Госконтроль: две крупные государственные базы данных небезопасны

Аудит выявил, что в случае с этим двумя системами у Министерства социальных дел отсутствует даже право на осуществление надзора за соблюдением правил безопасности местными самоуправлениями и другими организациями.

Также выяснилось, что в трех из четырех проверенных учреждений не проводилось регулярной проверки и модернизации руководств по информационной безопасности.

Системе e-tervis присвоен высший класс безопасности. Это означает, что в нее нельзя входить при помощи только одного вида аутентификации. В Эстонии советуют использовать для этого ИД-карту или Mobiil-ID, где используется два фактора: карта плюс ПИН-код. Тем не менее, аудит показал, что к данным системы семейные врачи могли получить доступ и при помощи только логина и пароля, что создает возможности для несанкционированного доступа к данным.

Кроме того, было отмечено отсутствие документации относительно тестирования возможностей восстановления системы.

Также госконтроль обратил внимание на необходимость облегчения процесса надзора за обработкой данных и добавления возможности отображения не только того, кто и когда смотрел данные, но и с какой целью. В случае со STAR подобные ревизии должны проводится как минимум ежемесячно, но госконтролю не удалось получить доказательства, что это делалось.