Palts lekkest: ei taha, et selliseid asju juhtuks

Äripäev kirjutas täna, et EMTA andmebaasis e-maksuamet oli auk, mis lubas ettevõtjail ligi pääseda kohtu ja prokuratuuri andmetele, mida nad poleks tohtinud näha. Pärast seda, kui Äripäev pöördus kolmapäeva õhtul maksuameti poole, turvaauk likvideeriti.

Selline uudis muidugi rõõmust plaksutama ei kutsu, vaid hoopis vastupidi. Ei tahaks kuidagi, et selliseid asju juhtub. MTA või tarkvaraarendajad võivad ilmselt õigustuseks öelda, et eks tegijal ikka juhtub ja kui ei tee, siis ei juhtu ka, kuid see on väike lohutus. Võib küll kõlada tagantjärele targutamisena, kuid oleme alati rõhutanud, et IT-süsteemide muutmiseks ja arendamiseks on vaja aega varuda ja testida, testida, testida. On ju teada, et tänavu langeb mitmeid arendusi ka maksuametis kokku ning risk intsidentideks on seega suurem. Usun, et seda teavad ka maksuameti töötajad.

Igasse sellisesse sündmusesse tuleb alati suhtuda äärmiselt tõsiselt. Siin on mitu aspekti. Andmete turvalisus ja eriti selles osas, mis puudutab kas maksusaladust või isikuandmeid, on äärmiselt sensitiivne teema. Siin ei tohi lubada hinnaalandusi. Tagajärjed võivad ulatuda sellel hoopis kaugemale, kui vaid fakt, et kodanik X või ettevõtja Y kohta avaldamisele mittekuuluv info saab avalikuks. Sellistel puhkudel on kaalul kogu avaliku sektori IT suutlikkuse ja andmekaitse usaldusväärsus. Ka rahvusvahelises võtmes oleks oluline, et meil selliseid intsidente ei juhtuks. Olgu need siis nii lokaalsed kui tahes või kõrvaldatud mõne hetkega, levib sõna alati ja tilk tõrva võib rikkuda teadagi mida.

Maksuameti andmebaaside turvalisuse kohta ei ole seni midagi ette olnud heita. Ka ameti enda poolt on alati kinnitatud, et turvalisus on väga tähtis ning maksusaladuse kaitset peetakse alati silmas. Ei ole mingit põhjust selles ka kahelda, kuid igal juhul on kahetsusväärne, kui kirjeldatud olukord on tekkinud. Vähim ja ilmselt ka ainus, mida praegu teha annab, on sellest õppida.

Piiratud ligipääsuga andmebaaside turvalisusel tuleb alati kõrgendatud tähelepanu pöörata. Kui riik/seadusandja on otsustanud, et mingid andmed ei peaks olema avalikud, vaid salajased, siis tuleb seda ka järgida. Mida rohkem andmeid ühte kohta koondub, seda suurem on alati risk, et kui midagi juhtub, on ka kahju suurem. Info turvalisus on tänapäeval teatavasti olulisem kui kunagi varem.

Siiski on Eestis IT turvalisusele väga palju rõhku pööratud, rohkem kui enamikes teistes riikides maailmas, ning seega ei ole ilmselt põhjust arvata, et meil tervikuna oleks probleeme või et peaks hakkama paaniliselt lekkimisi kartma. Need, kelle ülesanne on tagada, et selliseid asju ei juhtuks, peavad tegema oma tööd korralikult, õppima juhtunust või võtma kasutusele ka uusi ja täiendavaid meetmeid, et kaitstuks mõeldud andmebaasid oleksid kõrgeima võimaliku turvalisusega.