Sertifitseerimisbüroo Bureau Veritas väljastas 9. jaanuaril 2025 Eesti Advokatuurile rahvusvahelise infoturbe standardi ISO 27001/IEC sertifikaadi, mis kinnitab advokatuuri pühendumust kõrgetasemelisele infoturbele. ISO27001/IEC on infoturbe juhtimissüsteem, milles nõutavate meetmete rakendamine tagab ühtlasi andmete konfidentsiaalsuse, tervikluse, kättesaadavuse ning infoturvalisuse taseme järjepideva aja- ja asjakohastamise.
Miks oli see vajalik?
Kaks põhjust, formaalne ja sisuline. Esiteks, avalik-õiguslikult organisatsioonilt nõuab seda seadus. Sisuline põhjus on, et advokatuuri igapäevatöös liigub märkimisväärne hulk konfidentsiaalset ja tundlikku teavet. Sertifikaat annab nii advokaadibüroodele kui ka teistele koostööpartneritele kindluse, et advokatuuriga asju ajades on nende andmete kaitsmiseks rakendatud parimaid võimalikke meetmeid.
Erinevalt Eesti Advokatuurist, ei ole advokaadibüroodel seaduslikku kohustust infoturbe standardit järgida, kuid, kel vähegi jaksu ja tahtmist, siis rahvusvahelise ja kõikjal ühtmoodi mõistetava standardi järgimine annab klientidele kindlasti lisaturvatunnet. Kui ISO tundub veel liiga suur tükk, siis hea on alustada ka advokatuuri koostatud juhendist infoturbelaste kaitsemeetmete rakendamiseks: Juhend advokaadiburoo pidajale infoturbealaste kaitsemeetmete rakendamseks.
Õigel ajal õiges kohas
Täna on turul infoturbe ekspertidest terav puudus, mis on põhjustatud suure hulga kohustatud isikute lisandumisest. Kui advokatuur 2022. aastal alustas infoturbe süsteemi loomiseks teenusepakkuja otsimisega, siis nähtus, et E-ITS juurutamiskogemusega infoturbe eksperte peaaegu ei eksisteerinud ja ISO/IEC 27001 on tunduvalt arusaadavam ja selgem standard. Seega valisime Eesti infoturbe standardi E-ITS asemel rahvusvahelise infoturbehalduse standardi ISO/IEC 27001. Kantselei olemasoleva tööjõuga loodud infoturbe meeskonda juhendas ja koordineeris väljast kaasatud infoturbe spetsialist, ilma kelle abita ei oleks advokatuur nii kiirelt seatud eesmärgini jõudnud. Tänaseks on advokatuur võimalik, et üks esimeste kohustatud isikute seas, kes on auditeerimisprotsessi läbinud ja sertifitseeritud. Oleme ka seetõttu heas tegutsemisgraafikus kuna küberturbe ohud kui ka regulatiivne koormus küberturbe valdkonnas ei vähene, vaid suurenevad.
Põhjalik ettevalmistus ja muudatused
Sertifikaadi taotlemine nõudis põhjalikku ettevalmistust ja olulisi muudatusi organisatsiooni töökorralduses. Kaardistasime kõik teenusepakkujad alates IT-arendusest kuni füüsilise turvalisusega seotud teenusepakkujatega, varad (nii digitaalsed, kui füüsilised); tegime riskianalüüsi hinnates potentsiaalseid ohte ja nende mõju; valisime turvameetmed vastavalt riskianalüüsi tulemustele; ning kehtestasime selged standardid ja nõuded infoturbe tagamiseks.
Oluline oli õppida nägema riske, need kaardistada, hinnata, millised on riskide realiseerumisel tekkida võivad kahjulikud tagajärjed. Valida välja sobivad meetmed riskide maandamiseks. Tuli õppida küsima õigeid küsimusi. Tuli omavahel kokku viia advokatuuri ja infoturbe terminoloogia. Infoturbega tegelemine on nagu sibula lahtiharutamine – kiht kihilt paljastub uus teave, mille peale sa ei ole varem tulnud, ega olekski saanud tulla, sest selleks on vaja infoturbe eksperdi teadmisi, kes aitab infoturbe süsteemi esmalt luua ja siis juurutada. Seega ainus lahendus saada selles valdkonnas tõhusaks, teadlikuks ja päriselt infoturvet tagada on järkjärgult sellega tegelema hakata, teha seda järjepidevalt ja süsteemselt. Süsteemsus ja järjepidevus tähendab seda, et ka toimivad süsteemid tuleb regulaarselt üle vaadata, näiteks tuleb kontrollida, et ei oleks unustatud privileege, füüsilisi seadmeid, õiguseid – vältida nö. unustatud asjade interneti teket, sest see loob turvariske.
Igapäevatöös on nüüd selged reeglid IT-seadmete ja lahenduste kasutamiseks ning füüsilise turvalisuse tagamiseks. Kõik töötajad on läbinud vastavad koolitused ning organisatsioonis toimub regulaarne infoturbe alane täiendõpe, mis on ühtlasi elementaarne nõue infoturbe tagamisel ja ainuvõimalik viis selles kiiresti muutuvas valdkonnas reel püsida.
Mõju koostööpartneritele
Advokatuuri ISO sertifikaadi nõuete täitmiseks pidi advokatuur karmistama ka enda koostööpartneritele esitatavaid tingimusi. Nii pidid erinevad koostööpartnerid kohandama mitmeid tegevusi, näiteks:
Teenusepakkujad pidid üle vaatama ja uuendama oma lepingud vastavalt infoturbe nõuetele.
IT-teenuste pakkujad pidid tagama, et nende töötajate ligipääsuõigused advokatuuri infosüsteemidesse oleksid täpselt reguleeritud, põhjendatud ja perioodiliselt üle vaadatud.
Positiivse kõrvalmõjuna said koostööpartnerid tõsta oma teenuste üldist kvaliteeti ja turvalisust ka teiste klientide jaoks. Nii loob ISO27001 sertifikaat ka positiivse doominoefekti, tõstes infoturbe standardeid ka advokatuuri teenusepakkujate seas. Kõik koostööpartnerid, kes töötlevad konfidentsiaalset või tundlikku teavet, peavad vastama kindlatele infoturbe nõuetele ning nende tegevust monitooritakse regulaarselt. Süsteemselt infoturbe taseme tagamisega tegelemine on tõstnud partnerlussuhted uuele tasemele. Kuigi varem lähtuti “tervest mõistusest”, on nüüd kõik turvanõuded selgelt dokumenteeritud ja kohustuslikud.
Oluline on märkida, et meie kogemus näitab, et juhul kui koostööpartner infoturbe osas nö toru ei võta, siis ei jää muud üle, kui ta välja vahetada, sest vastasel juhul ei ole võimalik infoturvalisust tagada. See protsess oli kohati valuline, sest tegelikult ei ole infoturbega seotu veel kaugeltki enesest mõistetav.
Tulevikku vaatav samm
Kuigi sertifikaadi taotlemine ja selle hoidmine nõudis ja nõuab märkimisväärseid investeeringuid nii aega kui ressurssidesse, on see tänases järjest tõusvate küberturbe riskide olukorras hädavajalik samm andmeturvalisuse tagamisel, sest ka kuritegevus on füüsilisest maailmast järjest rohkem ümber kolinud elektroonilisse maailma.
Kõigist kahtlustest, mis puudutavad advokatuuri infoturvet (näiteks kahtlastest e-mailidest) teada anda aadressile intsident@advokatuur.ee
Meeskond
Advokatuuri infoturvalisuse töögruppi, kes advokatuuri infoturvalisuse auditeerimiseks ette valmistasid ja standardi rakendamisega ka edaspidi tegelevad kuuluvad kantsler Leen Eenpalu, jurist Merit Aavekukk-Tamm, arendus- ja koolitusspetsialist Ivika Viil ja infoturvalisuse väline partner Marje Salumets.
Sügav tänu juhatuse liikmele vandeadvokaat Risto Hübnerile, kes oli kolme ametisoleku aasta jooksul inspireerijaks, valgustajaks ja toetajaks advokatuuri IT-valdkonna vedamisel ning Marje Salumetsale, kes oli ja on advokatuuri infoturvalisuse partner ning kel on aastate pikkune kogemus infoturvalisuse alaste konsultatsioonide pakkumisel ja ühtlasi ka akrediteeritud ISO27001 juhtaudiitor.
Leen Eenpalu, kantsler
18.03.2025
