Lõuna prefektuuri kriminaalbüroo alustas kriminaalmenetlust, et koguda tõendeid geneetilise testimisega tegeleva ettevõtte andmebaasist terviseandmeid sisaldavate failide ebaseadusliku allalaadimise kohta. Andmekaitse Inspektsioon alustas andmetöötleja suunal järelevalvemenetlust.

Novembri keskel teatas Asper Biogene OÜ politseile, Riigi Infosüsteemi Ametile ja Andmekaitse Inspektsioonile, et ettevõte sai 11. novembril teada, et keegi on nende andmebaasi ebaseaduslikult sisse tunginud ning laadinud alla erinevaid faile. Asjaolude selgitamiseks alustas politsei kriminaalmenetlust ja Andmekaitse Inspektsioon alustas andmetöötleja suhtes järelevalvemenetlust.

Andmebaasist laaditi alla ligikaudu 100 000 erineva faili koopiat, milles on praegustel andmetel umbes 10 000 inimese isiku- ja terviseandmeid. Neid inimesi teavitatakse sellest isiklikult. Osa failidest sisaldasid geneetiliste analüüside tulemusi, mida tervishoiuteenuse osutajad ja eraisikud olid ettevõttelt tellinud. Töö andmete täpse sisu selgitamiseks on veel pooleli. Asper Biogene OÜ on teinud politseiga asjaolude selgitamiseks head koostööd.

Pressikonverentsi video

Lõuna ringkonnaprokuratuuri vanemprokuröri Kretel Tamme sõnul viitavad tõendid sellele, et rünnak andmete saamiseks oli teadlik ja läbimõeldud. "Kriminaalasja algusest kuni praeguseni oleme teinud kiireloomulisi menetlustoiminguid nii Eestis kui ka rahvusvahelises koostöös, et fikseerida kuriteojäljed ja püüda tuvastada kuriteo toimepanijat. Kuigi iga klikk jätab virtuaalmaailmas jälje, on küberkuriteod reeglina väga professionaalsed – need on põhjalikult plaanitud ja jälgi on segatud. Tavaliselt on eesmärk teenida kuriteost kriminaaltulu. Ka selle juhtumi puhul esitati pärast rünnakut ettevõttele rahaline nõue, mille peale pöördus ettevõte politsei poole," ütles Tamm.

Lõuna prefektuuri kriminaalbüroo juht Rain Vosman ütles, et kurjategijad tegutsesid oskuslikult ja pääsesid ligi ettevõtte andmebaasidele. "Koostöös teiste asutustega kaardistame praegu andmelekke täielikku ulatust. Kurjategijad esitasid ka lunarahanõude ning tasub üle korrata, et sellises olukorras ei tohi kunagi raha maksta. See julgustab neid edasi tegutsema, aga ei kindlusta andmete tagastamist ega seda, et kurjategija need ise kustutab. Väljapressimisest tuleb kohe teavitada politseid, nagu seda tehti ka praegusel juhul. Iga isiku- või terviseandmetega kokkupuutuv ettevõte või teenuseosutaja peab tagama, et andmed on tema käes hästi hoitud – see tähendab ajakohaseid ja kaitstud infosüsteeme," rääkis Vosman.

Vosmani sõnul on politsei asunud tõendeid koguma, et kurjategija tuvastada ja prokuratuuri abil kohtu alla anda. "Meil on töös mitu versiooni, käib tihe koostöö asutustega Eestis ja rahvusvaheliselt. Juhtumis on ettevõte Asper Biogene käitunud võimalikult parimal viisil, et informeeris küberründe osas politseid ja teisi asutusi. Tänaseks on ettevõte serveri turvaaugu lappinud," sõnas Vosman.

"Lunaraha nõue oli rahaline nõue, milles ähvardati, et need andmed, mis on kurjategija käes, avalikustatakse ja kahjustatakse ka ettevõtte mainet. Sellistele nõudmistele ei tohi alluda," rõhutas Vosman. Ta ütles, et versioone on mitmeid, aga uurimise huvides politsei detaile ei avalda, kõiki detaile aga kontrollib.

Andmekaitse Inspektsioon registreeris Asper Biogene OÜ rikkumisteate 15. novembril. Kõiki puudutatud isikuid, keda on võimalik lekkinud andmete põhjal tuvastada, teavitavad tervishoiuteenuse osutajad personaalselt. Enamik teavitusi saadetakse välja neljapäeva (14.12) päeva jooksul.

Andmekaitse Inspektsiooni peadirektor Pille Lehis ütles, et tegemist on seni kõige suurema andmelekkega võttes arvesse puudutatud isikute hulka. "Lisaks on puudutatud 40 tervishoiuteenuse ja muud ettevõtet, kes olid tellinud oma patsientidele uuringuid, muuhulgas puudutab leke isadusteste," ütles Lehis. "Juhtum pole seotud geenivaramu projektiga," lisas ta. 

Kõige enam olid puudutatud Ida-Tallinna Keskhaigla, Tartu Ülikooli Kliinikum ja Elite kliinik.

"Andmelekke tagajärgi oleks saanud leevendada, kui andmed oleksid ettevõttes olnud krüpteeritud või pseudonüümitud ja kui oleks läbi viidud korralisi turvatestimisi," sõnas Lehis. "Kahjuks näitab juhtunu, et küberruumis valitsevatesse ohtudesse ei suhtuta jätkuvalt täie tõsidusega. Organisatsioonide suunal edukalt sooritatud väliseid ründeid ja sellega kaasnevaid tagajärgi ei tohi võtta kui paratamatust. Iga andmetöötleja kohustus on muuhulgas tagada andmete terviklus ja konfidentsiaalsus. Andmete taga on päris inimesed ja päris elud, mis võivad sellistes olukordades tugevalt mõjutatud saada. Andmekaitse on oluline ja me kõik vastutame, et meie andmed oleksid kaitstud," sõnas Lehis.

Lehis lisas, et menetluse käigus vaadatakse ka tervishoiuteenuste osutajaid, kes on siinkohal vastutavad töötlejad. Inimestel tasub alates neljapäevast olla väga tähelepanelik e-kirjade suhtes, eriti e-kirjade suhtes, kus viidatakse nende geeniandmetele. "Meil on teada mõne aasta tagune Soome juhtum, kus vaimuhaiglast lekkisid andmed ja seal järgnesid konkreetsed väljapressimised nendele isikutele. Ka see on võimalik," sõnas Lehis.

Kriminaalmenetlust alustati arvutisüsteemile ebaseaduslikult juurdepääsu hankimist käsitleva karistusseadustiku paragrahvi järgi.

Tamm ütles, et kurjategijale on võimalik rahaline karistus või kuni kolmeaastane vanglakaristus.

Lehise sõnul sõltub trahvi suurus ettevõttele lekke ulatusest, aga ka sellest, kas ettevõte teeb koostööd. "Numbrit on vara välja öelda," sõnas Lehis. Ta lisas, et lekkest puudutatud inimesed saavad pöörduda tsiviilkohtusse kahju hüvitamise nõudega, kui on tekkinud varaline või moraalne kahju.  

Meditsiiniasutused on juba hakanud saatma teavitusi patsientidele, kelle terviseandmed lekkisid. Näiteks PERH -i saadetud kirjas öeldakse, et kannatanul on õigus küsida, millised andmed täpselt on temalt varastatud. Samuti kui andmete vargus on põhjustanud kahju, saab teavitada kahju olemusest ja suurusest.