Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.
Riigikontroll: omavalitsustele on andmekaitse nagu reis Marsile
Janar HolmFoto: Andres Haabu
Eesti kohalikes omavalitsustes on teadmised andmekaitsest ja turvanõuetest võrdlemisi madalad, kontrollitud omavalitsustes olid täitmata juba 10 aastat kehtivad nõuded, selgub riigikontrolli auditist.
Kümnes omavalitsuses läbiviidud auditist tuli välja, et elanike andmete salvestamisel on turvalisuse vajadus täiesti kõrvale jäetud. Kohati oli probleeme isegi elementaarsete nõuete nagu tulemüüridega. Tihti oli IT-süsteemide kasutajatele antud piiranguteta õigusi ning puudus ülevaade, kes kuhu üldse ligi pääseb.
„Riigikontrolli audiitoritele jäi mulje, et mitmetes kohalikes omavalitsustes on justkui Metsik Lääs, kuhu kuuldused Eestis kehtivatest nõuetest infosüsteemide pidamisel pole jõudnud,“ kommenteeris riigikontrolör Janar Holm.
Probleemid ei anna end kaua otsida. Näiteks murti Harjumaal möödunud aastal sisse nelja omavalitsuse valvekaameratesse, sest nende turvaaugud olid lappimata. Viljandi muusikakooli töötaja aga andis ligipääsu oma arvutile, kui helistaja väitis end olevat Microsofti töötaja, kes vajab ligipääsu tema arvutile, sest see on viirust täis. Kui IT-spetsialistid jaole jõudsid, oli arvutile juba parool peale pandud.
„See ongi kõige murettekitavam, et audiitorid kohtasid kohalikes omavalitsustes ka selliseid vastutavaid ametnikke, kelle jaoks turvameetmete süsteemi rakendamise, sh andmekaitse vajalikkus jäi niisama arusaamatuks kui investeerida turismireisi Marsile – see on midagi kauget, mis nende eluaja jooksul nagunii ei juhtu,“ kommenteeris Holm.
ÜKS põhjus on ka IT-spetsialistide väheses arvus omavalitsustes. Üldiselt on väikestes omavalitsustes IT antud mõne teise valdkonna spetsialisti vastutusalasse ning keskmise suurusega KOVides koosneb IT-teenistus kuni paarist spetsialistist. Küsimus on ka nende väljaõppes, näiteks võis kohapealne IT-spetsialist saada väga hästi hakkama töökohaarvutite keskhalduse reeglite seadmisega, kuid tulemüüri seadistamisega jäi hätta ning mitmel juhul olid n-ö vaikeseadistused jäänud muutmata.
Omavalitsuste juhtide käimine riigi järelevalveasutuste koolitustel oli üldiselt napp. Koolitustel mitteosalemise põhjuseks toodi, et need on liiga spetsiifilised IT-valdkonna välisele inimesele, tihti korraldatakse neid Tallinnas, tööülesannete kõrvalt ei ole aega koolitustel osaleda ning koolitustel ei jagu alati kohti.
Riigikontroll soovitas riigi infosüsteemide ametil ja andmekaitse inspektsioonil parandada nii omavalitsustele pakutavaid koolitusi kui tõhustada järelevalvet.
Auditeeritud omavalitsused olid Kuusalu vald, Rapla vald, Viljandi vald, Paide linn, Valga linn, Võru vald, Audru vald, Kohtla-Järve linn, Avinurme vald, Vihula vald.
Minu Äripäeva kasutamiseks logi sisse või loo konto.