Aivar Hundimägi: suure andmelekke valusad õppetunnid
Andmevarguse puhul peab olema maksimaalselt avatud, et andmete omanikeks olevad inimesed saaksid võimalikult täpse info, millised andmed võisid lekkida ja millised on nüüd selle lekkega kaasnevad riskid, sedastab Aivar Hundimägi Vikerraadio päevakommentaaris.
Eelmisel nädalal avalikuks saanud enneolematu ulatusega andmeröövist saab teha mitu valusat tähelepanekut. Loodetavasti kujuneb sellest juhtumist kasulik õppetund kõigile, kes isikuandmete töötlemisega tegelevad.
Üks õppetund on juhtumi kommunikatsioon. Mulle tundub, et ettevõte Allium UPI ja ka vargust uuriv prokuratuur unustasid ära ühe osalise ehk andmete omanikud. Vargus algas jaanuari keskel, andmebaasi omanik sai sellest aimu ligi kuu aega hiljem, teavitas siis politseid ja avalikuks sai see aga alles aprilli alguses.
Kindlasti on info avalikustamisega viivitamisel olulisi põhjendusi. Tõenäoliselt esitasid andmete vargad Margus Linnamäe ettevõttele rahalise nõude, mille täitmisel oleks lubatud andmed tagastada. Kuniks oli õhus võimalus saada andmed tagasi, polnud ka ettevõtte vaatest mõistlik seda juhtumit avalikustada.
Kui andmeleke eelmisel nädalal avalikuks tehti, siis soovitati ajakirjanikele osa olulist infot jätta enda teada ja mitte seda avalikustada. Minu arvates peaks sellise andmevarguse puhul olema maksimaalselt avatud, et andmete omanikeks olevad inimesed saaksid võimalikult täpse info, millised andmed võisid lekkida ja millised on nüüd selle lekkega kaasnevad riskid.
Pole veenev argument, et avatus võib anda andmete varastele ideid, kuidas neid andmeid väljapressimiseks kasutada, või et inimestes võib tekkida paanika. Pigem tasub eeldada, et varastel ideedest puudust ei tule ja inimesi tuleb võimalikult kiiresti ohtude eest hoiatada.
Teine õppetund on kõigile ettevõtjatele see, et taolisteks leketeks tuleb olla valmis. Loomulikult on oluline pöörata tähelepanu ennetusele ehk sellele, et taolisi vargusjuhtumeid ei oleks. Aga ka kõige parema teadmise juures seatud lukud ei taga veel, et neid ei õnnestuks lahti muukida.
Seetõttu on oluline luua kommunikatsiooniplaan ja käitumisjuhend juhuks, kui teie klientide andmed või muu äritegevuseks oluline info varastatakse. Samuti võiks panna paika, milline on ettevõtte poliitika, kui varastatud andmeid ettevõttele tagasi müüakse.
Kolmas õppetund on kogutavate andmetega toimetamine. Näiteks tekib praegu õigustatud küsimus, miks apteegiketi Apotheka jt ettevõtete klientide andmed olid sellise firma nagu Allium UPI omanduses või kasutuses? Miks säilitati kogutud andmeid nii kaua ja kas koguti ikka minimaalselt andmeid teenuse osutamiseks?
Neljas õppetund on seotud andmete kaitsmisega, sest leke näitab, et Allium UPI ei hoidnud andmeid turvaliselt. Olen kuulnud, et seda juhtumit on kujundlikult võrreldud pangarööviga, mille puhul on pangatöötajad unustanud rahakohvri ukse taha tänavale.
On väga oluline, et järelevalve ehk andmekaitse inspektsioon jagaks infot, kuidas taoline leke võimalikuks sai, mida jättis Allium UPI tegemata või kui suur oleks olnud vajalik investeering, et taoline juhtum välistada. Kliendiandmete lekke tagamaad ja ettevõtte tegematajätmised ei saa olla ärisaladus.
Lippama läinud andmeid ei õnnestu enam kokku koguda, nagu korvist maha veerenud kartuleid. Selleks aga, et tulevikus oleks taolisi andmelekkeid vähem, peabki toimunust rääkima avatud kaartidega, sest küberpätid otsivad juba järgmist küberturvalisusesse ükskõikselt suhtuvat Eesti ettevõtet.
Kõiki Vikerraadio päevakommentaare on võimalik kuulata Vikerraadio päevakommentaaride lehelt.
ERR.ee võtab arvamusartikleid ja lugejakirju vastu aadressil [email protected]. Õigus otsustada artikli või lugejakirja avaldamise üle on toimetusel.
Toimetaja: Kaupo Meiel