Standardi E-ITS rakendamine Laagri Perearstikeskuses: teekond infoturbe tagamisel

Autor: Johanna Maria Jahimaa, pereõde, Laagri Perearstikeskus. Artikkel ilmus märtsi Perearstis. Telli ajakiri siit!

Tegelik E-ITS-i rakendamise eesmärk on mõista asutuse tööprotsesse ja nende põhjal määrata, milliseid andmeid tuleb kaitsta ja kuidas seda teha. Ainult nii saame tagada, et delikaatsed isiku- ja terviseandmed on kaitstud ning meie igapäevane töö on turvaline.

Tänapäeva digitaalses maailmas ei piisa pelgalt nähtavatest turvameetmetest, nagu pimendavad ekraanid või arvuti lukustamine (Windows + L) selle juurest lahkudes. Ohud andmete terviklikkusele, käideldavusele ja konfidentsiaalsusele algavad juba arvuti sisselülitamise hetkest. Seetõttu peavad nii töötajad kui ka juhtkond olema teadlikud võimalikest küber-
ohtudest ning oskama neid ennetada – olgu selleks kahtlase sisuga veebilehtede külastamine, tundmatutelt saatjatelt saadud e-kirjade avamine või pahatahtlikele linkidele klõpsamine.

Asutuse juhil on parim ülevaade tööprotsessidest, lepingulistest koostööpartneritest ja nende kohustustest ning võimalikest küberohtudest. Seetõttu peab just asutuse juht seadma küberturbe esmatähtsaks. Ühtsed turvareeglid, eeskirjad ja protseduurid aitavad infoturvet tagada, kuid nende kehtestamine eeldab selget arusaama sellest, mida kaitstakse, milliste ohtude eest ning miks see on oluline.

Teekond E-ITS-i rakendamisel Laagri Perearstikeskuses

Alustades Laagri Perearstikeskuses E-ITS-i rakendamist, ei olnud alguses päris selge, miks see vajalik on. Asutuses ei olnud enda servereid tundlike andmete hoiustamiseks, mistõttu tundus, et vastutus infoturbe tagamise eest lasub peamiselt Laagri Perearstikeskuse lepingulistel koostööpartneritel, kelle süsteeme kasutati patsientide andmete töötlemiseks.

Mida sügavamale protsessi süvenesin, seda enam mõistsin, et ka andmete töötlejana on perearstikeskusel kohustus tagada nende terviklikkus, käideldavus ja konfidentsiaalsus. Töö käigus tekkis korduvalt küsimusi ja segadust ning jõudsin justkui tupikusse – kuidas ja mida täpselt teha? Infoturbehalduse süsteemi loomisel ja infoturbemeetmete rakendamisel oli suureks abiks E-ITS-i profiil perearstidele ja Eesti Infoturbestandardi veebileht. Sain korduvalt toetuda ka oma IT-taustaga lähisugulasele, kes vastas töö käigus tekkinud küsimustele ning suunas mind edasi.
E-ITS-i rakendamise kohustus tuleneb küberturvalisuse seadusest ning laieneb organisatsioonidele, mis täidavad avalikke ülesandeid, sealhulgas perearstikeskustele, kohustus jõustus 24. detsembril 2022.

Aasta hiljem, vahetult enne jõule, saabus Laagri Perearstikeskuse juhataja e-posti aadressile Riigi Infosüsteemide Ameti (RIA) teavitus järelevalvemenetluse algatamise kohta, et kontrollida keskuse vastavust E-ITS-i nõuetele. Vaid kümme päeva enne seda olime koos asutuse juhiga osalenud perearstidele suunatud E-ITS-i rakendamise seminaril, kus anti täpsemad juhised ja materjalid, kuidas protsessiga alustada ning milliseid samme astuda.

Dokumentatsiooni koostamine ja töömahu selgumine

2024. aasta jaanuaris alustasin RIA nõutavate dokumentide koostamist. Tol hetkel ei osanud ma aimata, kui mahukas see töö tegelikult on. Esmaste dokumentide koostamine võttis aega ligikaudu 120 tundi ning selleks kulus kümme päeva.

Töö algas keskuse üldise kirjeldusega: organisatsiooni struktuur, ametikohad, hoone ja tööprotsessid (kes, mida ja kuidas teeb). Seejärel kaardistasin keskuse sihtobjektid – taristu, IT-süsteemid, tarkvarad, võrgud/side ja andmekogud – ning kõik välised koostööpartnerid, kellest sõltub keskuse igapäevatöö. Kui need andmed olid paigas, sain määrata infoturbe kaitseala ning hinnata, millist kaitset vajab teave, mida tööprotsesside käigus töödeldakse, ning ka asutus taristuna, et üldarsti-abi teenuse pakkumine ei katkeks.

Kaitsetarbe analüüsi põhjal määrasin Laagri Perearstikeskusele sobivaima turbeviisi. Seejärel algas põhjalik kaitseala modelleerimine, mille eesmärk oli selgitada välja, milliseid E-ITS-i protsessi- ja süsteemimooduleid keskuses rakendada. Analüüsi tulemusena tuvastasin 233 spetsiifilist turvameedet, mida oli vaja asutuses ellu viia.

Puudujääkide avastamine ja IT-partneri vahetus

2024. aasta jaanuari alguses viidi Laagri Perearstikeskuses läbi infoturbemeetmete esmase rakendatuse hindamine. Selle käigus selgus, et senine IT-partner ei olnud taganud IT-lahenduste ja võrguseadmete piisavaid turvanõudeid, mida võiks eeldada erialaspetsialistilt. Kaalusime, kas anda neile võimalus puudujääkide likvideerimiseks, kuid lõpuks jõudsime järeldusele, et edasine koostöö ei ole siiski võimalik.

Olukorra lahendamiseks otsustas juhataja senise IT-partneriga koostöö lõpetada. Alates märtsist 2024 on Laagri Perearstikeskusel uus IT-partner, kellega alustati puudujääkide kõrvaldamist.
Seisuga aprill 2024 olid keskuses välja vahetatud vanad võrguseadmed, paigaldatud tulemüür ning loodud eraldatud võrgud eriotstarbelistele süsteemidele. Kasutusele võeti kasutajate keskhaldussüsteem. Samuti kehtestati infoturbepoliitika ja kirjeldati IT-strateegiat. Koostati ja kinnitati arvutivõrgu kasutamise kord ning sülearvutite ja infovarade kasutajaõiguste haldamise põhimõtted.

RIA esimene kontroll Laagri Perearstikeskuses toimus 2024. aasta jaanuaris, kui olin esimese etapi raames jõudnud meetmete rakendamiseni. Kuna tol hetkel olid ilmsiks tulnud olulised puudujäägid turvalisuse tagamisel, siis esimesel kohtumisel otsustasime, et ei varja midagi, olime avatud ning rääkisime ametnikele ausalt ära, millised puudused asutuses esinevad. Selleks ajaks olin leidnud võimaliku uue IT-partneri, kes oli andnud esmased soovitused puuduste kõrvaldamiseks. Seetõttu oli mul ametnikele esitada ka algne tegevusplaan nende puuduste kõrvaldamiseks.
Kohtumine kestis umbes kaks tundi, mille jooksul täpsustati mõned küsimused, hiljem vaadati üle ka serveriruum ning leppisime kokku, et asume aktiivselt puudusi likvideerima.
2024. aasta mais võttis RIA ametnik uuesti keskuse juhiga ühendust, et saada ülevaade läbiviidud töödest. Andsin kirjaliku vastuse tööde mahust ja leppisime kokku, et võtame uuesti ühendust aasta lõpus.

Umbes oktoobris 2024 saime uue järelevalvemenetluse teate puuduste likvideerimise kohta. Andsin värske ülevaate E-ITS-i rakendamisest ja lisasin ka puuduvad dokumendid.
Seisuga 1. november 2024 oli Laagri Perearstikeskus rakendanud E-ITS-i nõuetele vastavad meetmed, mis vastavad asutuse profiilile ning tagavad nõutud infoturbe. RIA on järelevalvemenetluse lõpetanud.

Infoturbe tagamine on jätkuvalt Laagri Perearstikeskuse juhataja, küberturbejuhi kohustuste täitja ning IT-partneri igapäevase koostöö üks põhieesmärke.

Töökeskkonna areng ja teadlikkuse kasv

Keskuse töökeskkond on nüüd paremini kontrollitud. Kasutusele on võetud kasutajate keskhaldussüsteem, mis tähendab, et igal töötajal on oma isiklik kasutajakonto. Eriotstarbelised võrgud on eraldatud ning neid kasutatakse sihipäraselt. Töötajate teadlikkus infoturbest on märgatavalt kasvanud ning ka mina, töötades igapäevaselt pereõe ja ämmaemandana, olen tänu sellele protsessile omandanud märkimisväärselt rohkem teadmisi nii infoturbe kui ka IT-valdkonna kohta tervikuna. Olen keskuses esmane kasutajatugi ning suudan enamiku probleemidest iseseisvalt lahendada. Kui vajan lisatuge, on IT-partner vaid telefonikõne või TeamVieweri kaughaldusseansi kaugusel.

Peab tõdema, et kogu protsess oli mahukas ja kohati keeruline. Samas, kuigi olen ämmaemanda haridusega ning töötan pereõena ilma varasemate IT-teadmisteta, sain sellega hakkama. See oli võimalik, sest keskendusin oma töövaldkonnale – asutuse osale, mida tunnen läbi ja lõhki. Seetõttu usun, et igaüks, kellel on tahtmist ja valmisolekut süveneda, suudab selle protsessi edukalt läbi teha. Jalgratast ei ole vaja leiutada – tuleb näha suuremat pilti, mõista protsessi olulisust ja astuda kindlalt edasi.

Edu kõigile, kes selle teekonna ette võtavad!