Andmekaitsjatel kulub suur osa tööst õngitsuskirjade ja lunavaranõuete menetlemisele
14. mai 2021, 13:12
Andmekaitse Inspektsioon (AKI) avaldas täna aastaraamatu, millest selgub, et aastaga on kasvanud 20 protsenti neile saabunud rikkumisteadete hulk. Veerand kõikidest inspektsioonile tehtud rikkumisteadetest olid seotud õngitsuskirjade või lunavaranõuete tagajärgedega.
Lunavararünnetest teatasid nii avaliku kui ka erasektori andmetöötlejad. 138 rikkumisest 54 ehk 39 protsenti puudutas avalikku sektorit.
Tarkvaravea või rikke tõttu sai inspektsioon möödunud aastal rikkumisteateid ligikaudu paarikümnel korral. Näiteks registreeriti rikkumisena juhtum, kus inimesed said e-aadressile teenuseosutaja otsuse, mis oli tegelikult kellelegi teisele mõeldud. Juhtus see aga seetõttu, et automaatotsuse süsteemi tekkis info sisestamisel viga ja otsus saadeti välja sadadele valedele adressaatidele. See viga avastati kiirelt ja rikkumine lõpetati ilma inspektsiooni sekkumiseta.
Probleemiks nõrgad turvalahendused
Tarkvaralised intsidendid avalduvad teinekord ka täiesti ettenägematute asjaolude kokkulangemisel. Näiteks oli ühel kaubandusettevõttel probleeme kahe samanimelise kliendi puhul lojaalsusprogrammi lepingu allkirjastamisel e-teeninduses. Selle tulemusel said ühe inimese andmed kättesaadavaks ka teisele isikule.
Tehnilisi probleeme tuli ette nii avalikus kui erasektoris. Samuti registreeris inspektsioon juhtumeid, kus põhjuseks oli nõrk või aegunud turvalahendus. Näiteks oli võimalik kolleegi parooli teades pääseda infosüsteemi ilma, et jääks jälg maha tegelikust andmete vaatajast. Ühel juhul pääses pahalane ligi haridusasutuse infosüsteemi, kuna polnud kasutusel VPN ühendust.
Kõige arvukamalt anti teada juhtumitest, mis oleks võinud ära jääda, kui töötaja oleks tähelepanelikum ja hoolikam. Selliseid intsidente oli üle poole kõikidest rikkumisteadetest.
Palju juhtus inimlikke vigu ka avalikus sektoris, just veebiteenuste või dokumendiregistritega, kus jäetakse tundlikku sisu sisaldav dokument avalikuks või kättesaadavaks inimestele, kellele ei oleks tohtinud info olla kättesaadav. Nii era- kui avalikus sektoris oli juhtumeid, kus telefoni teel anti teavet vale isiku kohta, kuna piisavalt polnud tuvastatud helistaja isikusamasus.
Sagenesid andmebaasivargused
Varasematest aastatest rohkem oli mullu ka teateid kliendiandmebaasi vargustest. Kõiki juhtumeid ühendas seik, et kliendiandmebaasid kopeeriti infosüsteemist kaasa uue töökoha jaoks – kas siis mindi teise tööandja juurde või alustati ise samalaadse teenuse osutamist.
Valdkonnapõhiselt juhtus kõige sagedamini intsidente tervishoius, sotsiaalvaldkonnas ning finantssektoris. Kindlasti ei anna see üldistus teada kõige probleemsematest andmetöötlejatest, pigem kõneleb vastutustundlikust käitumisest ja suuremast teadlikkusest.
Inspektsioon algatas järelevalvemenetluse registreeritud rikkumisteadete peale ligikaudu kolmandikul juhtumitest, et selgitada välja asjaolud ning edaspidi selliseid intsidente ära hoida.