Sa oled siin

2019 tõi enam kui sada teavitust andmekaitselisest rikkumisest

07.01.2020
pastapliiats
Rikkumisteate esitamise kohustus tuleb 25.05.2018 kehtima hakanud üleeuroopalisest isikuandmete kaitse üldmäärusest

Inimeste privaatsus oli aastal 2019 AKI-le edastatud rikkumisteadete järgi ohus 115 korral, kuna aasta jooksul registreeris inspektsioon selles arvus intsidente, mille põhjuseks oli enamasti kas andmetöötleja hooletus või vähene teadlikkus ning mis neljal korral põhjustasid ka töötaja vallandamise.

2019. aastal registreeris Andmekaitse Inspektsioon intsidente nii riigi- ja omavalitsusasutustes, tervishoiu,- finants,- transpordi,- side - kui haridusteenusteste valdkonnas ning suur osa intsidentidest juhtus veebiteenuste osutamisel.

„Kui võrrelda juhtumiste rohkust avaliku ja erasektori teenuste osutajate poolt, siis oli see üldplaanis võrdne,“ kõneles tehnoloogiadirektor Urmo Parm.

Tehnoloogiadirektor meenutab, et sageli on olnud eksimise põhjus aegunud või turvamata tarkvara kõrval just töötaja tähelepanematus või puudulik teadlikkus. „Ilmekaks näiteks on siinkohal finantsasutuse aegunud võlaandmete avaldamine,“ nendib Parm ja lisab, et kui rikkumisi üldistada, siis võibki need jagada kahte kategooriasse. „ Esimene kategooria on tehnoloogiast tingitud intsidendid ning teine ongi inimtegevus, olgu siis kas üksikeksimus või lohakus mille tagajärjel võib sündida kahju paljudele teistele inimestele.“ 

„Paljud eksimused tulevad hooletusest ja teadmatusest. Näiteks õngituskirja avamine on üks nendest,“ viitas tehnoloogiadirektor, kes lisas, et innovaatilise e-riigina peaksid tegelikult juba kõik andmetöötlejad suutma rakendada elementaarseid turvatehnoloogiad, mis hoiavad ära õngitsuskirjad. Selliseks on näiteks DMARC protokoll. E- kirjade turvalist edastamist võimaldab aga STARTTLS krüpteerimismeetod.

„Möödunud aastasse jäävad ka sellised juhtumid, kus töötaja eksimuse tõttu andmekaitsereeglite vastu otsustab ettevõte ta vallandada,“ kõneleb Urmo Parm, kes ei võta hindamiseks, kas selline meede on äärmuslik või mitte, kuid kindlasti toetab koolituste korraldamist. Äärmuslikku meedet rakendati näiteks ettevõttes töötajate suhtes, kes vaatasid aluseta teise inimese andmeid infosüsteemist. Samuti lõpetati tööleping töötajaga, kes lubas turvasalvestistele ligi kolmandaid isikuid.

Tehnoloogiadirektor Urmo Parmu sõnul on rikkumisest teatajate arv võrreldes 2018. aastaga suurenenud, nagu on kasvanud ka rikkumisteadete koguarv, kuid arvestades ainuüksi AKI-le edastatavaid märgukirju võib järeldada, et kõik vastutavad andmetöötlejad toimunud intsidentidest veel ei teavita ning inimeste andmetega juhtub ilmselt rohkem, kui on teada.

 „Üldine teadlikkus andmekaitsest ei ole kahjuks veel kindlasti jõudnud tasemele, kus võiksime igas olukorras teenusesaajatena end alati turvaliselt tunda," nendib Urmo Parm lisades, et tasapisi läheb olukord siiski paremaks. Selliseid juhtumeid, kus inspektsiooni on teavitatud intsidentidest, kus töötaja avaldab valele adressaadile näiteks e-postiga kellegi tundlikud andmed, ei saa kunagi lõpuni ära hoida, sest ikka võib segi minna. Kui aga valed inimesed saavad infosüsteemi puuduliku seadistuse tõttu ligipääsu suure hulga klientide tundlikule eraelulisele infole või kasutajakonto andmetele, siis sellist asja saab küll koolitustega ära hoida. Samuti saab ära hoida lekkeid dokumendiregistritest, kus ka möödunud aastal avastati mitme riigiasutuse dokumendiregistritest avalikke piiratud juurdepääsuga dokumente. 

Rikkumisteadete esitamise kohustus tuleb 2018. aasta 25. maist kehtima hakanud isikuandmete kaitse üldmäärusest. Üleeuroopalise õigusakti kohaselt peab vastutav andmetöötleja inimese privaatsust ohustavatest või võimalikku privaatsusriivet sisaldavatest intsidentidest järelevalveasutust teavitama. Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. Kui juhtum põhjustas või võib tõenäoliselt põhjustada inimestele kahju, tuleb sellest 72 tunni jooksul inspektsioonile teatada.

Põhjused, miks andmetöötluses intsidendid juhtuvad?


• Inimlik eksimus
• Teadmatus
• Hoolimatus (nt uudishimupäringud)
• Uuendamata tarkvara
• Vigased versiooniuuendused
• Ründed infosüsteemidele
• Õngitsuskirjad
• Testimine pärisandmetega
• Samuti on liiga vähene töötajate oskus mitte minna kaasa õngitsuskirjadega.