Riik kuulutas välja hanke e-valimiste turvalisuse auditeerimiseks
Majandus- ja kommunikatsiooniministeerium (MKM) koostöös Riigi Tugiteenuste Keskusega (RTK) kuulutas 14. jaanuaril välja riigihanke valimiste infosüsteemide ja nendega seotud protsesside turvalisuse tervikliku auditeerimise ja hindamise läbiviimiseks, mille eesmärk on saada hinnang valimiste infosüsteemide turvalisusele ning ettepanekuid selle edendamiseks.
Väliskaubandus- ja infotehnoloogiaminister Raul Siem rõhutas, et Eesti riik peab suutma tagada, et valimistel kasutatavate digilahenduste ja rakenduste toimivust kaitstakse kõige kõrgemal võimalikul turvalisuse tasemel. „Tegemist on ajaloolise sündmusega negatiivses mõttes, sest seni pole e-valimiste süsteemile tehtud ei terviklikku auditit ega ka süstemaatilist turvalisuse hindamist. Tänases, küberohtudest kubisevas maailmas on see lubamatu, mistõttu selleta edasiliikumine on reaalne ja sisuline julgeolekuoht riigi toimivusele tervikuna. On viimane aeg suhtuda sellesse äärmise tõsidusega. Auditi eesmärgiks on saada rahvusvaheliselt tunnustatud audiitorite ja infoturbespetsialistide põhjendatud hinnang valimiste infosüsteemide turvalisusele ja ka parandusettepanekud turvalisuse tõstmiseks. Ohud kübermaailmas järjest kasvavad ja peame pidevalt pingutama, et meie digiriigi infosüsteemid oleksid ajakohased ja nende ohtude eest kaitstud,“ ütles Siem.
Tellitava töö käigus tuleb anda hinnang kehtivatele valimiste infosüsteeme käsitlevatele seadusandlikele aktidele, valimiste protseduuridele ning tehnilisele keskkonnale. Hindamisel tuleb võtta aluseks olemasoleva dokumentatsiooni asjakohasus ja piisavus ning reaalselt rakendatud infoturbe meetmed.
Hanke võitjal tuleb hinnata kõigi valimistega seotud protsesside turvalisust terviklikult ning analüüsida nii e-hääletuse süsteemi (EHS) kui valimiste infosüsteemi (VIS3) lähtekoodi. Koodianalüüsi eesmärk on tuvastada võimalike nõrkuste koht ja tüüp ja pakkuda välja ka parandusettepanekud. Samuti tuleb läbi viia infosüsteemide ja protsesside turvatestimised (sissemurdmistest RED-teaming).
Riigi küberturvalisuse juhi Raul Rikki sõnul ei ole sellise tervikliku turvaauditi läbiviimine erakordne meede, vaid mõistlik viis keerulise süsteemi turvalisuse tagamiseks. „E-valimised on meie digiriigi kroonijuveel, mille usaldusväärsust on vaja tagada parimal võimalikul tasemel. Audit on selleks vajalik tööriist, mis annab tervikliku ülevaate süsteemide turbemeetmetest ning toob välja ka ettepanekud, kuidas neid veelgi parandada. Valimiste infosüsteemide turbe korraldus peab olema pidavas arengus, et hakkama saada muutuvate ohtudega,“ ütles Rikk.
IKT asekantsler Siim Sikkuti kinnitusel on rahvusvaheline audit vaid üks osa e-valimiste turvalisuse tagamisest. „MKM, Riigi Infosüsteemi Ameti ja riigi valimisteenistuse koostöös on tegemisel erinevad arendused valimiste infosüsteemile ja elektroonilise hääletamise süsteemile, valimiste veebilehe ja riskianalüüside uuendamine, küberruumi seire, juhendite ja infomaterjalide värskendamine, valimiste vaadeldavuse parandamine ja muu. Inimesed peavad digiteenuseid ja -keskkondi usaldama ja selle aluseks on pidev infosüsteemide turbemeetmete ülevaatamine ja täiendamine,“ lisas Sikkut.
Tööd peavad läbi viima küberturvalisuse valdkonnas rahvusvaheliselt tunnustatud audiitorid koostöös pädevate spetsialistidega. Siemi sõnul on oluline, et audit ja turvatestimised valmiksid piisava ajavaruga enne järgmisi valimisi, et võimalikud parandused jõuaks ka ellu viia. Projekti lõpparuande esitamise tähtajaks on 1. oktoober 2021.
RTK ja MKM-i vahel sõlmitud kokkuleppe kohaselt korraldab riigihanke RTK ning hanke tulemusena sõlmitava hankelepingu sõlmib MKM.
Teema: Küberturvalisus
Vaata lisaks
