EMTA andmebaasis e-maksuamet oli auk, mis lubas ettevõtjail ligi pääseda kohtu ja prokuratuuri andmetele, mida nad poleks tohtinud näha. Pärast seda, kui Äripäev pöördus kolmapäeva õhtul maksuameti poole, turvaauk likvideeriti.
Äripäeva katse tulemusel polnud infole juurdepääsu saamiseks tarvis midagi häkkida, vaid kasutada süsteemi poolt igale ettevõtte esindajast kasutajale kättesaadavaid vaateid. Nimelt sai iga ettevõtja e-maksuameti kaudu vaadata kõikide isikute prokuratuuri ja kohtute riigilõivu nõudeid ja makseid ning alla laadida nende aluseks olevaid dokumente. Nende hulgas prokuratuuri või kohtu määrusi ja otsuseid, millele on seatud piirang asutusesiseseks kasutamiseks.
Tõsi, andmetele ligipääs logiti, mistõttu on tuvastatav, kes on andmeid vaadanud. Kuid tõsi on seegi, et maksuamet ise viga ei avastanud, vaid sulges selle alles pärast seda, kui Äripäev pöördus kolmapäeva õhtul maksuameti poole.
„Alates 1. juulist on võimalik e-maksuameti/e-tolli kaudu tutvuda endaga seotud kohtu või prokuratuuri poolt määratud nõuetega. 2. juulil ilmnes infosüsteemis viga, mis võimaldas süsteemi sisenenud üksikutel isikutel näha teatud sammude läbimisel endaga mitte seotud nõudeid, mis olid määratud ajavahemikus 1.-2. juuli,“ selgitas infosüsteeme arendava rahandusministeeriumi infotehnoloogiakeskuse infoturbejuht Klaid Mägi.
Tema sõnul vea põhjus tuvastati ja viga kõrvaldati 2. juulil, vahetult sellest teavitamise järel. „Infosüsteemi logidest tuvastati, et sellised päringuid tehti üksikuid ja nende päringute teostajad on välja selgitatud,“ lisas ta, kuid jättis kogukahju täpsustamata. Mägi avaldas palve, et e-maksuameti/e-tolliga seotud leidudest teavitataks edaspidigi koheselt MTAd.
Maksuametis on veel turvaauke. MTÜ Eesti Interneti Kogukond juhatuse esimehe Elver Loho hinnangul on maksuametis veel turvaauke. „Sellist asja ei ole olemas nagu lõpuni turvaline tarkvara. Piisava pühendumusega pätt suudab sisse murda nii maksuameti andmebaasidesse kui ka Kumusse,“ ütles Loho. Tema sõnul on just seepärast kaasaegsed turvalahendused orienteeritud sissetungikatse avastamisele (turvakaamerad füüsilises maailmas, sõltumatu logimine ja jooksev analüüs virtuaalmaailmas) ning kuriteo mõjude vähendamisele (iga väärtuslik maal eraldi seifis, andmed eraldi andmebaasides ja erineva juurdepääsukontrolliga).
„Kuna arvutiturbe ekspertide kogukond Eestis on üsna pisike ja omavahel käiakse palju läbi, siis viimaste aastate trend on olnud avastatud turvaaukude otse RIAsse raporteerimine, ilma et avalikkus üldse teada saaks. Auk parandatakse ära ja seltskonna sees omavahel arutatakse, aga sinna see jääbki. Ajakirjandusse kipuvad jõudma vähetähtsate turvaaukude kirjeldused - enamasti leitud inimeste poolt, kes on väljaspool seda seltskonda. Ei mäletagi hästi viimast korda, millal mõni väga tõsine turvaauk meediasse jõudis. Mis aga ei tähenda, et neid poleks vahepeal leitud,“ selgitas Loho.
Tema hinnangul seisneb probleemi üks pool selles, et riik tahab väikse rahaga palju saada ning ei oska alati turvalist lahendust nõuda - ideaalmaailmas järgneks iga olulise süsteemi hankele ka põhjalik turvaaudit. "Probleemi teine pool on asjaolu, et mitte keegi ei vastuta. Kui inimene hooletusest põhjustab avarii, siis seaduse järgi ta vastutab. Kui ametnik ei nõua riigihankes turvalist süsteemi ja programmeerija on hooletu, põhjustades olulise andmelekke, kehitatakse õlgu ja elatakse rahulikult edasi," lisas Loho.
Määrav on inimfaktor. Arvutieksperdi Tõnu Samueli sõnul loovad süsteeme inimesed ja inimesed on alati ekslikud. „Seetõttu apsakad vahel ikka sisse tulevad. Apsakate suurim vältimine toimub läbi süsteemse lähenemise,“ selgitas Samuel. „Esiteks peab turva olema nii üles ehitatud, et oleks mingid lihtsad printsiibid, millest mööda lihtsalt ei saa ja mille toimimist suudetaks kergesti kontrollida ja hallata. Ning seejärel turvatestid, kus reaalselt ka süsteemi rünnata püütakse,“ selgitas Samuel. Ta lisas, et isegi peale seda jäävad mõned vead ning väga halval juhul juhtub nii, et keegi kõrvaline neid ka leiab.
Loho nõustus, et suurim oht on siiski inimfaktor. „Kui Kumust koju mineva töötaja saad läbi otsida ja vaadata, et tal pole hinnalist maali peidetud särgi alla, siis maksuametist koju minev ametnik suudab ühe pisikese mälupulga peale peita tohutu koguse andmeid. Ja isegi kui ta ei hakka andmete vargusega riskima, siis ega ukse peal keegi tema mälu ära ei kustuta. See, mida ta nägi päeval mõne firma raamatupidamist uurides, on tal endiselt meeles, kui ta sõpradega õhtul saunas õlut joob,“ selgitas Loho.
Mägi sõnul panustab MTA infoturbesse iga-aastaselt märkimisväärses ulatuses alates töötajate järjepidevast koolitamisest lõpetades infotehnoloogiliste erimeetmete rakendamisega. „Infoturbeküsimustes tehakse tihedat koostööd andmekaitseinspektsiooni, teiste riigi IT-asutuste ja riigi infosüsteemi ametiga ning konsulteeritakse infoturbe ekspertidega erasektorist,“ kinnitas ta.
Seotud lood
Riigi loodud IT-majad pakuvad erasektori IT-ettevõtetele järjest rohkem konkurentsi: võisteldakse tööjõuturul ja IT-firmadel on oht muutuda tööjõurendi pakkujateks, selgus Äripäeva raadio saates.