Turvaintsident leidis aset 2024. aasta alguses Apotheka lojaalsusprogrammi infosüsteemis. Uurimine tuvastas, et Allium UPI ei rakendanud elementaarsed küberhügieeni ja andmekaitse meetmeid. Selle tagajärjel pääsesid volitamata isikud korduvalt ligi infosüsteemi ja andmebaasi varukoopiale ning laadisid alla suures ulatuses tundlikke kliendiandmeid.

Lekkinud failid sisaldasid aastatel 2014–2020 Apotheka kliendiprogrammiga liitunute isikuandmeid (ees- ja perekonnanimi, isikukood, keel, sugu, e-posti aadress, telefoninumber, kodune aadress) ja ostuajalugu. Viimane hõlmas isikustatud infot ostetud ravimite, terviseteenuste ning muu tundliku apteegikauba kohta, näiteks rasedus- ja ovulatsioonitestid, kuulmisaparaadi tarvikud, vererõhulisandid, intiimhügieenitooted, nahaprobleemide ravimid. Selline teave viitab inimese tervisele ja intiimsele elusfäärile. 

Elementaarsed turvameetmed olid kasutusse võtmata.

Menetluse käigus selgus, et Allium UPI jättis rakendamata mitmeid kriitilisi ja ka tavakasutajatele üldteada turvameetmeid. Näiteks jäi mitmetasemeline autentimine kasutusele võtmata, ühte personaalset administraatori kontot sama kasutajanime ja parooliga kasutas mitu inimest, tegevuslogide jälgimine oli puudulik ja andmebaasi varukoopiaid hoiti ebaturvaliselt. Samuti ei olnud rollid ja vastutused piisavalt selgelt määratletud.

"Kui ettevõtte ärimudel tugineb kliendiandmete töötlemisele, peab nende kaitsmine olema lahutamatu osa ärimudelist. Igal ettevõttel, kellele kliendid oma andmed usaldavad, on kohustus neid kaitsta ja turvaliselt hoida. Kui ettevõte seda ei tee, seab ta ohtu oma klientide privaatsuse ja usalduse," selgitas andmekaitse inspektsiooni (AKI) peadirektor Pille Lehis.

"Antud juhul jättis Allium UPI vajalikud turvameetmed kasutusele võtmata ning selle tulemusel lekkisid sadade tuhandete inimeste andmed," lisas Lehis. 

"Meie ülesanne on kaitsta inimesi, kelle andmed lekkisid ja kes selle tõttu ei saa olla kindlad, kuidas nende andmeid võidakse kuritarvitada," lisas andmekaitse inspektsiooni jurist Jekaterina Aader.

"Meie roll on tagada, et ettevõtted õpiksid nendest juhtumitest ja tõstaksid oma andmekaitse taset. Trahv on viimane abinõu, mille eesmärk on vastutuse rakendamine ja ennetus," rääkis Aader. 

Trahvi suuruse kujunemisel arvestati rikkumise ulatust, lekkinud andmete tundlikkust, mõjutatud isikute arvu ning ettevõtte käivet. Otsust tehes lähtuti Euroopa Liidu isikuandmete kaitse üldmäärusest ja Euroopa Andmekaitsenõukogu vastavast suunistest. 

Kõik andmetöötlejad on kohustatud tagama, et isikuandmeid töödeldakse turvaliselt. See tähendab muu hulgas süsteemide pidevat jälgimist, turvaaukude kiiret kõrvaldamist ja juurdepääsude ranget kontrolli.

Trahviotsus ei ole veel jõustunud. Ettevõttel on võimalik seda 15 päeva jooksul vaidlustada.

Allium UPI tegelik kasusaaja on äriregistri andmetel ärimees Margus Linnamäe.

Allium UPI ei nõustu AKI otsusega ja kaebab selle kohtusse

"Allium UPI ei ole olnud isikuandmetega hooletu ega jätnud neid kaitseta.
AKI otsus tugineb ebaõigetele faktidele ning oma hinnangu peab alles andma
kohus. Meil on siiralt kahju, et Apotheka kliendiandmebaasi varukoopia
varastati kurjategija poolt. Tänu tihedale koostööle Eesti riigi ja
rahvusvaheliste asutustega on Maroko päritolu kurjategija tuvastatud.
Prokuratuuri ja õiguskaitseasutuste poolt meile antud info kohaselt ei ole
poolteist aastat tagasi varastatud andmeid kasutatud kuritegelikel
eesmärkidel ega pakutud tumeveebis," teatas osaühing pressiteates.

Ühtlasi selgitati teates, et AKI levitas oma pressiteates valeinfot.

"Apotheka kliendiprogrammi raames ei kogutud ega koguta klientide paroole ega pangaandmeid. Inspektsiooni pressiteade levitab eksitavat infot varastatud informatsiooni kohta. Toome ühe näite, tegelikkuses küberkurjategijate kätte sattunud andmestu kirjetest olid maksimaalselt 0.01 protsenti seotud käsimüügiravimite kirjetega. Kliendiprogrammi eesmärk ei ole ka klientide ravimiinfo ega riiklike soodustustega apteegikaupade teabe kogumine," lisati pressiteates.