Maksuameti andmebaas lekkis

Äripäev kontrollis saabunud vihjet ja tegi katse, kust selgus, et infole juurdepääsu saamiseks polnud tarvis midagi häkkida, vaid kasutada süsteemi kaudu igale ettevõtte esindajast kasutajale kättesaadavaid vaateid. Nimelt sai iga ettevõtja e-maksuameti kaudu vaadata kõikide isikute prokuratuuri ja kohtute riigilõivu nõudeid ja makseid ning alla laadida nende aluseks olevaid dokumente. Nende hulgas prokuratuuri või kohtu määrusi ja otsuseid, millele on seatud piirang asutuse­siseseks kasutamiseks.

Tõsi, andmetele ligipääs registreeriti, mistõttu on tuvastatav, kes on andmeid vaadanud. Kuid tõsi on seegi, et maksuamet ise viga ei avastanud, vaid sulges selle alles pärast seda, kui Äripäev teatas selles kolmapäeva õhtul maksuametile.

Viga kõrvaldati. “Alates 1. juulist on võimalik e-maksuameti/e-tolli kaudu tutvuda endaga seotud kohtu või prokuratuuri määratud nõuetega. 2. juulil ilmnes infosüsteemis viga, mis võimaldas süsteemi sisenenud üksikutel isikutel näha teatud sammude läbimisel endaga mitte seotud nõudeid, mis olid määratud ajavahemikus 1.–2. juuli,” selgitas infosüsteeme arendava rahandusministeeriumi infotehnoloogiakeskuse info­turbejuht Klaid Mägi.

Tema sõnul vea põhjus tuvastati ja kõrvaldati 2. juulil kohe pärast sellest teavitamist. “Infosüsteemi logidest tuvastati, et sellised päringuid tehti üksikuid ja nende päringute tegijad on välja selgitatud,” lisas ta, kuid jättis kogukahju täpsustamata. Mägi avaldas palve, et e-maksuameti/e-tolliga seotud leidudest teavitataks edaspidigi kohe ametit.

Rahandusminister Jürgen Ligi, kelle haldusalasse maksuamet kuulub, jäi teema kommenteerimisel napisõnaliseks. “Nii inim- kui ka IT-risk on normaalsuse tõsine osa, mida tuleb maandada. Ka testimine on osa sellest. Õnneks ei ilmnenud probleemi, millest ei jääks jälge, ja see sai ka lahendatud,” ütles ta vaid.

Maksuametis on veel turvaauke. MTÜ Eesti ­Interneti Kogukond juhatuse esimehe Elver Loho hinnangul on maksuametis veel turvaauke. “Sellist asja ei ole olemas nagu lõpuni turvaline tarkvara. Piisava pühendumusega pätt suudab sisse murda nii maksuameti andmebaasidesse kui ka Kumusse,” ütles Loho. Tema sõnul on just seepärast tänapäevased turvalahendused orienteeritud sissetungikatse avastamisele (turvakaamerad füüsilises maailmas, sõltumatu logimine ja jooksev analüüs virtuaalmaailmas) ning kuriteo mõjude vähendamisele (iga väärtuslik maal eraldi seifis, andmed eraldi andmebaasides ja erineva juurdepääsukontrolliga).

“Kuna arvutiturbe ekspertide kogukond Eestis on üsna pisike ja omavahel käiakse palju läbi, on viimaste aastate trend olnud avastatud turvaaukudest otse RIAsse raporteerimine, ilma et avalikkus üldse teada saaks. Auk parandatakse ära ja seltskonna sees omavahel arutatakse, aga sinna see jääbki. Ajakirjandusse kipuvad jõudma vähetähtsate turvaaukude kirjeldused – enamasti nende inimeste leitud, kes on väljaspool seda seltskonda. Ei mäletagi hästi viimast korda, millal mõni väga tõsine turvaauk meediasse jõudis. Mis aga ei tähenda, et neid poleks vahepeal leitud,” selgitas Loho.

Tema hinnangul seisneb probleemi üks pool selles, et riik tahab väikse rahaga palju saada ning ei oska alati turvalist lahendust nõuda – ideaal­maa­ilmas järgneks iga olulise süsteemi hankele ka põhjalik turvaaudit. “Probleemi teine pool on asjaolu, et mitte keegi ei vastuta. Kui inimene hooletusest põhjustab avarii, siis seaduse järgi ta vastutab. Kui ametnik ei nõua riigihankes turvalist süsteemi ja programmeerija on hooletu, põhjustades olulise andmelekke, kehitatakse õlgu ja elatakse rahulikult edasi,” lisas Loho.

Määrav on inimfaktor. Arvutiekspert Tõnu ­Sa­mueli sõnul loovad süsteeme inimesed ja inimesed on alati ekslikud. “Seetõttu apsakad vahel ikka sisse tulevad. Apsakate suurim vältimine toimub läbi süsteemse lähenemise,” selgitas Sa­muel. “Esiteks peab turva olema nii üles ehitatud, et oleks mingid lihtsad printsiibid, millest mööda lihtsalt ei saa ja mille toimimist suudetaks kergesti kontrollida ja hallata. Ning seejärel turvatestid, kus reaalselt ka süsteemi rünnata püütakse,” selgitas Sa­muel. Ta lisas, et isegi pärast seda jääb mõni viga ning väga halval juhul juhtub nii, et keegi kõrvaline neid ka leiab.

Loho nõustus, et suurim oht on siiski inimfaktor. “Kui Kumust koju mineva töötaja saad läbi otsida ja vaadata, et tal pole hinnalist maali peidetud särgi alla, siis maksuametist koju minev ametnik suudab ühe pisikese mälupulga peale peita tohutu koguse andmeid. Ja isegi kui ta ei hakka andmete vargusega riskima, siis ega ukse peal keegi tema mälu ära ei kustuta. See, mida ta nägi päeval mõne firma raamatupidamist uurides, on tal endiselt meeles, kui ta sõpradega õhtul saunas õlut joob,” selgitas Loho.

Maksuamet käed rüpes ei istu. Mägi sõnul panustab amet infoturbesse märkimisväärses ulatuses, alates töötajate järjepidevast koolitamisest ja lõpetades infotehnoloogiliste erimeetmete rakendamisega. “Infoturbe küsimustes tehakse tihedat koostööd andmekaitseinspektsiooni, teiste riigi IT-asutuste ja riigi infosüsteemi ametiga ning konsulteeritakse infoturbe ekspertidega erasektorist,” kinnitas ta.

Loodavad andmebaasid lisavad turvariske

Maksu- ja teiste ametitega seotud andmebaase tuleb aina juurde, nii on juba lisandunud töötamise register ja peatselt ka nn 1000euroste arvete deklareerimine, mis omakorda suurendab turvariske.

Eesti Kaubandus-Tööstuskoja peadirektor Mait Palts ütles, et uudis e-maksuameti turvaaugust, mille kaudu pääses ligi kohtu ja prokuratuuri andmetele, muidugi rõõmust plaksutama ei pane. “Ei tahaks kuidagi, et selliseid asju juhtub. Maksu- ja tolliamet või tarkvaraarendajad võivad ilmselt õigustuseks öelda, et eks tegijal ikka juhtub ja kui ei tee, siis ei juhtu ka, kuid see on väike lohutus,” ütles Palts.

Tema sõnul tuleb  IT-süsteemide muutmiseks ja arendamiseks aega varuda ja palju testida. “On ju teada, et tänavu langeb mitu arendust maksuametis kokku ning intsidentide risk on seega suurem. Usun, et seda teavad ka maksuameti töötajad,” sõnas Palts.

Suure turvariskiga andmebaas. Tööandjate keskliidu juht Toomas Tamsar ütles, et maksuamet on seni väga enesekindlalt kinnitanud oma IT ja protsesside turvalisust. “Ma ei oska konkreetset intsidenti hinnata, ei tea sellest piisavalt. Küll pean väga tõsiseks turvariski küsimust nn 1000 euro andmebaaside juures. Maksuamet loob super­andmebaasi, mis sisaldab ettevõtjate tehinguinfot. Selle turvalisus on kavandatavate muudatuste üks suuremaid probleeme,” kommenteeris ta.

MTÜ Eesti Interneti Kogukond juhatuse esimees Elver ­Loho ütles, et hirm lekke ees on põhjendatud, kui tegu on väärtuslike andmetega, mille ilmsiks tulek võib suuremal või vähemal määral kedagi kahjustada. Tema hinnangul on töötamise registri puhul lekkimise järelmõjud tõenäoliselt üsna piiratud. “Eks ta piinlik ole ametnikele, aga suuresti sellega peaks ka piirduma. 1000euroste arvete deklareerimise andmebaas on aga märksa ohtlikum andmekogum,” ütles ta.

Loho selgitas, et kui mõne ettevõtte äri on teenuste või toodete vahendamine, on võimalik üsna kergesti deklareeritud andmeid uurides kindlaks teha, kellelt ta ostab ja millise vahekasumiga. Ja siin ei ole küsimus enam kogu andmebaasi lekkimises, vaid just selles, et mõni andmeid seirav ametnik räägib sõbrale.

“Ma ei ole 1000euroste arvete andmebaasiga veel lähemalt tutvunud, aga mind tõsiselt huvitab, kuidas kavatsetakse seda probleemi minimeerida. Senine kokkupuude maksuametiga on andnud alust uskuda, et järelevalves on neil ohtralt arenguruumi,” rääkis Loho.

Maksuamet teeb vigu. Loho tõi näite, et teiste ülesannete kõrvalt tegeleb maksuamet ka internetikasiinode blokeerimisega Eestis levivas internetis. Eelmisel aastal suutis maksuamet saada hakkama näpuveaga, kus blokeerisid ligipääsu kogu saareriigi Nauru veebilehtedele.

Veel hiljuti juhtus aga kurioosum, kus ühe ausa Eesti ettevõtja veebileht blokeeriti, sest vähese eesti keele oskusega maksuametnik ei osanud lugeda seadust, mille jõustamine oli tema tööülesanne. Igasuguse mõistliku loogika järgi oleks pidanud sellised otsused läbima mõne komisjoni, mitte jääma ühe ametniku omavoliks.