Autor: Indrek Kald • 26. august 2019

Sel aastal on toimunud palju erinevaid lekkeid, sh ka mitmeid Eesti ettevõtetega seotud juhtumeid. Kas see on uus reaalsus, millega peame leppima või ajutine probleem, mille möödumine tuleb kannatlikult ära oodata?

Pigem on see uus reaalsus, kus me elame. Andmelekked ei kao kuhugi, samuti nagu ei kao tarkvaraprobleemid ja üha sagenevad küberrünnakud.

Lekete toimumine ei ole tegelikult uus asi, kuid nüüd saadakse rohkem aru andmete väärtusest, samuti on arenenud viisid lekete tuvastamiseks ja neid on hakatud rohkem avalikult raporteerima. Pole halba ilma heata - tänu lekete avalikustamisele kasvab tarbijate ja organisatsioonide teadlikkus, mis muudab e-keskkonna lõpuks turvalisemaks.

Kuidas peaks olema vastutused juriidiliselt lahendatud?

Juriidiliselt võttes jääb vähemalt esialgu vastutus jagatuks. Väga-väga lihtsustatult öeldes: kõik, kellel on ligipääs andmetele, vastutavad nende ligipääsude kaudu liikuvate andmete eest. See on nii alates füüsilise serveri haldajast kuni lõppkasutajani välja.

Kas kõige parem oleks hoopis kõik andmete haldamisega seonduv sisse osta?

Kui organisatsioonil puuduvad tugevad teadmised, siis kindlasti tasub teenust sisse osta või kaasata vähemalt väline spetsialist, kes aitab läbi mõelda ja ellu viia lahendused andmete efektiivsemaks kaitsmiseks. Seda siis nii süsteemide ning protsesside loomisel, muutmisel kui olemasolevate andmekogude kaardistamisel.

Sisse ostetud teenus ei vabasta siiski andmeid omavat ettevõtet vastutusest. Lihtsalt on juures kaasvastutaja, kes peaks aitama ka riskide maandamisse panustamisega.

Millised võimalused on tavainimesel enda andmeid kaitsta, kui ta on näiteks suure tanklaketi klient, tarbib nende teenuseid ja kasutab seda tehes kliendikaarti? Tema tegevusest jääb jälg maha igal juhul ja inimesel puudub võimalus oma andmete saatust mõjutada.

Nende näidete puhul polegi tarbijal oma andmete kaitseks paraku midagi erilist teha. Kui inimesel on mure oma andmete kasutamise pärast, siis on tal seadusest tulenevalt õigus paluda andmeid haldavalt ettevõttelt koopiat kõigist andmetest, mis konkreetselt teda puudutavad. Samuti on tal õigus paluda kõik isikustatud andmed süsteemidest kustutada.

Kas sedasorti andmed (nt kliendiajalugu) on üldse olulise väärtusega? On sel vahet, kas need lekivad või mitte?

Usun, et enamus inimeste puhul ei ole need andmed väga olulised, sest kes meist ei ostaks kütust ja vahel mõnda kohvi hot dogiga. Kui neid andmeid on aga pikema aja jooksul palju kogunenud, siis on võimalik neist iga inimese kohta üllatavalt palju välja lugeda. Nii, nagu kõigi kasutusharjumusi peegeldavate andmetega.

Kuna andmetele saab konteksti juurde pannes luua uut väärtust, on problemaatiline igasugune andmeleke. Muidugi on ka spetsiifilisi juhtumeid, kus ka ainult üks lekkinud andmerida võib mingis situatsioonis suuri ebamugavusi valmistada.

Kui ettevõte peaks hakkama alles täna mõtlema, kuidas oma klientide andmeid kaitsta, siis millele peaks ta kõigepealt tähelepanu pöörama?

Kõige esimene asi on teha selgeks, millised andmed ja millistes mahtudes ettevõtte halduses on. Selle alla käib kõik alates suurematest andmeladudest kuni kunagiste turunduskampaaniateni välja, mille andmebaasid võivad veel tänaseni kusagil vanades serverites tiksuda. Seejärel tuleb need kategoriseerida, ebavajalik ja ebaseaduslik ära kustutada ning vajalikud andmed sensitiivsuse järgi erinevatesse gruppidesse jagada.

Seejärel tuleb juba läheneda individuaalsemalt ja leida parimad viisid andmete turvamiseks. Sageli tähendab see andmete ja nende isikustatud seoste lahutamist ning uut riist- ega tarkvara ei peagi soetama. Kui siis peaks juhtuma, et lekib andmebaas näiteks mingite tehingutega, siis pole seal vähemalt isikustatud seoseid juures.

Suurte globaalsete pilvefirmade andmehoidlate asukohad on salajased või siis on küll teada, kus need asuvad, kuid sama moodi on teada, et need ei asu Eestis. Kui oluline on asukoht?

Kui on teada, et andmed asuvad tugevate andmekaitseseadustega Euroopa Liidus, ei ole konkreetsel asukohal keskmise ettevõtte jaoks suur tähtsust. Tänu GDPRile peavad sellest tulenevaid nõudeid järgima ka väljaspool ELi asuvad ettevõtted, kui nad haldavad ELi liikmesriigi kodaniku andmeid.

Kuid sellegipoolest on tõenäolisem, et ELis asuv andmekeskus järgib siinset seadusandlust rohkem kui näiteks USA teenusepakkuja, kes halvemal juhul isegi ei tea GDPRi olemasolust.

Lisaks on ka olukordi, kus meie seadusandlus nõuab, et andmed peavad asuma ainult Eesti riigi territooriumil või olema siia replikeeritud. Seetõttu ei ole mõnel Eesti organisatsioonil võimalik kasutada näiteks Amazoni või Google´i pilveteenuseid. Õnneks muutub see peatselt, kui tekib võimekus pakkuda olulisemaid AWSi teenuseid Eestis asuvatest andmekeskustest.

Andke mõned soovitused, mis aitaks ettevõtteil suuremaid prohmakaid vältida.

Esiteks peab olema ülevaade, milliseid andmeid ja kus ettevõte haldab. Ilma selleta ei saa luua korrektseid protsesse ega võtta kasutusele meetmeid sensitiivsete andmete lekkimise vältimiseks.

Teiseks tuleb läbi mõelda andmete talletamise ja ligipääsude protsessid. Kui mõelda veebiteenuste peale, siis kolmandaks tuleb luua turvaline protsess arendus- ja tootekeskkonna vahele, et rakenduse või selle uuenduste avaldamine kasu asemel suurt kahju ei tooks.

5 ohukohta kliendiandmete haldamisel:

1. Kollektiivi madal teadlikkus küberhügieenist

2. Puudulik ülevaade andmetest

3. Ebapädev teenuste seadistus

4. Taristu, serverite või tarkvara puudulik turvalisus

5. Nõrk või puudulik ligipääsude poliitika

Loe täispikka intervjuud ITuudised.ee lehelt.