Viisime 2025. aasta maikuust kuni septembrini läbi seire mobiilsideteenuse osutajate ja nende kaudu SMS-vahendusteenust pakkuvate andmetöötlejate vahel. Seire eesmärk oli välja selgitada andmetöötluses osalejate rollid, andmete liikumise ahel ja kasutatavad turvameetmed.
Seire tulemusel selgus, et SMS-vahendusteenuse puhul käsitletakse agregaatorite rolli sageli ekslikult iseseisvate vastutavate töötlejatena, kuigi tegelikkuses tegutsevad nad pigem volitatud töötlejatena kliendi juhiste alusel. Samuti tuvastasime, et turvameetmete tase erineb osapoolte vahel ning on valdavalt reaktiivne – tihtipeale ennetav kontroll puudub. See võib aga isikuandmete turvalisuse tagamise ohtu seada.
SMS-vahendusteenus võimaldab kliendil (ettevõttel või eraisikul) saata mass-sõnumeid lõppkliendi seadmesse. Selleks kasutatakse vahendusteenuse pakkujat ehk agregaatorit, kes edastab sõnumid vastavatele mobiilsideoperaatoritele, kes tagavad omakorda nende kohaletoimetamise.
Seire esimeses etapis esitasime järelepärimise Eesti mobiilsideoperaatoritele (Telia, Elisa, Tele2) ja teises etapis Eestis tegutsevatele SMS-vahendusteenuse pakkujatele (Messente, ESTERIA, Top Connect). Vastuste põhjal saime teha järgnevad järeldused.
Kuidas on üles ehitatud andmetöötluse ahel?
Andmevahetuse ahela skeem kujutab andmevoogu klientide ja lõppklientide seadmete vahel. Kliendid (eraisikud või juriidilised isikud) algatavad teenuse agregaatoriga teatud sõnumi gateway ehk lüüsi (XML API¹ vms lahenduse) kaudu. Agregaator omakorda edastab andmed lõppkliendi telefoninumbri alusel vastavale mobiilsideteenustele SMPP² või REST API³ kaudu. Mobiilsideteenused suunavad seejärel info lõppklientide seadmetesse.
Andmetöötlejate rolliselgus
Kogutud vastuste põhjal märkasime trendi, kus agregaatoreid peeti iseseisvaks vastutavaks töötlejaks. Selline käsitlus ei ole meie hinnangul kooskõlas isikuandmete kaitse üldmääruse (IKÜM) loogikaga ega Euroopa Andmekaitsenõukogu juhistega (Guidelines 07/2020).
SMS-vahendusteenuse puhul edastab klient (ettevõte või eraisik), kes soovib sõnumit saata, agregaatorile isikuandmeid: saaja info ning sõnumi sisu (sh võivad selle taotluse korral teatavaks saada ka teised isikuandmed). Agregaator edastab need andmed omakorda mobiilioperaatorile, kes tagab sõnumi kohaletoimetamise. Kuigi operaator ei pruugi sõnumi sisu näha, töötleb ka tema saaja isikuandmed IKÜM-i artikli 4 lõike 1 ja 1 tähenduses.
Andmetöötlus toimub algse taotluse esitanud kliendi nimel ja eesmärgil – klient algatab sõnumi saatmise, valib sihtrühma ning määrab sõnumi sisu. Agregaator tegutseb seejuures kliendi nimel ja juhiste alusel, mistõttu on ta volitatud andmetöötleja IKÜM-i artikli 4 lõike 8 ja artikli 28 tähenduses.
Samas saame nõustuda sellega, et mobiilioperaator võib olla SMS-vahendusteenuse puhul iseseisev vastutav töötleja, kes pakub sideteenust elektroonilise side seaduse alusel. Tema kohustused andmete töötlemisel ja säilitamisel tulenevad pigem seadusest, mistõttu on ta ka nende andmete iseseisev vastutav töötleja.
Andmetöötluse ahela puhul võib vale rollimääratlus vähendada läbipaistvust ja raskendada oma õiguste tagamist andmesubjekti ehk lõppkliendi jaoks ning samuti võib kaasa tuua vastutuse hajumise eri osapoolte jaoks nt pettuste ennetamisel ning nende käsitlemisel. Seejuures on ääretult oluline, et kõigil osapooltel oleks selge nende roll andmetöötluses ja sellest tulenevad kohustused.
Reaktiivne lähenemine turvalisusele
Mobiilsideteenuse osutajad ja SMS-vahendusteenuse pakkujad on meie hinnangul küll kasutusele võtnud eri tehnilisi ja korralduslikke turvameetmeid (nt krüpteerimine, logimine, turbeauditid), kuid tuvastasime, et andmetöötluses osalevatel osapooltel puudub piisav ennetav kontroll sõnumite sisu ja saatjate üle. Enamikul juhtudel reageeritakse vaid andmesubjektide kaebustele. See ei pruugi aga olla piisav IKÜM-i artikli 32 nõuete täitmiseks, mis eeldab proaktiivseid turvameetmeid.
Oluline on rõhutada, et agregaatoritele saadetud andmete hulk (sõnumite sisu ja lõppkliendi andmed) on sageli avatud tekstide, st krüpteerimata kujul. Agregaatoritel on seega tehniline võimalus näha kogu saadetava info sisu. On ääretult oluline, et agregaatorite süsteemides oleks turvalisus tagatud kõrgel tasemel.
Kõigil andmetöötluse osapooltel, sealhulgas operaatoritel ja agregaatoritel, on kohustus teha koostööd, et rakendada ühtseid ja mõjusaid lahendusi, mis aitavad ennetada sõnumite teel levivaid pettusi ning tagada isikuandmete asjakohase turvalisuse.
Siin on mõned konkreetsed soovitused, mida saavad kõik agregaatorid ja mobiilsideteenuse pakkujad juba täna rakendada selleks, et tagada turvalisem isikuandmete töötlemine ning pettuste ennetamine:
1 sõnumite logimise ja analüüsi automatiseerimine, et tuvastada kahtlaseid mustreid;
2 süsteemide regulaarne turbeaudit, mis hindab nii tehnilisi kui ka protseduurilisi riske;
3 anomaaliaid tuvastavate süsteemide kasutamine, mis võimaldab varakult märgata pettusele viitavaid tegevusi;
4 ligipääsukontrollide rakendamine ja jälgimine, et piirata juurdepääsu sõnumite sisule;
5 rangemad reeglid saatja ID kuvamisele, et vältida saatja maskeerimist (nn spoofingut4).
1 XML API on rakendusliides, mis vahetab andmeid, kasutades sõnumivorminguna XML-vormingut (eXtensible Markup Language).
2 SMPP (short message peer-to-peer protocol ehk lühiteadete otseühendusprotokoll) on telekommunikatsioonitööstuse protokoll SMS-sõnumite vahetamiseks iInterneti kaudu. SMS-sõnumid läbivad tavaliselt SMPP, et ühendada välised süsteemid sõnumikeskusega, mis töötleb suuri SMS-mahtusid. SMPP kasutab TCP/IP-d või sellega seotud protokolli, et ühenduda sõnumikeskusega ja edastada või vastu võtta tellija (abonent) sõnumeid.
3 rakendusliidese (API) programmiliides, mis järgib REST-arhitektuuristiili disainipõhimõtteid. REST on lühend sõnadest representational state transfer (esitusoleku siire) ja on reeglite ja juhiste kogum, mis käsitleb veebi API ehitamist.
4 Spoofing-rünnak (teisisõnu teesklus) on olukord, kus isik või programm identifitseerib end edukalt teisena, võltsides andmeid, et ebaseaduslikku eelist saada. Näiteks võib keegi sulle helistada või sõnumi saata riigiasutuse numbrilt, aga tegelikult ei ole see riigiasutus, vaid pettur.
- Kommenteerimiseks logi sisse või registreeru