Logo

Inspektsioonile esitatud rikkumisteadetest

20.06.2024 | 16:04

Märts kuni juuni 2024. a teavitasid organisatsioonid meid andmekaitsealastest rikkumistest 60 korral: märtsis 17, aprillis 19, mais 17 ja juunis 7 rikkumisteadet. Nendest 15 juhul oli rikkumine seotud avaliku sektori või nende hallatava asutustega. Aasta varem oli samal perioodil teavitatud kogu rikkumiste arv 75, millest 10 seotud avaliku sektoriga.
    • Jaga

Mõned näited rikkumistest antud perioodil

  • Bug Bounty programmi raames avastati arendusviga, mis võimaldas kolmel isikul näha piiratud arvu klientide lepingu andmeid.
  • Jätkuvalt avaldatakse õigusliku aluseta isikute maksehäireandmeid.
  • Uue lahenduse testimisel kasutati ekslikult live-keskkonda, mistõttu seoti uuringu tulemused reaalse isikuga.
  • Kasutajaõigusi kuritarvitades tehti sisevõrgu kaudu virtuaalmasinate restart, mille käigus kustutati kogu virtuaalkeskkond seal olnud andmetega. Andmed küll õnnestus varukoopiatest taastada.
  • Lisaks ei ole kadunud ka uudishimupäringud nt arstide või ametnike poolt.
  • Küberrünnak e-poe keskkonnale võimaldas ära kasutada Wordpress plugina turvanõrkust. Ründaja asendas plugina teisega, mis võimaldas lehe liikluse edasi suunata.
  • Asutuse avalikust koodirepositooriumist (Github) leiti Exceli fail isikuandmetega.
  • Lunavararünnak, kus süsteemidesse sisenemiseks kasutati töötajate MS365 kontot. Andmeid kopeeriti ka süsteemist välja.

Allium UPI OÜ andmelekke juhtumi kokkuvõte

Apteegi- ja haiglakaupadega tegelev ettevõte Allium UPI OÜ, kes on Apotheka kaubamärgi frantsiisiandja apteekidele ning Apotheka apteekide, Apteegi Beauty OÜ, PetCity OÜ klientide ühtse lojaalsusprogrammi haldaja, andmebaasist laeti ebaseaduslikult alla Apotheka kliendikaartide omanike andmeid. Kriminaalmenetlust ründajate tabamiseks viib läbi Keskkriminaalpolitsei küberkuritegude büroo ja juhib Riigiprokuratuur. Järelevalvemenetlust ja väärteomenetlust viib läbi Andmekaitse Inspektsioon tuvastamaks, kas andmetöötlejal olid rakendatud kõik asjakohased korralduslikud ja turvameetmed, mis võisid leket ära hoida.

Rikkumise uurimise tulemusel on käesolevaks hetkeks tuvastatud, et lekkinud on ligikaudu 700 000 isikukoodi, üle 400 000 e-posti aadressi, 60 000 koduaadressi ja umbes 30 000 telefoninumbrit ning klientide ostuajalugu, mis sisaldas tellitud apteegikaupade nimetusi ja üksikutel juhtumitel ka käsimüügiravimite nimetusi. Lekkinud andmed pärinevad ajavahemikust 2015. kuni 2020. aasta.

Helsingi juhtum

Viimasel perioodil laekus infot juhtumist meie põhjanaabritelt. Helsingi linnas leidis aset märkimisväärne andmekaitserikkumine, mis mõjutas kuni 120 000 inimest ja hõlmas kasutajanimede, e-posti aadresside ja isikukoodide vargust. Lastekaitse- ja haridusosakonna vastu suunatud rikkumine paljastas tundlikke andmeid kaugjuurdepääsuserveri haavatavuse tõttu. Linna vastumeetmed hõlmasid turvaparanduste rakendamist ning koostööd politsei- ja andmekaitseasutustega. Tõenäoliselt välismaalt pärit rikkumine tõi esile ebapiisavad turvameetmed ning andmete kuritarvitamise ja väljapressimise võimalikud riskid.

Väärib tähelepanu, et antud juhtumi osas oli näha väga mitme riigiasutuse efektiivset koostööd ning koostööd sõnumite seadmisel. Ka Eestis on Andmekaitse Inspektsioonil tihe koostöö teiste riiklike asutustega (nt PPA ja RIA), mis tagab selle, et suuremate isikuandmete rikkumiste puhul saaks ühelt poolt operatiivselt infot jagada ja teisalt tuua avalikkuseni oluline informatsioon.

Mõttevälgatused tehisintellektist

Tehisintellekti (AI) kasutamine asutustes ja ettevõtetes võib tuua palju kasu, näiteks tõsta efektiivsust, parandada klienditeenindust ja aidata langetada paremaid otsuseid. AI süsteemid saavad töödelda suurt hulka andmeid kiiresti ja täpselt, võimaldades organisatsioonidel saada uusi teadmisi ja muuta oma tegevusi efektiivsemaks. Samas on äärmiselt oluline pöörata tähelepanu isikuandmete töötlemisele, et kaitsta inimeste privaatsust ja tagada andmete turvalisus, vältides võimalikke rikkumisi ja usalduse kaotust.

Isikuandmete töötlemisel AI abil on oluline järgida mitmeid põhimõtteid

Esiteks, andmeid tuleks koguda ja töödelda ainult selgelt määratletud ja põhjendatud eesmärkidel.

Teiseks, tuleb hoolikalt hinnata, millist sisendit AI-le antakse, pöörates erilist tähelepanu sellele, kas tegemist on isikuandmete, asutusesiseseks kasutamiseks mõeldud teabe või ärisaladusega.

AI kasutamine peab olema põhjalikult läbimõeldud protsess, et tagada privaatsus ja andmete turvalisus. Samuti on tähtis tagada, et andmete kogumine ja töötlemine toimuks läbipaistvalt, teavitades inimesi sellest, kuidas nende andmeid kasutatakse ja võimaldades neil vajadusel oma andmeid vaadata ja parandada. Sel viisil saavad asutused ja ettevõtted kasutada AI-d vastutustundlikult ja usaldusväärselt.

Cambridge Analytica skandaal, mis jõudis avalikkuseni 2018. aastal, on üks märkimisväärsemaid näiteid isikuandmete väärkasutamisest tehisintellekti abil. Ettevõte kogus miljonite Facebooki kasutajate andmeid ilma nende selgesõnalise nõusolekuta ning kasutas neid andmeid poliitiliste kampaaniate, sealhulgas 2016. aasta USA presidendivalimiste ja Brexiti-referendumi mikroturundamiseks ja mõjutamiseks. See juhtum rõhutas kriitilist vajadust range isikuandmete kaitse, teadliku nõusoleku ja tehisintellekti süsteemide eetilise kasutamise järele.

Samuti töötas Clearview AI välja näotuvastustehnoloogia, mille abil saadi miljardeid pilte internetist ja sotsiaalmeediaplatvormidelt ilma isikute nõusolekuta. Seda tehnoloogiat müüdi politsei- ja õiguskaitseasutustele, mis põhjustas laialdast kriitikat ja arvukaid kohtuasju. Peamised mureküsimused puudutasid eraelu puutumatuse rikkumist ning üksikisikute õiguste väärkasutamise ja jälgimise potentsiaali. Antud juhtum rõhutas tungivat vajadust tugevate eraelu puutumatuse kaitsemeetmete ja tehisintellekti tehnoloogia vastutustundliku kasutamise järele, et vältida kuritarvitusi ja kaitsta kodanikuvabadusi.

Head nipid ja soovitused andmete turvaliseks töötlemiseks

  • Soovitame vaadata üle andmete varundamise ja taasteprotseduuridega seonduv reeglistik:
    • Varukoopiad peavad olema krüpteeritud ja ligipääsetavad ainult volitatud isikutele, kasutades tugevaid autentimismeetodeid, nagu mitmefaktoriline autentimine.
    • Varukoopiate taastamisvõimekust tuleb regulaarselt testida ning säilitamispoliitikat hallata, tagades, et koopiad vaadatakse üle ja uuendatakse vastavalt tehnoloogia või turvanõuete muutumisele.
  • Võimalda töötajatel juurdepääs sellistele andmetele, mis on vajalikud ainult tööalaselt. Nii maandad võimalust eksimusteks andmetöötlusel ja teabe jagamiseks selleks mitte õigust omavatele isikutele.
  • Korralda töötajatele koolitusi andmekaitseintsidentide tuvastamise ja teavitamise kohta, rõhutades, et rikkumine võib hõlmata mitte ainult konfidentsiaalsuse kadu, vaid ka andmete hävitamist, kaotsiminekut ja muutmist. Nii võivad ka olla ajutised häired teenuse töös käsitletavad intsidendina.
  • Teosta regulaarselt andmekaitse auditeid ja riskianalüüse, et tuvastada võimalikke nõrkusi ja parandada turvameetmeid. Lisaks kasuta pidevat jälgimist ja logimist, et avastada ja reageerida kiiresti igasugustele kahtlastele tegevustele või turvaintsidentidele. Head märksõnad siin on EDR, IDS/IPS, SOAR ja SIEM.
Graafika rikkumisteadetest märts-juuni 2024