22.03.2024 Reede
Tööturg

Nõrgim lüli on töötaja

Kõige nõrgem lüli turvalisuse ahelas on jätkuvalt inimene, seetõttu on igas kuus juhtumeid, kus töötaja eksimusest, lohakusest või ettevõtte-asutuse töökorralduse organisatoorsest vajakajäämisest rikutakse nõudeid isikuandmete töötlemisel, kirjutab andmekaitse inspektsioon.

Andmekaitse inspektsioon soovitab muu hulgas kõigist andmetest koopiad teha.
Andmekaitse inspektsioon soovitab muu hulgas kõigist andmetest koopiad teha. Foto: freepik

Markantsemaks näiteks toome viisi, kuidas oli lahendatud ühe transpordiga tegeleva ettevõtte siseveebi kasutus. Peatumata põhjustel, miks oli siseveeb kättesaadav avalikust internetist, oli selle sisu kaitse ainukeseks meetmeks üks ja sama kasutajanimi ja parool. Ning loomulikult oli see levinud ja leidis kasutamist ka ettevõtte töötajate tuttavate ja pereliikmete seas. Õnneks ei sisaldanud siseveeb tundlikku teavet ettevõtte töötajate kohta.

Aga on veel „huvitavaid“ näiteid isikuandmete töötlemisest ja nende nõuete rikkumisest:

  • kohviku töötajad avastasid, et sinna oli unustatud ühe kinnipidamisasutuse kinnipeetavaid puudutavad paberkandjal dokumendid.
  • vaimse tervise tuge pakkuva ettevõtte töötaja vaatas kolmel korral temaga ravisuhet mitte omava patsiendi andmeid.
  • logistikaettevõtte osakonnajuhid said personalitöötaja eksimuse tõttu avaldamisele mittekuuluvat teavet ka nende osakonnaväliste töötajate kohta.
  • majutusettevõte saatis oma klientidele uudiskirja viisil, kus kõikidele adressaatidele olid nähtavad teiste e-posti aadressid.
  • finantsettevõtte töötajale oli ekslikult antud juurdepääs ettevõtte töötajate palgamakseteks kasutatavale pangakontole.

Käesoleva aasta kahe esimese kuuga teavitasid organisatsioonid meid andmekaitselistest rikkumistest 27. korral. Jaanuaris laekus 13 ja veebruaris 14 rikkumisteadet. Nendest 7 juhul oli rikkumine seotud avaliku sektori või nende hallatavate asutustega. Aasta varem oli samal perioodil teavitatud kogu rikkumiste arv 30, millest 8 seotud avaliku sektoriga.

Valdkondlikult moodustab juhtumite üldarvust enim inimeste võlaandmete avaldamine erinevates maksehäireregistrites ilma õigusliku aluseta. Reeglina on võla aluseta avaldamise perioodil tehtud inimeste kohta registrisse ka päringuid. Mis tähendab, et nii mõnelgi inimesel on seetõttu suure tõenäosusega jäänud saamata mõni finantstoode – olgu selleks siis järelmaksuga kauba ostmine või väikelaen remondiks. Põhjused on erinevaid – teabevahetuse tehnilised vead võlausaldaja ja maksehäireregistri vahel, võlausaldaja enda eksimused võlajuhtumite haldamisel. Harvad ei ole aga ka juhtumid, kus finantstoode on taotletud pahatahtlikult kellegi teise nimel. Alles uurimisasutuse sekkudes või äärmisel juhul kohtuvaidluses on esialgne võlglane osutunud hoopis kannatanuks.

Isikuandmetega seotud rikkumiste põhjuseks on ka erinevad küberründed organisatsioonide töötajate või kasutatavate infosüsteemide vastu. Selle aasta kahel esimesel kuul raporteeriti meile sellistest juhtumitest seitsmel korral, näiteks:

  • rahvusvahelise meelelahutusettevõtte vastu toime pandud lunavararünnak muutis kasutuskõlbmatuks ettevõtte personali, finants- ja kliendihaldustarkvaras olevad andmed. Ründaja kopeeris andmed ettevõtte infosüsteemist suure tõenäosusega ka endale. 
  • e-poe veebiserveri administraatori kontoandmete lekke tõttu saadi lubamatu juurdepääs failiserverile.
  • rahvusvahelise kaubandusettevõtte andmebaasi vastu suunatud koodisüsti ründe abil saadi juurdepääs klientide kontaktandmetele. Rünnakuks kasutati ettevõtte avalikku veebiteenust.
  • toitlustusteenuse töötaja e-posti konto kaaperdati ja seda hakati kasutama õngitsuskirjade saatmiseks.

Head nipid ja soovitused andmete turvaliseks töötlemiseks

  • Koolita töötajaid ja tõsta nende teadlikkust andmete turvalise töötlemise kohta regulaarselt. Miks mitte viia läbi ka mõni testõppus või kontroll, et ka teadmisi praktikas kontrollida.
  • Kui kasutad andmete jagamiseks näiteks Exceli faili, jälgi, et faili ei ole sisse jäänud varjatud väljadel andmeid, mis ei kuulu avaldamisele. Ei ole harvad juhtumid, kus faili sisse jäävad nn arvutustel kasutatud toorandmed, mida on mõne klikiga võimalik failis taasesitada. Sama põhimõte kehtib ka PowerPoint esitluste jagamisel. Kõige kindlam viis on PowerPoint enne jagamist teha .pdf failiks.
  • Tee kõikidest olulistest andmetest varukoopiad. Ühte koopiat tuleks hoida täiesti eraldiseisvalt, väljaspool põhivõrku. Kontrolli regulaarselt, et andmed on vajadusel koopiatest ka taastatavad.
  • Taga nn puhaste varukoopiate olemasolu ka olulistest tarkvaradest-rakendustest. Sageli suudab ründaja tarkvara selliselt rikkuda, et seda pole enam võimalik pahavarast puhastada. Siis aitab tarkvara uuesti laadimine puhtast versioonist.
  • Rakenda tarkvarauuendused ja turvanõrkuste paikamine kohe, kui selle kohta on info teada. Üks levinumaid andmete varastamise meetodeid on nn andmebaasisüst (SQL injection). Seda tüüpi rünnakud on valdavalt lõppenud edukalt, et andmebaasitarkvara on jäänud õigel ajal uuendamata või turvaaugud paikamata.
  • Taga infosüsteemides-rakendustes logimine tasemel, mis võimaldab vajadusel erinevate andmetöötlustoimingute uurimist. Kasuta logiserverit, mis kogub erinevate rakenduste logid kokku ja teeb need analüüsi-visualiseerimise kõlblikuks.
  • Rakenda infosüsteemides automaatset monitoorimist ja SIEM tüüpi turvalahendusi. Nii on võimalus avastada pahalaste tegevus enda infosüsteemides enne kui jõutakse teha suuremat kahju. Arvesta, et kui kahju on juba sündinud, on infosüsteemide ja andmete taastamine juba ainult mahukas käsitöö.
Märksõnad

Seotud artiklid

Mitu kasutajakontot Sinul on?
Suurte veebiplatvormide andmete kogumise eesmärgist
Tähelepanekuid terviseandmete töötlemise osas
Kilvar Kessler: läbimõeldud ja toimiv andmekaitse toetab äriedu
Soovitused andmekaitseks hiljutiste juhtumite valguses
Andmekaitseidu juht: aasta toob andmekaitsesse märgilisi muudatusi
Soovid olla kursis kõige tähtsamate uudistega?

LOETUMAD UUDISED

Küsi nõu!

  Esita küsimus

Saada vihje

Hea lugeja, meie eesmärk on teha just sellist ajakirja, nagu sulle meeldib. Pane kirja soovitud teemad ning dokumendivormid, mida tahaksid siit leida. Tehkem koostööd!
Kirjuta
right banner 2024 est konference
430824810 430800019636154 7356040320163199917 n255

  • Pilvetehnoloogiat kasutav raamatupidamisprogramm. Aktiva kõige tähtsam omadus on kasutamise lihtsus. Hoiame kokku teie aega!

    Lähemalt

  • MRPeasy on lihtsasti kasutatav ERP/MRP tarkvara väiketootjatele ja hulgikauplejatele (10-200 töötajat). Müük, ostud, ladu, tootmine, raamatupidamine – kõik ühes kohas!

    Lähemalt

  • 1С:RAAMATUPIDAMINE Eestis

    Universaalne programm raamatupidamis- ja maksuarvestuse automatiseerimise massiliseks kasutamiseks.

    Lähemalt

  • Inv24

    Inv24 on arve koostamise tarkvara, mis säästab aega ja võimaldab teil tööd teha igalt poolt, see teeb raamatupidamise lihtsaks.

    Lähemalt

  • Tipptasemel end 20 aastat õigustanud usaldusväärne äritarkvara ja e-pood parima hinnaga!

    Lähemalt

  • e-arveldaja on veebis asuv raamatupidamistarkvara, mis aitab ettevõtjal raamatupidamise korraldamisega mugavalt hakkama saada.

  • 1S:RAAMATUPIDAMINE

    1S:Ettevõte on süsteem, mis on ette nähtud erinevais tegevussuundades ja omandivormides tegutsevate ettevõtete töö automatiseerimiseks.

    Lähemalt

  • 1S:Ettevõte 8. Kaubanduse juhtimine

    Lahendab kompleksselt juhtimise arvestuse ja operatiivse arvestuse ülesanded, analüüsi- ning planeerimisülesanded, automatiseerib kaubandus-, finants- ja laooperatsioone.

    Lähemalt

  • ERP programmi Monitor tootmisettevõtetele. Monitor sobib kõige rohkem ettevõtetele, kes vajavad täielikku ERP süsteemi, mis sisaldab kõiki tööstusettevõttele vajalikke mooduleid.

    Lähemalt

  • TAAVI Majandustarkvara on Eesti turul olnud juba üle 20 aasta, mille jooksul on kasutajate arv kasvanud üle 1500. Tarkvara on mõeldud igasuguses suuruses ettevõtetele.

    Proovi

  • KMD INF ja firmaautode käibemaks majandustarkvaras TAAVI Finants. Taavi Tarkvara on alati kaasas käinud pidevalt muutuva seadusandlusega ning viinud oma programmidesse sisse kõik muudatused.

    Proovi

  • Taavi Tarkvara on käinud kaasas kõigi viimaste aastate uuendustega palgaarvestuses ja suudab automaatselt hallata kogu töötasude arvestamise keerulist valdkonda.

    Proovi

  • Merit Palk on ainuke palgaprogramm Eestis, kus maksuarvestus on alati 100% korrektne. Seda tänu internetist automaatselt uuenevatele maksumääradele.

    Proovi

  • Tõenäoliselt lihtsaim raamatupidamistarkvara Eestis. Juba üle 10 000 kasutaja (EST, RUS, ENG, FIN.

    Proovi tasuta

  • SmartAccounts on online majandustarkvara, kus kõik Sinu raamatupidamiseks vajalik on mugavalt koos. Proovi kohe tasuta!

    Proovi

  • Suno365 on mugav teenus, mis on kiirelt kasutusele võetav, alati ajakohane ning kergelt ühenduv ka kolmandate osapoolte lahendusega. Hea valik nii tänasesse päeva, kui tulevikku.

    Proovi

  • Excellent pakub spetsiaalselt Eesti turu jaoks kohandatud Books 8 ja Standard ERP pilvepõhiseid äritarkvara lahendusi, mis pärinevad HansaWorldi tooteperekonnast ja pakuvad sobiva lahenduse nii raamatupidamiseks kui ka müügi- ja laohalduseks.

    Proovi

  • NOOMi puhul on tegemist keskse tarkvaralahendusega, mis sobib hästi iga suurusega ettevõttele. NOOMi eeliseks on selle väga kõrge paindlikkustase, funktsionaalsuste rohkus ning kodumaine klienditugi.

    Proovi

  • Juba 25 aastat Eesti turul tegutsenud Unifiedpost (varem Fitek) pakub e-arve ja makseteenuseid nii väikestele kui suurtele ettevõtetele kui ka avalikule sektorile.

    Uuri lähemalt

  • Parim Eestis loodud veebipõhine äritarkvara terviklahendus.

    Vapustavalt võimekas, uskumatult lihtne!

    Lähemalt