Andmekaitse Inspektsiooni logo

Rikkumisteadete kasvutrend püsib ka teises kvartalis

27.06.2025 | 10:48

2025. aasta teises kvartalis teavitasid organisatsioonid meid andmekaitselistest rikkumistest 52 korral. Aprillikuus 12 korral, maikuus 20 korral ja juunikuus 20 korral. Võrreldes 2024. aasta sama perioodiga on kasv 18%. Nendest 25 juhul oli rikkumine seotud avaliku sektori või nende hallatava asutusega.

Milliseid rikkumisi ette tuli?

  •  Riigiasutuse infosüsteemi arendamisprotsessis oli sisse lastud funktsionaalne viga, mis võimaldas infosüsteemi kasutavatel osapooltel näha rohkem isikuandmeid kui vajalik. 
     

  • Aastatetaguse omavalitsusreformi järgselt olid jäänud liidetud valdade dokumendiregistrid tähelepanuta. See viis olukorrani, kus registris kunagi märgitud piiranguga dokumentide säilitustähtajad lõppesid ning jätkuvalt tundlik teave sai automaatselt avalikuks. 

  • Isik, olles mitme ettevõtte juhatuse liige, kasutas ühe ettevõtte klientide andmeid oma teise ettevõtte turundustegevuses. 

  • Riigiasutuse äriühingust volitatud töötleja töötaja kasutas asutusele e-kirjaga tundliku teabe edastamiseks isiklikku e-posti teenust, ilma kirjas olevaid manuseid krüpteerimata. 

  • Õppeasutuse kodulehel oli avaldatud Exceli fail, mis sisaldas peidetud lehti isikuandmetega. 

  • Tervishoiuasutuses ei kontrollitud patsiendi isikusamasust. Selle tulemusel vormistati epikriis ja digiretsept sama nimelise, kuid vale isiku nimele. 

  • Transpordiettevõtte iseteeninduskiosk kuvas peale broneeringu numbri ja turvakoodi sisestamist teise inimese broneeringuandmeid. 

Soovitused andmekaitseliste rikkumiste ennetamiseks 

  1. Regulaarsed koolitused. Korraldage regulaarselt koolitusi, et tõsta töötajate teadlikkust andmekaitse põhimõtetest ja parimatest praktikatest. Erilist tähelepanu tuleks pöörata inimlikele eksimustele ja hooletusele, mis on andmekaitseliste rikkumiste levinumad põhjused. 

  1. Tehniliste süsteemide täiustamine. Kontrollige ja täiustage pidevalt oma infosüsteeme, et vältida tehniliste vigade tekkimist. Kasutage uusimaid tehnoloogiaid ja turvalahendusi, et kaitsta isikuandmeid küberrünnete eest. 

  1. Isikuandmete juurdepääsu piiramine. Kehtestage rangemad juurdepääsupiirangud tundlikele isikuandmetele. Ainult volitatud isikutel peaks olema juurdepääs sellistele andmetele ning kõik juurdepääsud peaksid olema logitud ja auditeeritavad. 

  1. Andmete krüpteerimine. Tagage, et kõik tundlikud isikuandmed on krüpteeritud nii andmeedastuse kui ka andmete säilitamise ajal. See ennetab andmete sattumist valedesse kätesse isegi juhul, kui teavet saadetakse e-posti teel  

  1. Andmete regulaarne ülevaatus. Tehke regulaarselt ülevaatusi, et veenduda kõikide dokumentide ja registrite ajakohasuses ning säilitustähtaegades. Eriti oluline on jälgida, et kunagi märgitud piiranguga dokumentide säilitustähtajad ei lõppeks märkamatult. 

  1. Isikusamasuse kontroll. Kehtestage standardprotseduurid isikusamasuse kontrollimiseks, et ennetada vale isikuandmete kasutamist. See on eriti oluline tervishoiuasutustes, kus eksimustel võivad olla tõsised tagajärjed. 

  1. Testimis- ja arendusprotseduurid. Kasutage testimis- ja arendusprotseduuride käigus ainult pseudoandmeid, et ennetada juhuslikku tundlikele andmetele juurdepääsu ja avalikustamist. 

Huvitavat lugemist

Andmekaitse Inspektsioon avaldas uued andmeturbe soovitused e-poodidele | Andmekaitse Inspektsioon 

Rahvusvahelise andmekaitse töörühma kaks uut töödokumenti: neurotehnoloogiad ja keelemudelid | Andmekaitse Inspektsioon 

Hollandi andmekaitseameti raport: 2/3 lunavararünnaku ohvritest olid ebapiisavalt kaitstud 

Hollandi andmekaitseamet (Autoriteit Persoonsgegevens, AP) avaldas 2024. aasta oktoobris raporti, millest selgub, et kahel kolmest lunavararünnaku ohvriks langenud organisatsioonist oli puudulik baasinfoturve. 

Peamised puudujäägid

  • Mitmeastmelise autentimise (MFA) puudumine: 52% juhtudest ei olnud MFA rakendatud ega nõutud. Tegelik osakaal võib olla veelgi suurem. 

  • Nõrk paroolipoliitika: 15 organisatsiooni kasutas samu paroole kõigi administraatorikontode jaoks, mis võimaldas ründajatel hõlpsasti süsteemidesse tungida. 

  • Aeglased tarkvarauuendused: 8 organisatsiooni ei olnud paiganud teadaolevaid turvanõrkusi (CVE-sid) isegi kuu või kauem pärast nende avalikustamist. 

  • Võrgu segmentatsiooni puudumine: 12 juhtumil puudus piisav võrgusegmentatsioon, mis oleks võimaldanud rünnaku levikut piirata ja varukoopiaid kaitsta. 

Uus trend: topeltväljapressimine 

Umbes pooltel juhtudel (44/90) ei piirdunud ründajad ainult andmete krüpteerimisega, vaid varastasid ka isikuandmeid. See suurendab riski, et andmed satuvad tumeveebi müügile või avalikustamisele, mis omakorda tõstab identiteedivarguse ja sihitud petuskeemide ohtu. 

Viimaste, ka Eestis sagenenud lunavararünnakute valguses on oluline järgida järgmisi soovitusi: 

  • Rakenda mitmeastmeline autentimine (MFA) 

  • Kehtesta tugev paroolipoliitika 

  • Paika teadaolevad turvapaigad (CVE-d) viivitamata 

  • Taga võrgu segmentatsioon, et piirata rünnaku ulatust ja kaitsta varukoopiaid 

2025. aasta teise kvartali rikkumisteated
Menetlusuudis Uudis