Juunis, juulis ja augustis teavitasid organisatsioonid meid andmekaitselistest rikkumistest kokku 42 korral: juunis 8, juulis 16 ja augustis 18 rikkumisteadet. Nendest 19 juhul oli rikkumine seotud avaliku sektori või nende hallatava asutusega. Aasta varem oli samal perioodil teavitatud kogu rikkumiste arv 32, millest 11 seotud avaliku sektoriga.Võrreldes 2023. aastaga, kui kogu rikkumiste arv oli 197, on selle aasta 8 kuuga meile laekunud juba 122 rikkumisteadet.
Rikkumiste üldpildis on kasvanud küberünnete tagajärjel põhjustatud rikkumised. Kuigi 2023. ja 2024. aasta juunis, juulis ja augustis andsid küberründed põhjuse andmetöötlejatel teavitusi mõlemal perioodil esitada 9 korral, siis võrdluses 2023. aastaga, mil küberünnetest tingitud rikkumiste koguarv oli 34, on juba selle aastal meid teavitanud 32 korral.
Mõned näited rikkumistest antud perioodil:
- Ründaja sai juurdepääsu hotelli kliendibroneeringute süsteemi. Ründaja hakkas broneeringu teinud klientidele saatma õngitsuskirju, et broneeringu kehtimiseks on vajalik maksta lisatasu. Rünne teostati, kasutades ühe töötaja kasutajaõiguseid. Süsteemil puudus mitmetasandiline autentimiskaitse (MFA).
- Riigiasutuse töötaja saatis isiklikule mail.ee e-posti aadressile tööalaseid tundlikke dokumente.
- Pakiautomaadi tarkvara hoolduse käigus tekkis viga, mille tulemusena genereeriti saadetistele valed PIN-koodid. Inimesed said automaadist teistele mõeldud saadetisi.
- Rahvusvahelise keeleõppe keskkonna AWS serverist varastati ligikaudu 35GB ulatuses klientidega seotud teavet.
- Riigiasutuse töötaja katsetas isiklikust huvist omaloodud scripti andmekogust masspäringuga andmete küsimiseks.
- Kõnekeskuse kahe endise töötaja kasutajaõigustega siseneti rahvusvahelise autorenditeenust pakkuva kliendi andmebaasi ja kopeeriti ligikaudu 190 000 inimese andmed. Põhjus – endiste töötajate kontod jäid õigel ajal sulgemata.
- Poeketile turvateenust pakkuva ettevõtte turvatöötaja pildistas valvekaamerate ekraanilt kahe isiku poes olemist ning jagas pilti suhtlusrakenduses koos halvustava kommentaariga.
Juhime tähelepanu, et seoses infosüsteemide vastu toimuvate küberrünnakutega on viimase aja suundumus, et ründajad ei pea kasutama erilisi ründemeetodeid, vaid juurdepääs saadakse nn legaalsete kasutajaõigustega. See tähendab, et süsteeme ei „häkita“, vaid süsteemidesse logitakse kehtivate õigustega. Kasutusõigused hangitakse kas varasematest leketest või töötajate suunal õngitsuskirju saates. Seetõttu on ülimalt oluline, et tundlikke ja kriitiliste infosüsteemide kaitsmiseks ei kasutataks ainult kasutajanime ja parooli, vaid kus vähegi võimalik ka mitmetasandilist autentimist.
Samuti tuleb arvestada, et kui ründaja on infosüsteemides juba sees, siis tema tegutsemisel põhjustatud tagajärgede ja kahjude likvideerimine on paljuski ainult käsitöö. Odavam on infosüsteemides ja võrguseadmetes rakendada erinevaid automaatseire lahendusi, mis aitavad kahtlaseid tegevusi tuvastada ja kiirelt reageerida.
Teavitamiskohustus rikkumiste korral
Oluline on pöörata tähelepanu teavitamiskohustusele seoses küberintsidentide arvu suurenemisega. Organisatsioonid peavad teavitama andmekaitseasutust 72 tunni jooksul andmekaitserikkumisest. Andmekaitserikkumine ei mõjuta mitte ainult isikuandmete konfidentsiaalsust, vaid ka nende kättesaadavust või terviklust. Näiteks kui küberrünnak rikub või kustutab ettevõtte kliendiandmebaasi, muutes selle kättesaamatuks või muutes teavet, tuleb rikkumisest teatada. See teatamiskohustus kehtib alati, kui rikkumine kujutab endast ohtu üksikisikute õigustele ja vabadustele. Teatises tuleks üksikasjalikult kirjeldada rikkumise olemust, mõjutatud andmesubjekte, võimalikke tagajärgi ja probleemi lahendamiseks võetud meetmeid. Kui teavitamine viibib, peab see olema põhjendatud.
Käesoleval aastal läbiviidud auditist
Andmetöötlusega seotud rikkumised saavad üldjuhul alguse mitte piisavast kodutööst. Et siinjuures ettevõtetele abiks olla, viisime selle aasta esimesel poolel läbi omaalgatuslikud andmekaitseauditid neljas Eesti hambaravikliinikus.