Sa oled siin

Suurim andmekaitselise rikkumise põhjus on töötajate hooletus

08.02.2021

Andmekaitse Inspektsioon sai 2020. aastal 138 rikkumisteadet, mida oli aasta varasema ajaga võrreldes 20% rohkem. Kõige enam sisaldasid teated infot inimeste tähelepanematusest, lohakusest, teadmatusest põhjustatud eksimustest, kuid teavitati ka tarkvaravigadest põhjustatud rikkumistest ja kavatsetud pahatahtlikest tegevusest kliendiandmebaasidega ning paraku ka jätkuvalt õngitsuskirjadest ja lunavararünnetest.

Veerand kõikidest inspektsioonile tehtud rikkumisteadetest olid seotud õngituskirjade või lubavaranõuete tagajärgedega.“ Õngituskirjade rünnetest anti kõige rohkem teada erasektorist,“ resümeeris tehnoloogianõunik Urmo Parm. Lunavararünnetest teatasid nii avaliku kui erasektori andmetöötlejad. 138-st rikkumisest 54 ehk 39% puudutas avalikku sektorit.

Tarkvaravea või rikke tõttu sai AKI möödunud aastal rikkumisteateid ligikaudu paarikümnel korral. Näiteks registreeriti rikkumisena selline juhtum, kui inimesed said e-postidele teenuseosutaja otsuse, mis tegelikult oli kellelegi teisele mõeldud. Juhtus see aga selle tõttu, et automaatotsuse süsteemi tekkis info sisestamisega viga ja otsus saadeti seetõttu välja sadadele e-posti aadressidele, mis olid valed. See viga avastati ise ja rikkumine lõpetati kiiresti ilma inspektsiooni sekkumiseta. 

Inspektsiooni teavitati ka sellistest juhtumitest, kus tehniliste probleemide tõttu nähti teise inimese andmeid. Selliseid olukordi tuli ette nii avalikus kui erasektoris. Samuti registreeris AKI juhtumeid, kus põhjuseks oli nõrk või aegunud turvalahendus. Näiteks oli võimalik kolleegi parooli teades pääseda infosüsteemi ilma, et jääks jälg maha reaalsest andmete vaatajast. Ühel juhul pääses pahalane ligi haridusasutuse infosüsteemi, kuna rakendamata oli VPN ühendus.

Lahkuti kliendiandmebaasidega

Kõige arvukamalt anti teada juhtumitest, mis oleks võinud ära jääda, kui töötaja oleks tähelepanelikum ja hoolikam. Selliseid intsidente oli üle poole kõikidest rikkumisteadetest. Kahetsusväärselt palju juhtus inimlikke vigu avalikus sektoris ja seda veebiteenuste või dokumendiregistritega, kus jäetakse tundlikku sisu sisaldav dokument avalikuks või kättesaadavaks inimestele, kellele ei oleks tohtinud info olla kättesaadav.

Varasematest aastatest rohkematel kordadel teavitati möödunud aastal kliendiandmebaasi vargustest. Kõiki juhtumeid ühendas seik, et kliendiandmebaasid kopeeriti infosüsteemist kaasa uue töökoha jaoks. Kas mindi teise tööandja juurde või alustati ise samalaadse teenuse osutamist.

Rikkumisteate esitamine näitab vastutustundlikkust

Valdkonnapõhiselt juhtus kõige sagedamini intsidente tervishoius, sotsiaalvaldkonnas ning finantssektoris. Kindlasti ei anna see üldistus teada kõige probleemsematest andmetöötlejatest. Pigem kõneleb see vastutustundlikust käitumisest ja suuremast teadlikkusest. Andmekaitselise rikkumise registreerimine ja teatud juhtudel inspektsiooni teavitamine on iga andmetöötleja kohus, kui tagajärjeks on tõenäoline oht inimese õigustele ja vabadustele. Info tuleb anda inspektsioonile 72 tunni jooksul peale intsidendi toimumist. Suure ohu korral peab andmetöötleja teavitama ka puudutatud inimesi.

Inspektsioon algatas järelevalvemenetluse registreeritud rikkumisteadete peale ligikaudu ühel kolmandikul juhtumitest, et selgitada välja asjaolud ning ära hoida samalaadseid intsidente tulevikus.