BLRT hoiatab: viivitus uue küberseaduse täitmisega võib valusalt kätte maksta
BLRT sai mõne kuu eest teada, et peab järgima uut küberturvalisuse seadust. Kontserni IT-direktori sõnul ei tohi nõuetesse lõdvalt suhtuda.
Loe AI kokkuvõtet
BLRT sai veebruaris Riigi Infosüsteemi Ametilt teate, et kontserni ärid kuuluvad aasta alguses jõustunud küberturvalisuse seaduse alla. See pani ettevõtte oma süsteeme põhjalikumalt üle vaatama ja andis lisatõuke küberriskide maandamiseks. Kogemus näitab, et seaduse nõuete täitmine eeldab ettevõtetelt ajamahukaid samme, et tõsta infoturbe taset ja vastata uutele kohustustele.
Suurim risk kaasneb äritegevusega, ent viivitamine võib tuua ka kopsaka trahvi ning piirata hangetes osalemist.
Näiteks ei saa sertifikaadita teatud pakkumistes osaleda ja kui teisedki seaduse subjektid lõpuks ärkavad, ei pruugi enam olla vabu nõustajaid ja spetsialiste, rääkis IT-direktor Marek Trautmann saates “Kasvukursil”.
Kui oma süsteemide ülevaatamisega alustada liiga hilja, ei pruugi ettevõte kolmeaastase üleminekuaja sisse lihtsalt ära mahtuda.
BLRT kogemus
Suure käibega kontserni vastu on kuritegelikul maailmal ilmselge huvi, mistõttu muutus küberkaitse aktuaalseks juba rohkem kui viis aastat tagasi, põhjendas Marek Trautmann, miks on BLRT juba mõni aasta tegelenud selle teemaga põhjalikumalt.
BLRT palkas küberturvalisuse eest vastutava inimese CISO (chief information security officer), kes oli Euroopa küberturvalisuse direktiiviga ehk NIS2ga kursis. Nii teadsid nad juba paar aastat ette, et see rakendusseadus jõuab varsti Eestisse. Liikumapanevaks jõuks olid ka rahvusvahelised kliendid, kes uurisid, kas BLRT-l juba on rahvusvaheline ISO sertifikaat.
Veebruaris saabus kiri RIA-lt, mis tähendas nende jaoks aga, et selgeks tuli teha, millised kontserni kümnetest tütarettevõtetest on küberturvalisuse seaduse ehk KüTSi subjektid. Trautmann tunnistas, et infost läbinärimiseks luges ta algatuseks seadust ja selle seletuskirja mitu korda, tegi märkmeid ja konsulteeris spetsialistidega.
Selgus, et seadus ei kohaldu automaatselt tervele grupile, vaid sõltub spetsiifilistest tegevusaladest. Üks neist tegevusaladest, mis on seaduses välja toodud, on laevaehitus.
“Meil Eestis tegelikult ükski ettevõte ei ehita laevu, me remondime laevu. Need on täiesti erinevad tegevused. Aga kuna tegevusalana on see kirjas, siis seadusest tulenevalt me peame selles ettevõttes regulatsiooni ka rakendama,” kirjeldas Trautmann.
Kogu grupist tuvastati seega kaks tütarfirmat, mis kindlasti peavad hakkama sertifikaati taotlema. Seda kinnitas ka BLRT päring RIA-le. Sertifikaat annab automaatse vastavuse seadusest tulenevatele nõuetele.
Tasub teada
KüTS kohaldub ligikaudu 6500 ettevõttele ja asutusele Eestis. Tänavu lisandus ligi 3000 uut subjekti.
Seadus rakendub elutähtsate teenuste osutajatele, riigiasutustele, avalik-õiguslikele juriidilistele isikutele, paljudele ettevõtetele ja asutustele sõltuvalt suurusest ja valdkonnast.
Näiteks on seaduse subjektid paljud energia-, tervishoiu-, transpordi-, tööstus- ja sideteenuste osutajad. Kogu nimekirja ja kehtima hakanud uuenduste kohta saab lugeda Riigi Teatajast.
Kuna BLRT emafirmana pakub tsentraliseeritud IT-teenust kogu kontsernile, tundus neile äriliselt kasulik viia kogu kontsern vastavusse ISO 27001 standardiga. Nimelt tuli neil valida üks kahest: kas Eesti infoturbestandard või rahvusvaheline ISO. Kuna BLRT-l on tütarfirmad ja partnerid ka väljaspool Euroopa Liitu, oli ISO nende jaoks loogilisem valik.
Praegu on käsil nõustaja Grant Thornton Balticuga lepingu sõlmimine, et kogu vajalik juhtimissüsteem ja dokumentatsioon korrektselt paika saada. Paralleelselt tegeleb BLRT sertifitseerimise partneriga, kes tulevikus väljastaks neile ISO sertifikaadi.
See aga nõuab arvestatavaid investeeringuid, rääkis Trautmann. Kuigi BLRT ei ole kõiki rahanumbreid täpselt kokku löönud, hindas ta ainuüksi sertifikaadi maksumust kümnetes tuhandetes eurodes.
Samas tõdes ta, et tulevikus ei saaks nad ilma selleta osaleda rahvusvahelistel hangetel. Ka välispartnerid, kes on praegu leppinud sellega, et BLRT kasutab meetmeid küberohutuse tagamiseks, kuid ette pole näidata sertifikaati, ei pruugi ühel päeval sellega rahulduda.
KüTS kohustab hindama ka oma partnerite küberturbe taset. Trautmann rääkis, et kolm aastat tagasi püüdis kurjategija just partneri kaudu nende süsteemidesse sisse tulla. Õnneks see ei läinud läbi, sest neil olid juba selleks ajaks vastavad tarkvarad kasutusele võetud.
Lisaks ei kasuta BLRT püsivaid VPN-ühendusi partneritega. Tootmisseadmete tarkvara uuendamisel peavad hooldajad kohal käima, sest seadmed on võrgust isoleeritud. “See risk, et keegi kodus köögilaua tagant ligi saab su asjadele, ei ole väärt seda mugavust,” põhjendas ta.
Kulub vähemalt aasta
Kuigi seadus annab uutele subjektidele süsteemide vastavusse viimiseks ja vajalike auditite või sertifikaatide saamiseks kolmeaastase üleminekuaja, on ekspertide hinnangul viimasel hetkel alustamine äärmiselt riskantne.
Grand Thornton Balticu infoturbe valdkonnajuhi Artti Astoni sõnul võtab infoturbe juhtimissüsteemi rakendamine minimaalselt pool aastat ning selleks, et saada tõendit või sertifikaati, peab see süsteem ka tegelikult töötama umbes pool aastat. “Ehk aasta läheb kindlasti aega, kui sa võtad selle kohe ette,” tõi ta välja.
Seadusega jõustunud uuendused
Teavitamiskohustus. Olulise mõjuga küberintsidendist tuleb RIA-t teavitada 24 tunni jooksul alates teadasaamisest.
Juhatuse vastutus. Ettevõte peab määrama ühe juhatuse liikme, kes vastutab otseselt küberturvalisuse eest. Kui liiget ei määrata, vastutab kogu juhatus. Personali tuleb regulaarselt koolitada.
Tarneahel. Ka partnerite turvameetmed peavad olema korras. Seaduse subjekt vastutab, et sisseostetavate teenuste korral oleks turvalisus tagatud. Seda vastutust ei saa delegeerida.
Sertifitseerimine ja riskijuhtimine. Enamik subjekte peab viima oma süsteemid ja dokumentatsiooni vastavusse kas Eesti infoturbestandardi (E-ITS) või rahvusvahelise ISO 27001 standardiga. Tuleb koostada korralik riskianalüüs ning ohud ja varad kaardistada. Sõltuvalt kategooriast on audit kohustuslik või soovituslik.
Seadust on keerukas lugeda
Advokaadibüroo Widen partner Henri Ratnik selgitas, et seadus tugineb Euroopa Liidu NIS2 direktiivile ja on kirjutatud hästi detailselt, et vältida hilisemaid vaidlusi. See aga tähendab ristviitamist teistele määrustele ja registritele.
“Ideaalses maailmas peaksid olema seadused sellised, et kõik saavad neist aru. Päris elus see nii ei ole,” nentis Ratnik ja lisas, et kõigi viidete seadusesse sissekirjutamine tähendanuks 20 paragrahvi asemel 120 paragrahvi pikkust lohet.
Kõige suurem peavalu tekib klassifikaatoritega, selgitas Aston. Näiteks on seaduses kirjas viis tootmisharu, aga ka mujal liigitamata masinate ja seadmete tootjad, mis tähendab, et nimekiri on tegelikult pikem. Kuna kogu list on spetsiifiline ja hõlmab arvutitest kuni laevade, õhusõidukite ja isegi jalgratasteni, võivad paljud ettevõtted olla seaduse subjektid, ilma et nad seda ise teadvustaksid, rääkis ta.
Seda probleemi toovad asjatundjad saates korduvalt välja – need, kes seadust peavad täitma hakkama, ei ole kohustusest teadlikud. Märtsi lõpuks pidid need, keda seadus puudutab, endast RIA-le märku andma, kuid Ratnik usub, et paljud ei ole seda teinud.
Miks peab aga iga ettevõte vaatama peeglisse ja palkama kallid nõustajad, et aru saada, kas ta on subjekt? Miks ei võiks seda neile öelda järelevalveorgan nagu RIA? Nii tehakse näiteks Leedus. Ratniku sõnul tahame me samal ajal ka õhukest riiki ja kahte korraga ei saa.
Põhjused, miks ei tasu nõudeid eirata
- Äritegevuse katkemine. Kui ettevõtte süsteemid ei ole piisavalt kaitstud ja nendesse murtakse sisse, näiteks krüpteeritakse andmed, võib töö pikaks ajaks seiskuda.
- Hiiglaslikud trahvid. Kui on selge, et ettevõte on seaduse subjekt, kuid ei ole nõudeid täitnud, on RIA-l seaduse järgi õigus määrata trahv. Trahvimäärad võivad ulatuda kuni 10 miljoni euroni või 2 protsendini ettevõtte ülemaailmsest kogukäibest. Rikkumisena käsitletakse ka seda, kui ettevõte jätab olulisest küberintsidendist 24 tunni jooksul RIA-le teavitamata.
- Juhatuse liikmete isiklik vastutus. Kui ettevõte nõudeid eirab ja juhatus ei käitu piisava hoolsusega, saab juhatuse liikmete vastu esitada kahjuhüvitise nõude. Seda võib teha ettevõte ise, aga näiteks pankroti korral ka võlausaldajad. Kui vastutavat isikut määratud ei ole, vastutavad rikkumiste eest kõik juhatuse liikmed ühiselt.
- Audiitorite nappus. Audiitoritel ei pruugi jätkuda aega. Eestis on praegu vaid kaks sertifitseerimisasutust, kes ISO standardeid väljastavad. Kui tuhanded kohustuslased jätavad protsessi viimasele minutile, peab audiitoreid hakkama otsima välismaalt, mis on oluliselt kulukam variant.
- Ajakriitilisus. Turvasüsteemide juurutamine ja sertifikaadi saamine ei käi üleöö. Infosüsteemide nõuetega vastavusse viimine võtab minimaalselt pool aastat, seejärel peab süsteem vähemalt pool aastat töötama, et saada sertifikaat – seega kulub kogu protsessile minimaalselt aasta. Seadus ütleb aga, et nõuetega tuleb vastavusse viia kolme aasta jooksul.
Kuula ka kogu saadet “Kasvukursil”, kus räägitakse, mis on küberturvalisuse seaduses uut, keda see puudutab ja kuidas valmistuda.
Seotud lood
Automatiseerimine ja andmepõhine otsustamine kujundavad iga päevaga ümber üha rohkemate organisatsioonide töökorraldust. Nende mõlema puhul vajatakse reeglina kõrvale võimekat AI-tehnoloogiat, aga kuidas ja millises mahus tehisintellekti rakendada, nõuab iga äri puhul eraldi vastamist. Kui tahad olla see inimene, kes neile küsimustele vastata oskab ning tehisaru võimalusi äris läbi ja lõhki tunneb, tasub tulla TalTechi magistriõppesse õppima uhiuuele õppekavale „Tehisintellekt äris“.
Viimased uudised
“Agendimajandus on järgmine suur asi“
Küberturvalisus
Liitu uudiskirjaga
Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.
Tagasi Äritehnoloogia esilehele