsate teenuste osutajad (nt ravimi-, meditsiiniseadmete- ja keemiatööstus, toidutööstus, posti- ja kulleriteenuste pakkujad, jäätmekäitlusfirmad jt). Euroliidu uutest küberturvalisuse nõuetest oleme varem kirjutanud siin.

DORA ehk Euroopa Liidu Digital Operational Resilience Act puudutab omakorda pankasid, kindlustusandjad ning investeerimisettevõtteid, kes peavad kehtestama info- ja kommunikatsioonitehnoloogiaga (IKT) seotud riskide juhtimisraamistiku. Selle eesmärgiks on ennetada küberrünnetest tulenevaid teenusekatkestusi, finantskaotusi ja andmelekkeid.

Mängu tuleb ISO27001:2022 infoturbe standard

Kõigi nende regulatsioonide nõuetest ma siinkohal rääkima ei hakka, sest siis küüniks käesolev kirjatükk mahult A.H. Tammsaare kogutud teosteni 14 köites, millele tuleks täppisteaduste hea tava kohaselt igaks juhuks lisada ka tundmatu suurusega liige “+n”. Et aga tekstimahu piirväärtus ei läheneks lõpmatult lõpmatusele, toon sellesse matemaatilisse rägastikku veel ühe muutuja, milleks on infoturbe juhtimise rahvusvaheline standard ISO27001:2022. Asi on nimelt selles, et kui see on ettevõttes rakendatud või on selle nõudeid kavas hakata järgima, on ühe hoobiga kaetud ka suur osa E-ITSi, NIS2 ja DORA nõuetest või tuleb n-ö linnukese kirjasaamiseks teha vaid kosmeetilisi muutusi.

ISO-standard on mõistlik aluseks võtta ka siis, kui ettevõttel on plaanis laieneda välisturgudele, sest nii mõneski riigis nõutakse ekspordipartnerilt tihti selle sertifikaadi olemasolu. Nende nõudeid täites on vajadusel palju lihtsam taotleda vastavust CIS, SOC 2 jt USA-s levinud standarditega.

ISO27001 on paindlikum teistest regulatsioonidest

ISO27001:2022 eeliseks on märksa suurem paindlikkus võrreldes E-ITSi, NIS2 ja DORAga. See tähendab, et saab ise valida metoodika ühe või teise nõude täitmiseks ning audiitorile piisab vaid oma valiku põhjendamisest. Samas on see ka miinuseks, kuna tuleb ise leida asjakohased kontrollkriteeriumid, et kogu standardi kehtivusala oleks kaetud. Selles osas on teisalt väga põhjalik just E-ITS, kus on 1783 kontrolli Eesti-keskse standardi täitmiseks on väga täpselt kirja pandud. Riigi Infosüsteemi Ameti selgituse kohaselt on E-ITS kooskõlas ISO27001-ga tüüpvarade etalonturbe ja riskihalduse osas, kuid nõuab eraldi tegelemist unikaalsete lahenduste või tavapärasest suurema kaitsevajadusega süsteemide riskide osas.

Kui ettevõttel pole vajadust ISO-sertifikaadi järele, ent täita tuleb mitut uut küberturbe regulatsiooni või koguni kõiki kolme, tasub valida neist täitmiseks kõige karmimate nõuetega dokument, sest siis on suurem osa ka ülejäänud nõuetest rohkem või vähem täidetud. Näiteks riskihalduse nõue on nii ISO-s, E-ITSis, NIS2-s kui ka DORAs, aga igaüks neist dokumentide lisab sellele oma nüansid. Kui ISO annab rakendusmeetmete osas suhteliselt vabad käed, mis võimaldab valida kõige kulutõhusama lahenduse oma turvataseme tõstmiseks, siis teistes regulatsioonides võivad olla täpsed juhised konkreetsete riskide maandamiseks. Igal juhul tasub valikuvõimaluse juhinduda tervest talupojatarkusest ja mitte asuda kohe kosmoseraketti ehitama, kui lähiaastatel pole plaanis sõita Mäo ristist kaugemale.

Kasuta standardi struktuuri oma dokumentatsiooni loomisel ja tehnilisi lahendusi

Kokkuvõtlikult pole mõtet ise leiutada jalgratast, vaid mõistlikum on võtta IKT kasutuskorra ja muu dokumentatsiooni loomisel alusel mõne olemasoleva küberturbestandardi raamistik. Oma paberitesse tasub sisse panna vaid need nõuded, mida konkreetne ettevõte on kohustatud täitma või mis toetavad igapäevase äri turvataset. Paljusid regulatsiooni nõudeid aitavad mugavalt täita ka tehnilised lahendused, olgu selleks andmekeskuse tõrkekindluse tõstmine, varundussüsteem varukoopiate tegemiseks ja andmetaasteks küberrünnete korral või kasutajaõiguste halduslahendused (PAM) kontrollkriteeriumide läbimiseks.

Tahad täpsemalt teada, millised tehnoloogiad aitavad uusi küberturbenõudeid täita? Loe neist siit või võta minuga ühendust lisainfo saamiseks:

Janar Randväli
Infoturbejuht
janar@datafox.ee