„Infoturbespetsialisti töö on jälgida logisid, otsida neist anomaaliaid, teha auditeid, nõustada ja koolitada kasutajaid, jälgida turvameetmeid uute lahenduste väljatöötamisel ning rakendada nõutud standardeid,“ selgitab Registrite ja Infosüsteemide Keskuse (RIK) sisekontrolli ja infoturbe osakonna juhataja Martti Allingu.


Infoturve tähendab asutusele usaldatud informatsiooni ja andmete kaitsmist. Aastate jooksul on selle tagamiseks välja kujunenud rohkelt standardeid ja reegleid. Teisalt liigume jällegi andmete võimalikult kiire ja kasutajale mugava edastamise suunas. Siin tulebki mängu infoturbespetsialist, kes peab hindama selle tegevuse turvalisust. „Ei saa päris nii, et viime kõik maksimaalse mugavustasemeni, sest mingil hetkel lähevad riskid liiga suureks,” toonitab Martti. „Eks see ongi balansseerimine kasutajamugavuse ja turvalisuse vahel.”

Martti töö on väga vastutusrikas, sest RIK turvab kohtute, vanglate ja prokuratuuri andmeid. Siin on ka Eesti kohtuekspertiisi instituudi, patendiameti ja kinnistusraamatu andmed. Lisaks osutab RIK teenuseid ka teistele riigiasutustele: riigikantseleile, riigikogu kantseleile ja kultuuriministeeriumile.



Oma ametis sisekontrolli ja infoturbe osakonna juhatajana peab Martti tähtsaimaks võimet näha tervikpilti ja oskust inimestega suhelda. Samas on infoturbe valdkonnas väga palju spetsialiseerumise võimalusi ning osa neist eeldab hoopis teistsuguseid omadusi. Näiteks spetsialist, kes testib süsteeme või jälgib logisid, peab tervikpildi nägemise asemel olema hoopis väga hea detailide märkamise oskusega.

„Huvitav ongi see, et sa ei spetsialiseeru otseselt kuhugi, sa ei ole otseselt mingi kitsa valdkonna spetsialist, aga peab väga palju teadma ja väga palju inimestega suhtlema,“ räägib Martti. Tema sõnul on infotehnoloogia valdkonnas vähe ametikohti, mis hõlmaksid nii palju erinevaid alasid. Selleks, et saada infoturbespetsialistiks, peab olema IT-taust, haridus ja teadmised. Infoturbeharidus on Eestis suhteliselt uus asi. Martti sõnul ei saa teha infoturvet, kui ei saada aru, mida administraator oma arvutis teeb või mida programmeerija kirjutab. „Kui sa aru ei saa ja lased omale kärbseid pähe ajada, siis sind ei võeta tõsiselt,” kinnitab ta. „Nii palju peab teemat ikka valdama.”

Huvi tehnoloogia vastu tekkis Marttil juba Tallinna 21. keskkoolis arvutiringis. Paar korda nädalas koos käinud hobiringist sai Martti esimesed programmeerimisteadmised. Nende arvutitega muud ei saanudki teha, sest need oli tekstipõhised, ilma graafikata. Sel ajal ei olnud veel koolis PCsid, vaid üks arvuti terve saali peale. Hiljem tulid ka PCd, mida näidati kaugelt noortele poistele, kes ITd õppima läksid. Ülikooli läks ta aga õppima hoopis süsteemiteooriat, sest tol ajal infoturbeeriala ei eksisteerinud. Lõputöö kirjutas ta juba turvasuunitlusega tehnoloogia teemal, mis innustas ka edasisi karjäärivalikuid. Nii saigi Martti esimeseks töökohaks Ühispank, kus ta tegeles teise astme kasutajatoega. Sellest sai hüppelaud ametikohtadele maksuametis, hilisemas maksu-ja tolliametis, piirivalves ja justiitsministeeriumis.



Infoturbespetsialist magab öösel rahulikult

Martti sõnul suhtuvad eestlased andmekaitsesse üsna mõistvalt. „Kasutajad usaldavad riiki ja andmekaitset,“ kinnitab ta. Seda tõestab ka suur ID-kaardi kasutajate hulk, e-hääletamised ja rohked e-teenused, mis on head näited balansseerimisest andmete turvalisuse ja kasutajamugavuse vahel. „Paljudes riikides on need valdkonnad ikkagi vähem digitaliseeritud ja infoturve keskendub pigem paberimajanduse kaitsmisele,“ sõnab ta. Eesti on infoturbe osas Euroopas esirinnas ja õppimas käiakse rohkem meilt, kui vastupidi.

Kuigi Martti hoiab öösel telefoni igaks juhuks alati sees, siis töö unerahu häirima ei kipu. Probleemide avastamine ja lahendamine käib tema sõnul ameti juurde. Kui mõni probleem tekib, siis on infoturbespetsialisti ülesanne neid intsidente uurida ja tagamaad välja selgitada.

Süsteemide testimine on samuti osa infoturbe igapäevast. Probleemide avastamist harjutatakse häkkerit mängides. „Võtame ühe oma süsteemi ette ja püüame sinna sisse murda,“ täpsustab Martti. Hoolimata pidevast testimisest, võib ikkagi juhtuda, et mingid anomaaliad jäävad süsteemis märkamata. Seetõttu on Martti sõnul oluline meeskonnatöö ja et kõik vastutaksid oma valdkonnas infoturbe eest – infoturbejuht üksi ei tee midagi ära.



Palju teadmisi võrdub palju võimalusi

Martti sõnul infoturbejuhiks otse koolipingist ei saa, küll aga saab teha esimese sammu sellel teel ja asuda tööle infoturbeosakonnas. „Ma võtan sageli enda osakonda tööle ka noori, kes on koolist tulnud ja hakkavad siis pisitasa harjutama,“ julgustab Martti. Ülesannetest puudu ei tule: „Logide jälgimine, anomaaliate otsimine sealt, intsidentide dokumenteerimine ja kirjeldamine. Igasuguste raportite kirjutamine ja auditite tegemine. Ja sealt edasi juba häkkimise juurde, et ta saab ise proovida sisse murda.“

Infoturbespetsialistina töötamiseks on Eestis palju võimalusi nii avalikus kui ka erasektoris. „Näiteks pankades või siis Eesti Energias, kus on ka väga suured ja tähtsad süsteemid või sideettevõtetes,“ loetleb Martti.
Infoturbespetsialisti amet annab ka hea aluse töötamiseks teistel infotehnoloogia ametikohtadel. „Mina näiteks olingi vahepeal IT-juht piirivalves ja infoturbejuhi kogemustest oli selle juures palju kasu.“