2019. aastal registreeris andmekaitse inspektsioon intsidente nii riigi- ja omavalitsusasutustes, tervishoiu,- finants,- transpordi,- side - kui ka haridusteenuste valdkonnas ning suur osa intsidentidest juhtus veebiteenuste osutamisel.
Kui võrrelda juhtumiste rohkust avaliku ja erasektori teenuste osutajate poolt, siis oli see üldplaanis võrdne,“ kõneles tehnoloogiadirektor Urmo Parm.
Tehnoloogiadirektor meenutab, et sageli on olnud eksimise põhjus aegunud või turvamata tarkvara kõrval just töötaja tähelepanematus või puudulik teadlikkus, näiteks finantsasutuse aegunud võlaandmete avaldamine, ja kui rikkumisi üldistada, siis võibki need jagada kahte kategooriasse: tehnoloogiast tingitud intsidendid ning inimtegevus, kas üksikeksimus või lohakus, mille tagajärjel võib sündida kahju paljudele teistele inimestele.
Urmo Parmu sõnul tulevad paljud eksimused hooletusest ja teadmatusest ning üks näide on õngitsuskirja avamine. Ta viitas, et innovaatilise e-riigina peaksid kõik andmetöötlejad juba suutma rakendada elementaarseid turvatehnoloogiad, mis hoiavad ära õngitsuskirjad. Selliseks on näiteks DMARC protokoll. E- kirjade turvalist edastamist võimaldab aga STARTTLS krüpteerimismeetod.
Möödunud aastasse jäävad ka sellised juhtumid, kus töötaja eksimuse tõttu andmekaitsereeglite vastu otsustab ettevõte ta vallandada,“ kõneleb Urmo Parm, kes ei võta hindamiseks, kas selline meede on äärmuslik või mitte, kuid kindlasti toetab koolituste korraldamist.
Äärmuslikku meedet rakendati näiteks ettevõttes töötajate suhtes, kes vaatasid aluseta teise inimese andmeid infosüsteemist. Samuti lõpetati tööleping töötajaga, kes lubas turvasalvestistele ligi kolmandaid isikuid.
Tehnoloogiadirektor Urmo Parmu sõnul on rikkumisest teatajate arv võrreldes 2018. aastaga suurenenud, nagu on kasvanud ka rikkumisteadete koguarv, kuid arvestades ainuüksi AKI-le edastatavaid märgukirju võib järeldada, et kõik vastutavad andmetöötlejad toimunud intsidentidest veel ei teavita ning inimeste andmetega juhtub ilmselt rohkem, kui on teada.
Parmu sõnul ei ole üldine teadlikkus andmekaitsest veel jõudnud tasemele, kus teenusesaaja võiks end igas olukorras turvaliselt tunda, kuid tasapisi läheb olukord siiski paremaks. Selliseid juhtumeid, kus inspektsiooni on teavitatud intsidentidest, kus töötaja avaldab valele adressaadile näiteks e-postiga kellegi tundlikud andmed, ei saa kunagi lõpuni ära hoida. Kui aga valed inimesed saavad infosüsteemi puuduliku seadistuse tõttu ligipääsu suure hulga klientide tundlikule eraelulisele infole või kasutajakonto andmetele, siis sellist asja saab koolitustega ära hoida. Samuti saab ära hoida lekkeid dokumendiregistritest, kus ka möödunud aastal avastati mitme riigiasutuse dokumendiregistritest avalikke piiratud juurdepääsuga dokumente.
Rikkumisteadete esitamise kohustus tuleb 2018. aasta 25. maist kehtima hakanud isikuandmete kaitse üldmäärusest. Üleeuroopalise õigusakti kohaselt peab vastutav andmetöötleja inimese privaatsust ohustavatest või võimalikku privaatsusriivet sisaldavatest intsidentidest järelevalveasutust teavitama. Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. Kui juhtum põhjustas või võib tõenäoliselt põhjustada inimestele kahju, tuleb sellest 72 tunni jooksul inspektsioonile teatada.
Põhjused, miks andmetöötluses intsidendid juhtuvad
• Inimlik eksimus
• Teadmatus
• Hoolimatus (nt uudishimupäringud)
• Uuendamata tarkvara
• Vigased versiooniuuendused
• Ründed infosüsteemidele
• Õngitsuskirjad
• Testimine pärisandmetega
• Samuti on liiga vähene töötajate oskus mitte minna kaasa õngitsuskirjadega.
