top of page

Pilvtoodete riskid ja nende maandamine

Pilvtoodete ja tehisintellekti kasutuselevõtt eeldab riskipõhist lähenemist. Riskihaldus on vajalik selleks, et asutusel oleks ülevaade ohustavatest teguritest, võimalikest mõjudest ja vajalikest meetmetest toimepidevuse, infoturbe ning andmekaitse tagamiseks. Riskide hindamisega tuleb alustada enne pilvteenuse kasutuselevõttu, mitte pärast seda.

Peamised ohud

  • tehisintellekti vale- või ebasihtotstarbeline kasutamine

  • kasutajate vead ja ebapiisav teadlikkus

  • konfidentsiaalsete andmete või isikuandmete leke

  • küberründed teenusepakkuja või süsteemi vastu

  • teenusekatkestused ja käideldavuse probleemid

  • hallutsinatsioonid, faktivead ja kallutatus

  • andmekaitse- või õigusnõuete rikkumine

  • puudulik õiguste haldus, logimine ja seire

  • intellektuaalomandi rikkumine

  • ebaselge eesmärk, ülesandepüstitus või vastutus

Kuidas need riskid praktikas avalduvad?

  • ei ole selge, kuidas ja kus andmeid töödeldakse

  • ei saa piisava kindlusega veenduda andmete kustutamises

  • teenusepakkujal või kolmandatel osapooltel võib olla ligipääs andmetele

  • mudel võib anda ebatäpseid või eksitavaid tulemusi

  • töötajad võivad sisestada lubamatut või liiga tundlikku teavet

  • pilvteenuse pakkuja tingimusi ei ole sageli võimalik muuta

  • teenuse töökindlus ja käideldavus sõltuvad kolmandast osapoolest

  • välisriigi jurisdiktsioon võib mõjutada andmete kaitset

Mida tuleb hinnata enne pilvteenuse kasutuselevõttu?

  1. millist avalikku teavet või andmeid teenuses töödeldakse

  2. millised on nõuded selle teabe terviklusele, käideldavusele ja konfidentsiaalsusele

  3. millises töötlusetapis soovitakse pilvteenust kasutada

  4. teenusepakkuja ja seotud osapoolte usaldusväärsus

  5. kasutatav tehnoloogia, toimemudel ja mõju olemasolevale arhitektuurile

  6. teenuse turvalisus ning rakendatavad turvameetmed

​

NB! Tegemist ei ole ammendava loeteluga.

Peamised meetmed riskide maandamiseks

  • klassifitseeri andmed ja määra, milliseid andmeid võib pilvtootes töödelda

  • väldi tundliku, AK- või isikuandmete sisestamist ilma eelneva hinnanguta

  • võimalusel krüpteeri või isikusta andmed minimaalselt

  • kehtesta selged kasutusreeglid ja õiguste haldus

  • kontrolli sisendite ja väljundite kvaliteeti

  • rakenda logimist, seiret ja monitooringut

  • koolita töötajaid regulaarselt

  • taga varundamine ja toimepidevuse plaan

  • hinda teenusepakkuja alltöövõtjaid ja lepingutingimusi

  • uuenda riskihinnangut teenuse muudatuste korral

​

Asjakohased E-ITS meetmed

​

Tehisintellektisüsteemid (APP.EE.2)

  • strateegia ja kasutuselevõtu kavandamine

  • riskide kaalutlemine ja mõjuhindamine

  • vastutus ja vastavus seadusandlusele

  • algandmete kvaliteet, treenimine ja testimine

  • sisendite ja väljundite valideerimine

  • tulemuste õigsus, läbipaistvus ja seire

  • intsidentide haldus ja tarneahela turvalisus

  • konfidentsiaalsete andmete kaitse ja täiendavad tehnilised meetmed

​

Pilvteenuste kasutamine (OPS.2.2)

  • pilvteenuste strateegia ja turvapoliitika

  • pilvteenuste loendi koostamine

  • vastutusalade määramine

  • migratsiooni- ja liitumisplaan

  • teenusepakkuja valikukriteeriumid

  • lepingud ja turvaline migratsioon

  • avariivalmidus, varundamine ja ülekantavus

  • infoturve, krüpteerimine ja lepingu korrektne lõpetamine

​

Peamised jääkriskid

  • teenusekatkestused pilvteenuse pakkuja või võrgu tõrgete tõttu

  • kokkulepitud käideldavuse mittetagamine

  • andmete taastamise raskused ebapiisava varundamise korral

  • sõltuvus teenusepakkuja riist- ja tarkvarast ning töötajatest

  • välisriigi jurisdiktsioonist tulenevad õiguslikud riskid

  • piiratud läbipaistvus alltöövõtjate ja andmetöötluse osas

  • andmete või tarkvara manipuleerimine ründe tagajärjel

  • teenuse ootamatu piiramine sanktsioonide või turumuutuste tõttu

​

Kõiki riske ei ole võimalik täielikult kõrvaldada; osa neist jääb ka pärast meetmete rakendamist alles.

​

Millal tuleks pilvtoote kasutuselevõttu vältida?

  • kui teenuse kvaliteet või käideldavus ei vasta vajadusele

  • kui esineb oluline julgeoleku-, avaliku korra või eraelu puutumatuse risk

  • kui seotud riske ei ole võimalik piisava kindlusega hinnata

  • kui teenusepakkuja või alltöövõtjate muudatused suurendavad vastuvõetamatut riski

  • kui lepingutingimused või tehniline toimemudel ei võimalda vajalikku kaitset

​

Pilvteenuse kasutuselevõtt eeldab riskipõhist lähenemist ning riskide hindamine peab toimuma enne teenuse kasutamist ja muudatuste korral uuesti.

bottom of page
Title