2024. aastal teavitasid ettevõtted ja asutused meid isikuandmete kaitse nõuete rikkumistest kokku 184 korral. Juhtumid tõid esile organisatsioonide turvapuudujäägid ning vajaduse täiendavate korralduslike ja tehniliste kaitsemeetmete järele. Teavitatud rikkumistest oli puudutatud ca 910000 inimest. Seda nii Eestis kui välisriikides. Võrreldes 2023 aastaga vähenes raporteeritud rikkumiste arv 7%: 197tk (2023) vs 184tk (2024). Mõnevõrra kasvas rikkumiste osakaal avalikus sektoris: 48tk ehk 24% (2023) vs 59 tk ehk 32% (2024). Erasektorit puudutanud 125-st intsidendist moodustas märkimisväärse osa ehk 37% võlaandmete avaldamine ilma õigusliku aluseta. Olukorra teeb tõsiseks see, et seda laadi juhtumite puhul on inimestele otsene kahjulik tagajärg - võivad jääda saamata finantstooted, nagu järelmaksud või väikelaenud. Sageli olid põhjuseks tehnilised ja organisatoorsed vead teabevahetuses võlausaldajate ja maksehäireregistrite vahel või töötajate eksimused. Esines ka olukordi, kus finantstooteid oli pahatahtlikult taotletud teiste inimeste nimel.
Valdavalt on rikkumised seotud töötajate tähelepanematuse, teadmatuse või lohakusega. Näiteks leiti kohvikust paberdokumendid, mis sisaldasid kinnipidamisasutuse kinnipeetavate andmeid. Vaimse tervisega tegeleva erakliiniku töötaja vaatas temaga ravisuhet mitte omava patsiendi andmeid. Sarnane näide ka ühest suurhaiglast – haigla õde vaatas isiklikul eesmärgil patsiendi haiguslugusid 13 kuu jooksul 208 korda. Nii mõnelgi korral kuritarvitasid videovalvega seotud turvatöötajad neile pandud usaldust. Isikliku telefoniga salvestati turvakaamera ekraanil olevat pilti ja edastati sotsiaalmeediasse. Ühe riigiasutuse töötaja tegi isiklikust huvist omaloodud tarkvara katsetamiseks masspäringuid kinnistusraamatusse.
Intsidente juhtub ka tulenevalt infosüsteemide ja seal kasutatavate tarkvarade tehnilistest vigadest. Näiteks perehüvitiste väljamaksed tehti inimeste vanadele arvelduskontodele. Või olukord, kus tervise infosüsteemis nägid inimesed valesid epikriise. Kindlustusettevõtte iseteeninduses nägi klient teiste isikute kahjuavaldusi. Või näide, kus viga majandustarkvara uuenduses võimaldas ettevõtte juhtidel näha kõikide töötajate isikuandmeid.
Kasvanud on küberrünnakutest põhjustatud isikuandmetega seotud rikkumised. Neist raporteeriti meile 2024 aastal 41 korral, 21% enam kui aastal 2023. Näiteks pandi rahvusvahelise meelelahutusettevõtte vastu toime lunavararünnak, mille käigus tehti kasutuskõlbmatuks personali-, finants- ja kliendihaldustarkvarad ning seal olevaid andmed tõenäoliselt ka kopeeriti. Samuti pääsesid ründajad ligi ühe Eesti e-poe failiserverile, kasutades administraatori õigusi. Rünnati ka rahvusvahelise kaubandusettevõtte andmebaasi, kasutades ära koodisüsti võimaldavat turvanõrkust.
Ohtlikult kasvab suundumus, kus rünnakutes kasutatakse üha enam kas varasematest andmeleketest hangitud või õngitsusrünnakutega inimestelt välja petetud erinevate teenuste kasutajaõigusi. See on ründajate elu teinud lihtsamaks, kuna juurdepääs organisatsioonide infosüsteemidele saadakse justkui legaalsel viisil, imiteerides konkreetset töötajat. Olgu selle kinnituseks juhtum jaemüügiga tegelevast rahvusvahelisest ettevõttest, kus ründajatel oli teada ettevõtte viie töötaja kontoritarkvara Office 365 sisselogimisandmed. Tulemus – juurdepääs ettevõtte erinevatele infosüsteemidele ja seal olevate isikuandmete varastamine. Või intsident Eesti majutusettevõttes, kus ründaja sai töötaja kasutusõigustega ligipääsu ettevõtte kliendibroneeringute süsteemile. Peale mida hakkas ründaja saatma broneeringu teinud 880 kliendile petukirju, et broneeringu kehtivuseks on vaja täiendavalt tasuda. Infosüsteemil puudus mitmetasandiline autentimiskaitse.
Üheks markantsemaks juhtumiks kujunes küberründest põhjustatud andmeleke ettevõttes Allium UPI OÜ, mis haldab Apotheka apteekide, Apotheka Beauty ja PetCity kliendikaartide lojaalsusprogramme. Lekkisid ligikaudu 700 000 isikukoodi, 400 000 e-posti aadressi, 60 000 koduaadressi, 30 000 telefoninumbrit ja klientide ostuajalugu.
Aasta jooksul esinenud rikkumised rõhutavad jätkuvat vajadust töötajate regulaarse koolitamise ja turvapoliitikate rangema järgimise järele. Kus vähegi võimalik, tuleb rakendada mitmikautentimist. Võrgu- ja infosüsteemides peavad olema toimivad ja asjakohased logimisprotsessid, automaatseire ja andmevarundus. Need aitavad kahtlaseid tegevusi varakult tuvastada ja võimalikke kahjusid minimeerida.
- Kommenteerimiseks logi sisse või registreeru