Milline on turvalisuse ahela nõrgim lüli?

21.03.2024 | 16:20

Kõige nõrgem lüli on jätkuvalt inimene, seetõttu on igas kuus juhtumeid, kus töötaja eksimusest, lohakusest või ettevõtte-asutuse töökorralduse organisatoorsest vajakajäämisest rikutakse nõudeid isikuandmete töötlemisel.

Markantsemaks näiteks toome viisi, kuidas oli lahendatud ühe transpordiga tegeleva ettevõtte siseveebi kasutus. Peatumata põhjustel, miks oli siseveeb kättesaadav avalikust internetist, oli selle sisu kaitse ainukeseks meetmeks üks ja sama kasutajanimi ja parool. Ning loomulikult oli see levinud ja leidis kasutamist ka ettevõtte töötajate tuttavate ja pereliikmete seas. Õnneks ei sisaldanud siseveeb tundlikku teavet ettevõtte töötajate kohta.

Aga on veel „huvitavaid“ näiteid isikuandmete töötlemisest ja nende nõuete rikkumisest:

  • kohviku töötajad avastasid, et sinna oli unustatud ühe kinnipidamisasutuse kinnipeetavaid puudutavad paberkandjal dokumendid.
  • vaimse tervise tuge pakkuva ettevõtte töötaja vaatas kolmel korral temaga ravisuhet mitte omava patsiendi andmeid.
  • logistikaettevõtte osakonnajuhid said personalitöötaja eksimuse tõttu avaldamisele mittekuuluvat teavet ka nende osakonnaväliste töötajate kohta.
  • majutusettevõte saatis oma klientidele uudiskirja viisil, kus kõikidele adressaatidele olid nähtavad teiste e-posti aadressid.
  • finantsettevõtte töötajale oli ekslikult antud juurdepääs ettevõtte töötajate palgamakseteks kasutatavale pangakontole.

Käesoleva aasta kahe esimese kuuga teavitasid organisatsioonid meid andmekaitselistest rikkumistest 27. korral. Jaanuaris laekus 13 ja veebruaris 14 rikkumisteadet. Nendest 7 juhul oli rikkumine seotud avaliku sektori või nende hallatavate asutustega. Aasta varem oli samal perioodil teavitatud kogu rikkumiste arv 30, millest 8 seotud avaliku sektoriga. Valdkondlikult moodustab juhtumite üldarvust enim inimeste võlaandmete avaldamine erinevates maksehäireregistrites ilma õigusliku aluseta. Reeglina on võla aluseta avaldamise perioodil tehtud inimeste kohta registrisse ka päringuid. Mis tähendab, et nii mõnelgi inimesel on seetõttu suure tõenäosusega jäänud saamata mõni finantstoode – olgu selleks siis järelmaksuga kauba ostmine või väikelaen remondiks. Põhjused on erinevaid – teabevahetuse tehnilised vead võlausaldaja ja maksehäireregistri vahel, võlausaldaja enda eksimused võlajuhtumite haldamisel. Harvad ei ole aga ka juhtumid, kus finantstoode on taotletud pahatahtlikult kellegi teise nimel. Alles uurimisasutuse sekkudes või äärmisel juhul kohtuvaidluses on esialgne võlglane osutunud hoopis kannatanuks.

Isikuandmetega seotud rikkumiste põhjuseks on ka erinevad küberründed organisatsioonide töötajate või kasutatavate infosüsteemide vastu. Selle aasta kahel esimesel kuul raporteeriti meile sellistest juhtumitest seitsmel korral, näiteks:

  • rahvusvahelise meelelahutusettevõtte vastu toime pandud lunavararünnak muutis kasutuskõlbmatuks ettevõtte personali, finants- ja kliendihaldustarkvaras olevad andmed. Ründaja kopeeris andmed ettevõtte infosüsteemist suure tõenäosusega ka endale. 
  • e-poe veebiserveri administraatori kontoandmete lekke tõttu saadi lubamatu juurdepääs failiserverile.
  • rahvusvahelise kaubandusettevõtte andmebaasi vastu suunatud koodisüsti ründe abil saadi juurdepääs klientide kontaktandmetele. Rünnakuks kasutati ettevõtte avalikku veebiteenust.
  • toitlustusteenuse töötaja e-posti konto kaaperdati ja seda hakati kasutama õngitsuskirjade saatmiseks.

Head nipid ja soovitused andmete turvaliseks töötlemiseks

  • Koolita töötajaid ja tõsta nende teadlikkust andmete turvalise töötlemise kohta regulaarselt. Miks mitte viia läbi ka mõni testõppus või kontroll, et ka teadmisi praktikas kontrollida.
  • Kui kasutad andmete jagamiseks näiteks Exceli faili, jälgi, et faili ei ole sisse jäänud varjatud väljadel andmeid, mis ei kuulu avaldamisele. Ei ole harvad juhtumid, kus faili sisse jäävad nn arvutustel kasutatud toorandmed, mida on mõne klikiga võimalik failis taasesitada. Sama põhimõte kehtib ka PowerPoint esitluste jagamisel. Kõige kindlam viis on PowerPoint enne jagamist teha .pdf failiks.
  • Tee kõikidest olulistest andmetest varukoopiad. Ühte koopiat tuleks hoida täiesti eraldiseisvalt, väljaspool põhivõrku. Kontrolli regulaarselt, et andmed on vajadusel koopiatest ka taastatavad.
  • Taga nn puhaste varukoopiate olemasolu ka olulistest tarkvaradest-rakendustest. Sageli suudab ründaja tarkvara selliselt rikkuda, et seda pole enam võimalik pahavarast puhastada. Siis aitab tarkvara uuesti laadimine puhtast versioonist.
  • Rakenda tarkvarauuendused ja turvanõrkuste paikamine kohe, kui selle kohta on info teada. Üks levinumaid andmete varastamise meetodeid on nn andmebaasisüst (SQL injection). Seda tüüpi rünnakud on valdavalt lõppenud edukalt, et andmebaasitarkvara on jäänud õigel ajal uuendamata või turvaaugud paikamata.
  • Taga infosüsteemides-rakendustes logimine tasemel, mis võimaldab vajadusel erinevate andmetöötlustoimingute uurimist. Kasuta logiserverit, mis kogub erinevate rakenduste logid kokku ja teeb need analüüsi-visualiseerimise kõlblikuks.
  • Rakenda infosüsteemides automaatset monitoorimist ja SIEM tüüpi turvalahendusi. Nii on võimalus avastada pahalaste tegevus enda infosüsteemides enne kui jõutakse teha suuremat kahju. Arvesta, et kui kahju on juba sündinud, on infosüsteemide ja andmete taastamine juba ainult mahuks käsitöö.

    Allpool on toodud rikkumisteadete arv kolme aasta (va 2024.a.), viie esimese kuu võrdluses ja teisel graafikul on näha rikkumisteadete koguarv era- ja avalikus sektoris kahe viimase aasta võrdluses.
Rikkumisteadete arv kolme aasta viie esimese kuu (va 2024.) võrdluses graafik
Rikkumisteadete arv erasektoris vs avalikus sektoris kahe aasta võrdluses graafik