Andmekaitsest ja selle olulisusest: Difference between revisions

From ICO wiki
Jump to navigationJump to search
No edit summary
No edit summary
Line 4: Line 4:
===Lõike jagatud võrgu varajasest ajaloost===
===Lõike jagatud võrgu varajasest ajaloost===
70-ndatel ja 80-ndatel olid peamiseks andmelekkeohuks liiguudishimulikud silmad, s.t andmed ei lekkinud niivõrd tehnoloogiliselt kui läbi pahatahtlike isikute. Samas olid pahavara ja võrgulekked samuti täiesti olemas. Üks markantsemaid näiteid on Markus Hessi ARPANETi häkkimine, mis võimaldas tal lõppkokkuvõttes ka Pentagoni arvutitest andmeid varastada ning neid venelastele müüa. Sellest kasvas välja eepiline heitlus astronoomi Clifford Stolli-ga, kes teo aastal 1986 avastas ning pahalast kinni püüda üritas ning lõpuks tal see enda leiutatud meepoti meetodil ka õnnestus. Stoll on hea jutuvestja ning andis sellest välja terve raamatu. <ref name="i">
70-ndatel ja 80-ndatel olid peamiseks andmelekkeohuks liiguudishimulikud silmad, s.t andmed ei lekkinud niivõrd tehnoloogiliselt kui läbi pahatahtlike isikute. Samas olid pahavara ja võrgulekked samuti täiesti olemas. Üks markantsemaid näiteid on Markus Hessi ARPANETi häkkimine, mis võimaldas tal lõppkokkuvõttes ka Pentagoni arvutitest andmeid varastada ning neid venelastele müüa. Sellest kasvas välja eepiline heitlus astronoomi Clifford Stolli-ga, kes teo aastal 1986 avastas ning pahalast kinni püüda üritas ning lõpuks tal see enda leiutatud meepoti meetodil ka õnnestus. Stoll on hea jutuvestja ning andis sellest välja terve raamatu. <ref name="i">
Stoll, Cliff. The cuckoo's egg: tracking a spy through the maze of computer espionage. Simon and Schuster, 2005.</ref>
Stoll C. The cuckoo's egg: tracking a spy through the maze of computer espionage. Simon and Schuster; 2005 Sep 13.
</ref>


See muidugi ei tähenda, et elektroonilisi andmelekkeid ei eksisteerinud juba varasemalt. Üks tuntumaid esimesi andmelekkeskandaale oli 90 miljoni ameeriklase krediidiajalugude lekkimine aastal 1984. TRW Reporting Agency avastas, et ühte nende faili on sisse tungitud ning uurimine selgitas, et keegi oli Sears’i poes parooli kirja pannud ja veebi üles riputanud. <ref name="ii">https://www.washingtonpost.com/archive/politics/1984/06/22/computer-raiders-hit-big-credit-file/d3581cf9-8301-4a99-bae8-9c1742da7d19/?noredirect=on&utm_term=.8e81a77121b9</ref> Lahenduseks, kui sellest teada saadi, oli lihtsalt parooli vahetamine.
See muidugi ei tähenda, et elektroonilisi andmelekkeid ei eksisteerinud juba varasemalt. Üks tuntumaid esimesi andmelekkeskandaale oli 90 miljoni ameeriklase krediidiajalugude lekkimine aastal 1984. TRW Reporting Agency avastas, et ühte nende faili on sisse tungitud ning uurimine selgitas, et keegi oli Sears’i poes parooli kirja pannud ja veebi üles riputanud. <ref name="ii">Washington Post. Computer Raiders Hit Big Credit File
[Internet]. Publitseeritud: 11. juuni 1984. Tsiteeritud: 16. mai 2019. Saadaval: https://www.washingtonpost.com/archive/politics/1984/06/22/computer-raiders-hit-big-credit-file/d3581cf9-8301-4a99-bae8-9c1742da7d19/?noredirect=on&utm_term=.8e81a77121b9</ref> Lahenduseks, kui sellest teada saadi, oli lihtsalt parooli vahetamine.


Kuigi mitte otseselt andmeleketega seotud, siis viiruste agressiivse ajastu alguseks võib ehk lugeda Robert Morrise viirust, mis loodi aastal 1988. Tähelepanuväärne on, et esimene viirusetõrjele pühendunud firma – McAfee – loodi juba aastal 1987, seega oli vajadus juba täiesti olemas. Morris lõi ussi enda sõnul selleks, et rohkem tähelepanu juhtida süsteemide turvalisusele, kuid viirusesse oli sisse kirjutatud replitseerumine ja et üks masin võiks mitu korda nakatuda, tappis see peaaegu kogu võrgu maha – kogu jõudlus läks Morrise levitamise peale. Sellele järgnes ka esimene USA  Computer Fraud and Abuse Act-il põhinev karistus. <ref name="iii">https://www.sentinelone.com/blog/history-of-cyber-security/</ref>
Kuigi mitte otseselt andmeleketega seotud, siis viiruste agressiivse ajastu alguseks võib ehk lugeda Robert Morrise viirust, mis loodi aastal 1988. Tähelepanuväärne on, et esimene viirusetõrjele pühendunud firma – McAfee – loodi juba aastal 1987, seega oli vajadus juba täiesti olemas. Morris lõi ussi enda sõnul selleks, et rohkem tähelepanu juhtida süsteemide turvalisusele, kuid viirusesse oli sisse kirjutatud replitseerumine ja et üks masin võiks mitu korda nakatuda, tappis see peaaegu kogu võrgu maha – kogu jõudlus läks Morrise levitamise peale. Sellele järgnes ka esimene USA  Computer Fraud and Abuse Act-il põhinev karistus. <ref name="iii">Sentinel One. The history of cyber security - everything you ever wanted to know [Internet]. Publitseeritud: 10. veebruar 2019. Tsiteeritud: 16. mai 2019. Saadaval: https://www.sentinelone.com/blog/history-of-cyber-security/</ref>


Massiivsed andmelekked said hoo sisse umbes alatest aastast 2005. Võis neid olla varemgi, aga mitte selliseid, mida oleks avastatud. 2005-2007 mõtles  Albert Gonzales välja kuritegeliku rühmituse TJ Maxxi rõivapoe klientide krediitkaardiandmete varastamiseks. Ligikaudu 45 miljoni ostleja krediitkaardiandmed varastati. See läks ka firmale maksma 256 miljonit dollarit. Ka ettevõtted hakkasid lõpuks rohkem nägema, et andmete mitte kaitsmine võib kalliks kätte minna. <ref name="iv">https://www.infosecurity-magazine.com/opinions/the-history-of-cybersecurity/</ref>
Massiivsed andmelekked said hoo sisse umbes alatest aastast 2005. Võis neid olla varemgi, aga mitte selliseid, mida oleks avastatud. 2005-2007 mõtles  Albert Gonzales välja kuritegeliku rühmituse TJ Maxxi rõivapoe klientide krediitkaardiandmete varastamiseks. Ligikaudu 45 miljoni ostleja krediitkaardiandmed varastati. See läks ka firmale maksma 256 miljonit dollarit. Ka ettevõtted hakkasid lõpuks rohkem nägema, et andmete mitte kaitsmine võib kalliks kätte minna. <ref name="iv">InfoSecurity Group. Defining Moments in the History of Cyber-Security and the Rise of Incident Response [Internet]. Publitseeritud: 4. detsember 2014. Tsiteeritud: 16. mai 2019. https://www.infosecurity-magazine.com/opinions/the-history-of-cybersecurity/</ref>


Võidurelvastumine on tänapäeval täies hoos ning andmete turvalisuse tagamine on üks ülimalt olulisi aspekte, puudutades nii andmete füüsilist kui virtuaalset kaitset. Rünnakute automatiseerimise tõttu ei ole ka väikesed, pealtnäha tundmatud firmad hoitud sellise raskuste eest.
Võidurelvastumine on tänapäeval täies hoos ning andmete turvalisuse tagamine on üks ülimalt olulisi aspekte, puudutades nii andmete füüsilist kui virtuaalset kaitset. Rünnakute automatiseerimise tõttu ei ole ka väikesed, pealtnäha tundmatud firmad hoitud sellise raskuste eest.

Revision as of 12:48, 16 May 2019

Sissejuhatus

Euroopa andmekaitsenõuete uuenemise valguses on andmete kaitse viimastel aastatel tõusnud ka avalikkuse silmis küllaltki päevakorraliseks teemaks. Kuigi juba pikka aega on hoiatatud pahavara ja kahtlaste kirjade eest ning rõhutatud keeruliste paroolide seadmise olulisust ning nende mitte jagamist, siis just legislatiivsed muudatused on vähemalt tarkvaraarenduse valdkonnas olnud viimasel ajal tõukeks andmekaitsele keskendumisel. Olgem ausad, tihtipeale annavad selle tõuke andmelekkeskandaalid, kuid ka nende puhul on tihti kerge arvata, et „küllab meiega nii ei juhtu“. Käesolevas kirjatükis räägitaksegi kõigepealt Internetiajaloo esimestest andmekaitsemuredest, legislatiivsest ajaloost ja tänapäevast, Euroopa Komisjoni uuest andmekaitsemäärusest ning sellest, miks see vajalik on – seda läbi tähelepanuväärsemate näidete – ning lõpetuseks ka veidi sellest, kuidas oma andmete turvalisust paremini tagada.

Lõike jagatud võrgu varajasest ajaloost

70-ndatel ja 80-ndatel olid peamiseks andmelekkeohuks liiguudishimulikud silmad, s.t andmed ei lekkinud niivõrd tehnoloogiliselt kui läbi pahatahtlike isikute. Samas olid pahavara ja võrgulekked samuti täiesti olemas. Üks markantsemaid näiteid on Markus Hessi ARPANETi häkkimine, mis võimaldas tal lõppkokkuvõttes ka Pentagoni arvutitest andmeid varastada ning neid venelastele müüa. Sellest kasvas välja eepiline heitlus astronoomi Clifford Stolli-ga, kes teo aastal 1986 avastas ning pahalast kinni püüda üritas ning lõpuks tal see enda leiutatud meepoti meetodil ka õnnestus. Stoll on hea jutuvestja ning andis sellest välja terve raamatu. [1]

See muidugi ei tähenda, et elektroonilisi andmelekkeid ei eksisteerinud juba varasemalt. Üks tuntumaid esimesi andmelekkeskandaale oli 90 miljoni ameeriklase krediidiajalugude lekkimine aastal 1984. TRW Reporting Agency avastas, et ühte nende faili on sisse tungitud ning uurimine selgitas, et keegi oli Sears’i poes parooli kirja pannud ja veebi üles riputanud. [2] Lahenduseks, kui sellest teada saadi, oli lihtsalt parooli vahetamine.

Kuigi mitte otseselt andmeleketega seotud, siis viiruste agressiivse ajastu alguseks võib ehk lugeda Robert Morrise viirust, mis loodi aastal 1988. Tähelepanuväärne on, et esimene viirusetõrjele pühendunud firma – McAfee – loodi juba aastal 1987, seega oli vajadus juba täiesti olemas. Morris lõi ussi enda sõnul selleks, et rohkem tähelepanu juhtida süsteemide turvalisusele, kuid viirusesse oli sisse kirjutatud replitseerumine ja et üks masin võiks mitu korda nakatuda, tappis see peaaegu kogu võrgu maha – kogu jõudlus läks Morrise levitamise peale. Sellele järgnes ka esimene USA Computer Fraud and Abuse Act-il põhinev karistus. [3]

Massiivsed andmelekked said hoo sisse umbes alatest aastast 2005. Võis neid olla varemgi, aga mitte selliseid, mida oleks avastatud. 2005-2007 mõtles Albert Gonzales välja kuritegeliku rühmituse TJ Maxxi rõivapoe klientide krediitkaardiandmete varastamiseks. Ligikaudu 45 miljoni ostleja krediitkaardiandmed varastati. See läks ka firmale maksma 256 miljonit dollarit. Ka ettevõtted hakkasid lõpuks rohkem nägema, et andmete mitte kaitsmine võib kalliks kätte minna. [4]

Võidurelvastumine on tänapäeval täies hoos ning andmete turvalisuse tagamine on üks ülimalt olulisi aspekte, puudutades nii andmete füüsilist kui virtuaalset kaitset. Rünnakute automatiseerimise tõttu ei ole ka väikesed, pealtnäha tundmatud firmad hoitud sellise raskuste eest.

Andmekaitse areng ja seadusandlus

Andmete pidamine iidses maailmas oli võimalik ainult eliitidele. Alguses säilitati andmeid papüürusel, looma nahkadel, kividel jne. Rooma õiguse 12 tahvli seadused on esimene tõend kirjutatud õigusest. Privaatsuse päritoluks peetakse Rooma õigusest tulenevat actio iniuriarum, mis tähendab füüsiliste vigastuste hüvitamist ja isikupära mitte füüsiliste seisukohtade kahjustamise hüvitamist [5]. Õigus privaatsusele on loomulik õigus ehk inimesed eeldavad seda loomuomaselt. Õigus privaatsusele eksisteeris ka enne kehtivaid seadusi. Esimest korda toodi välja õigus privaatsusele artiklis 1890. aastal Ameerika Ühendriikides. See tähendas, et igal inimesel on õigus, et teda jäetakse rahule [6]. 1948. aastal võetakse inimõiguste deklaratsioonis vastu õigus privaatsusele. 1950. aastal võttis õiguse privaatsusele vastu ka Euroopa inimõiguste konventsioon. 20. sajandil toimusid veel mitmed muudatused seoses õigusega privaatsusele näiteks FOIA (Freedom of Information Act), mis tähendab, et inimestel on õigus pääseda ligi riigi dokumentidele. OECD (Organisation for Economic Co-operation and Development), mis on andmete kaitse seoses arvutite kasutamise suurenemisega. 2014 aastal Euroopa Liit leidis, et Euroopa õigus annab inimestele õiguse otsingumootoritelt eemaldada andmeid, mis sisaldavad nende nime. Sellest sai kontsept „õigus olla unustatud“. 2016. aastal tuli GDPR, mis asendab Andmekaitseseadust.

Eestis on kaks põhilist seadust, mis tegelevad isikuandmete kaitse ja järelevalvega. Isikuandmete kaitse seadus (IKS) reguleerib isikuandmete kaitset ja järelevalvet ning Andmekaitse Inspektsiooni seisundit. Elektroonilise side seadus (ESS) teostab elektroonilise otseturustuse järelevalvet ja sideettevõtjate isikuandmete alaste rikkumiste järelevalvet [7]. Kuna me asume Euroopa Liidus on meile kohustuslikud ka EL direktiivid, määrused ja lepingud näiteks Isikuandmete kaitse üldmäärus, Euroopa Liidu põhiõiguste harta jne. Rahvusvahelisest õigusest tulevad arvutikuritegevusevastane konventsioon, eraelu kaitse ning piiriüleste isikuandmevoogude juhend, inimõiguste ja põhivabaduste konventsioon jne. Intellektuaalset omandit reguleerib autoriõiguse seadus.

IKS § 43 kohustab vastutavaid ja volitatud andmete töötlejaid vajalike turvameetmete kasutamiseks, et välistada kolmandatele isikutele igasugune ligipääs andmetele [8]. IKS § 44 ja § 45 kirjeldavad Andmekaitse Inspektsiooni ja andmesubjekti teavitamisest rikkumiste korral. Kui toimub rikkumine, mis võib põhjustada füüsilise isiku õigustele ja vabadustele ohtu, tuleb sellest teavitada 72 tunni jooksul Andmekaitse Inspektsiooni. Andmesubjekti tuleb samuti teavitada esimesel võimalusel välja arvatud siis kui teavitamine tooks kaasa ebaproportsionaalsed kulud ja rikkumisest on üldsust teavitatud või vastutav töötleja on rakendanud asjakohaseid kaitsemeetmeid ning suurem oht on andmesubjekti õigustele ja vabadustele likvideeritud. Andmekaitse Inspektsioon võib otsustada pärast rikkumise raskuse hindamist, et andmesubjekti teavitamine on kohustuslik. Isikuandmete töötlemise nõuete rikkumise, andmesubjekti õiguste rikkumise vastutava töötleja ja volitatud töötleja kohustuste rikkumise puhul võidakse määrata rikkujale rahatrahv [8].

Nagu IKS puhul on ka ESSis toodud välja isikuandmete kaitse paragrahvid. ESS peatükk 10 sisaldab andmete turvalisuse ja kaitse norme. Sideettevõtja peab tagama sidevõrgu turvalisuse ja mitte võimaldama kolmandatel isikutel pääseda ligi andmetele, mis sisaldavad infot sideteenuse kasutamise üksikasjade kohta, edastatava sõnumi sisu ja vormi kohta ja andmeid sõnumi edastamise aja ja viisi kohta [9]. Nii nagu ka IKS puhul on ESS rikkumiste korral vaja teavitada Andmekaitse Inspektsiooni ja kui rikkumine võib kahjustada klienti ja kasutajat, siis peab esimesel võimalusel klienti teavitama. Turvalisuse nõuete rikkumiste korral on karistuseks rahatrahv.

Andmekaitse seadusandluse mõte on reguleerida kuidas andmeid hoitakse, milliseid andmeid võib hoida ja kui kaua ning mida teha rikkumiste korral. Andmekaitseseadused täienevad pidevalt, sest tehnoloogia arenguga on vaja reguleerida andmete haldamist. Isikuandmed võivad äriliseks tegevuseks olla väga kasulikud näiteks nende müümise teel - et kaitsta andmete sattumist kolmandate isikute kätte ilma õigusliku aluseta on vaja reguleerivaid seadusi. Õigus privaatsusele on inimeste põhiõigus ja loomuõigus, mille tagamine peaks olema andmetega tegelejatele kohustuseks. Andmelekked on väga tõsised rikkumised ja võivad sisaldada väga diskreetset infot. Inimesed võivad saada väga suuri rahalisi ja moraalseid kahjusid. Turvalisuse tagamine on teinekord keeruline, aga tekitatud kahju tuleb seaduste rikkujatel hüvitada ja suure kahju korral on rikkumise eest trahvid kuni 10 miljonit eurot [8].

Kuidas riigid saavad aidata ehk kas me GDPR-i nõudeid täidame?

Andmete lekkimise üle ei tunne muret mitte ainult ettevõtted ja inimesed ise, vaid ka riiklikud institutsioonid. Regulatsioone on erinevates piirkondades vastu võetud mitmeid, siinkohal vaatleme Eesti kodanikke enim mõjutavat regulatsiooni: isikuandmete kaitse üldmäärust [10] ehk lühidalt ja edaspidi GDPR-i.

Mis üldse on GDPR?

“Lühidalt tahab GDPR, et ettevõtted ja organisatsioonid käitleksid isikuandmeid nagu äsja sündinud kassipoega – väga ettevaatlikult.” [11] Selliselt võtab Ardi Jürgens oma blogiartiklis regulatsiooni lühidalt kokku ja põhimõtteliselt võib sellise kirjeldusega ka nõus olla. Dokumendi eesmärk on ühtlustada nõuded, mis esitatakse igale ettevõttele, kes tegeleb isikuandmetega. Dokument [10], märgib üld-sätetena ära kolm eesmärki:

Kirjeldada õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.

Kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.

Isikuandmete vaba liikumist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel.

Sisuliselt on dokument loodud selleks, et luua justkui sild füüsiliste isikute ja nende digitaalse kuvandi vahel. Dokumendi eesmärk on kaitsta päris inimesi ja nende digitaalseid andmeid, määrates õiguse olla kaitstud, kui põhiõiguse. Eesmärk on üllas, aga lahendus üsna keeruline ja raskesti mõistetav bürokraatia. Jätame kõrvale kõik muud aspektid ning keskendume sellele, kuidas antud regulatsioon mõjutab konkreetselt andmelekkeid.

Kuidas GDPR aitab andmete lekkimist vältida?

On tervitatav, et euroopa parlament üritab tegeleda mitte andmelekete vaid nende ennetamisega. Sama teevad ka kohusetundlikud arendajad, andmeid saab ainult kaitsta, tagantjärele leket tagasi võtta on ju võimatu. Pädeva arendaja jaoks ei ole tegu millegi uuega, isikuandmeid peaks hoidma võimalikult vähe ja võimalikult eraldi teistest andmetest, taolisi nõuded peaks järgima iga infotehnoloog juba esimesest rakendusest alates. GDPR määratleb ära ühe huvitava sanktsiooni: audit. Just see tundub loogiline viis, kuidas vähendata andme lekete arvu ja lekkivate andmete sensitiivsust, teadmine, et igal hetkel võib keegi tulla süsteemi auditeerima, võiks sundida arendajaid looma turvalisemaid süsteeme. Usk, et audit tuleb, aitab ehk vältida andmebaase, mis kasutavad iganenud räsisid (näiteks nõrka MD5[12] algoritmi) või lausa loetavaid paroole, servereid, kuhu saab sisse logida kasutajaga “ubuntu” jmt. Usk, et audit tuleb, väldib ehk osaliseltki turvanõuetele vilistamist.

Seadusandlus on keeruline

Kuigi GDPR selgitab põhjalikult eesmärke ja põhimõtteid, mis kehtivad isikuandmete käitlemisel, ei muuda seaduse vastu võtmine ühtegi süsteemi otseselt turvalisemaks. Konkreetne regulatsioon on hea näide sellest, kuidas luua seadus, mille eesmärgiga on kõik nõus, mille põhimõtete vastu keegi eksida ei taha; samas mõista, missugused teod seadusevastased on, ei ole lihtne. Määruses on küll ära kirjeldatud, et andmeid peab kaitsma iga isikuandmete töötleja, aga samas ei saa ära kirjeldada reegleid või instruktsioone, mis tagaks andmete turvalisuse - peab leppima, et andmeid varastada soovivad isikud on alati ühe sammu võrra ees. GDPR seab küll ettevõtted vastutavaks oma lekete eest, kuid keskendub vähem kirjeldustele, kuidas täpselt peaks andmeid turvama või mis olukorras on vargus force-majore. Samuti on üheks regulatsiooni kitsaskohaks ettevõtlusvabaduse piiramine. Tehes keeruliseks isikuandmete käsitlemise, ütleb parlament sisuliselt, et kui minu ettevõttel pole piisavalt oskusi või raha, et legaalset abi osta, siis pean ma kas riskima sellega, et satun vastuollu seadusega teadmatusest või loobuma kasutajatelt ees- ja perekonnanime küsimisest ning andma seega suurematele, rikkamatele konkurentidele turul eelise. Kahjuks loob GDPR kaudselt keskkonna, kus inimesi aitava tarkvaratoote loomine muutub kallimaks ja keerulisemaks väiksetele tegijatele.

Kuidas GDPR aitab andmelekeid vältida?

Mingil määral on GDPR sarnane juba mõnda aega kehtivate karmide reeglitega krediitkaardide turul PCIDSS[13]. Kuigi krediitkaardi numbrite hoidmine on veelgi rohkem reguleeritud, siis lekib numbreid aeg-ajalt sellegi poolest. Kuigi trahvid ja tagajärjed ettevõtetele on veelgi rängemad, et õnnestu mitte kellelgi luua 100% turvalist süsteemi. Nii ka isiku andmetega - ükskõik kui palju vaeva nähakse, ei ole andmelekke risk kunagi 0%. Seda tunnistab ka GDPR, kirjeldades ära, et andmete lekkimisel kohustub ettevõte oma kasutajaid teavitama, kirjeldatakse ka ära trahvid, mis tasuda siis, kui teavitustöö jääb tegemata. Samas on siin tegu tehnilisest seisukohast pisut absurdse nõudega, sest hetki, kus andmed teoreetiliselt võivad lekkida on palju, samas viise, et tuvastada, kas keegi midagi varastas, on väga piiratud hulk.

Isikuandmete töötlejal on oluline mõista, et andmetega tuleb olla ettevaatlik, samuti peab iga käsitleja mõistma kõiki keerulisi regulatsioone, millest GDPR on vaid üks, et maandada riske ja vältida trahve. Kahjuks võib juhtuda, et aeg, mille kulutame seadusandlusega tegelemisele võib olla kasutu. Pigem peaksime kulutama aega, et mõista tehnilisi lahendusi ja nende kitsaskohti, olenemata sellest, kas ja mis seadus meie rakendust reguleerib. Leian, et hästi läbimõeldud süsteem, heade abstraktsioonidega on turvalisem, kui see, mis rangelt ainult regulatsioonile vastavuse seisukohast disainitud on.

Näiteid andmeleketest ja nendega toime tulemisest

Andmete turvalisus on iga aastaga üha põletavam teema. Ettevõtete klientide tundlike andmete lekkimise tagajärjed ei mõjuta ainult ettevõtteid, vaid ka inimesi, kelle andmed saadi kätte. Ettevõtete jaoks on see kulukas kuna ajakirjandus ja andmelekkest tulenev kahju mõjutab otseselt nende mainet. Samuti kulub rikkumise heastamiseks meeletu aeg ja raha ning tuleb rohkelt panustada klientide andmete kindlustamisele tulevikus. Eraisiku jaoks võib kujutada see privaatsuse kaotust, potentsiaalset identiteedivargust ja lugematuid tunde turvalisuse taastamiseks. Et aidata inimestel paremini mõista andmete varguse mõju kaasaegses ühiskonnas ning nendega kaasnevaid riske, siis vaatleme paari rikkumise ohvriks sattunud ettevõtet.

Yahoo

Maailma üks suurimaid teadaolevaid infovargusi on ülekaalukalt olnud Yahoo andmelekked, mille tulemusel saadi ligi kasutajate andmetele. Lekkisid nimed, sünnipäevad, telefoninumbrid ja salasõnad. Salasõnad olid krüpteeritud kujul, kuid paljud turvaküsimused ja vastused olid krüpteerimata kujul. Kuna inimesed tihti kasutavad samu paroole ja turvaküsimusi erinevatel lehekülgedel, siis see võimaldab ühe ettevõtte lekke puhul tagada ligipääsu ka mujale. Kuigi uudiseid on Yahoo andmelekete kohta palju, siis võib leida väga vastakaid arvamusi, kes korraldas rünnakud, millal Yahoo ise teadis ning miks ei teavitatud kliente rünnakust varem.

Algse info kohaselt toimus esimene teadaolev rünnak 2014. aastal ning selle käigus suudeti üle 500 miljoni Yahoo kasutaja andmed kätte saada. Alles 2016. aasta septembris teavitati avalikkust esimesest andmelekkest. Tegemist oli maailma kõige suurema andmelekkega inimkonna ajaloos. Siiski ei pidanud kaua ootama uut rekordit ning 2016. aasta detsembris teavitati veel suuremast andmelekkest, mis toimus 2013. aastal ehk siis veel varem. Kolme miljardi Yahoo kasutajakonto andmed suudeti 2013. aasta augustis rünnaku käigus kätte saada. See tähendas, et kõikide selleks hetkeks registreeritud kasutajate andmed olid võõrastes kätes. Praeguseks on teada ka info, et saadud andmetega on teostatud täiendavaid rünnakuid kindlatele kasutajatele aastatel 2015-2016 [14].

Kuigi suured andmelekked toimusid 2013. ja 2014. aastal, siis Yahoo kasutajaid ja avalikkust teavitati andmete lekkest alles mitu aastat hiljem. Algselt väideti, et Yahoo töötajad ei olnud ka ise varem leketest teadlikud, kuid erinevate allikate väitel on siiski rünnakud olnud neile teada mitu aastat varem.

Ründajad on müünud kasutajaandmeid mustal turul erinevatele soovijatele. Kuigi ei ole teada, kui suurt kahju võis andmeleke tegelikult põhjustada, siis varasem teavitus oleks väga palju kaasa aidanud kasutajate turvalisuse tõstmisele. Mis aga põhjustas väga hilise teavituse? Erinevate spekulatsioonide kohaselt võis andmelekke varjamise taga olla Verizon’i huvi Yahoo vastu. Nimelt soovis Yahoo’d ära osta suur USA telekommunikatsiooni ettevõte Verizon Communications Inc., mis teostati 13. juunil 2017. Teiseks võimalikuks põhjuseks võis olla ka ettevõtte juhtide isiklik huvi säilitada oma töökoht ja kaasnevad boonused, mis küündisid miljonitesse dollaritesse aastas.[15]

Keda on süüdistatud rünnakute korraldamises? 2013. aasta kohta on Yahoo esindajad teavitanud ainult, et volitamata osapool varastas kasutajakontodega seotud andmed. 2014. aasta rünnakutes süüdistatakse välisriigi poolt sponsoreeritud ühendust. Ameerika Ühendriigid on esitanud süüdistuse neljale mehele, kellest kolm on venelased. Kahte neist seostatakse Venemaa Föderatsiooni Föderaalse Julgeolekuteenistusega (FSB). [16] Peale lekete avaldamist on Yahoo vastu esitatud mitmeid hagisid. Yahoo'd süüdistatakse avalikkuse hilise teavituse eest toimunud lekete kohta, millest nad ise olid teadlikud. Kohtule esitatud tõendite hulgas on väidetavalt ka aruandeid, et juba 2008. aastal on toimunud esimesed rünnakud, mis on hõlmanud mitmeid miljoneid kontosid, kuid Yahoo on need süüdistused tagasi tõrjunud.

Andmeleke on suur probleem. Mida suurem on ettevõte, seda suuremad on ka tagajärjed. Veel hullemaks muudab olukorra aga andmelekete varjamine.

Marriott International

Eesti uudistes üllatavalt vähe kõneainet pakkunud, kuid maailmas üks suuremaid ja andmete olulisuse poolest võib-olla isegi kaalukam kui Yahoo küberrünnakud, oli Marriott International klientide andmete vargus. Küberkurjategijad said kätte klientide nimed, meiliaadressid, telefoninumbrid, passinumbrid, sünniaastad, sood, hotelli saabumise ja lahkumise andmed, tulevased reservatsioonid ja krediitkaardi info.

30. novembril 2018 tulid Marriotti esindajad avalikkuse ette infoga, et umbes 500 miljoni kliendi andmed on lekkinud. Esimesed teadaolevad lekked ulatuvad 2014. aasta algusesse kui lekkisid Marriotti Starwood hotelliketi andmed. Ettevõte väidab, et nemad said lekkest teada alles 2018. aasta sügisel. 2018. aasta 8. septembril avastati külaliste reserveerimise andmebaasi sissemurdmine. See avastus käivitas edasised uurimised, mille tulemusel tuvastati, et andmed on juba 2014. aastast lekkinud. Mis teeb aga õpetlikuks just selle loo puhul on see, et Starwood osteti aastal 2016, millega võidi sisse osta ka avatud värav kõikidele teistele Marriotti klientide andmetele.

Marriotti küberrünnakuid uurivad eradetektiivid on avastanud häkkimisvahendeid, tehnikaid ja tööriistu, mida varasemalt on seostatud Hiina häkkeritega ning põhjendatult kahtlustatakse Hiina luureagentuuri. Uurimist raskendavad asjaolu, et mitmed häkkerite rühmitused võisid omada ligipääsu Starwoodi arvutivõrkudesse üheaegselt. Kui peaks selguma kindlalt, et Hiina on spionaažis süüdi, siis raskendab see veelgi enam pingelisi suhteid USA ja Hiina vahel. Hiina eitab aga kõiki süüdistusi.

Kulude kokkuhoiu mõttes viiakse tihti ettevõtete omandamise käigus ka ühisesse andmete keskkonda klientide andmed. Marriotti ettevõttele võib andmete leke tähendada väga suurt väljaminekut. GDPR (General Data Protection Regulation) ehk isikuandmete kaitse määruse kohaselt on võimalik ettevõttele teha trahvi kuni 4% aastakäibest.[17] Marriotti puhul tähendaks see maksimaalselt trahvi 117 miljoni inglise naela ulatuses. Üleüldiselt on avalikkusele teadaolevatest leketest umbes 13% suudetud avastada ettevõtte siseselt.[18] Ülejäänud on info saadud väliselt allikalt. Nii Yahoo kui Marriott taustal on näha, et tegeliku lekke suurust on väga keeruline määratleda ning tihti edastatakse umbkaudsed numbrid.

Privaatsete andmete kaitse

Inimesel, kellel puudub tehniline huvi või haridus, on raske hoomata, kuidas internet töötab ja kui palju jalajälgi temast maha jääb. Seetõttu on internetis liikvel ka isikuid, kes üritavad seda ära kasutada - näiteks saada ligipääs sinu gmaili kontole, et saata spämmikirju. Selleks, et hoida oma andmed piisavalt turvatud, peaks jälgima mõningaid rusikareegleid.

Paroolid on väga olulised. Turvalisuse tagamiseks on tähtis, et salasõnad vastaksid teatud nõuetele. Paroolid peaksid olema ühekordsed ning tõusutundlikud, sisaldama numbreid ja kirjamärke. Põhimõtteliselt peaks olema salasõna suvaliste tähtede, numbrite ja kirjavahemärkide jada. Tänapäeval on arendatud tarkvara, mis aitavad paroole meeles pidada[19].

Üldiselt on hea tava teha enda arvuti andmetest varukoopia, et kaitsta andmeid erinevate viiruste (nt lunavara) eest. Sel juhul saab olla kindel, et andmete tagasi saamiseks ei pea maksma lunaraha. Varukoopia on mõistlik teha välisele kettale või pilveserverisse, et andmed kaduma ei läheks. Tulemüür, viirusetõrjetarkvara (nt Windows Defender) on abimehed, mis aitavad kaitsta arvutit viiruste ja halbade veebilehtede eest. Kasutada võib ka mõnda muud heaks kiidetud viirusetõrjet, näiteks ESET või Kaspersky tooteid.

Kui traadita võrku või Bluetoothi parasjagu ei kasuta, võiks selle alati välja lülitada. Kuna antud võrgud on üpriski ebaturvalised, siis on läbi wifi või Bluetoothi andmete kätte saamine üsna kerge tegevus. Samuti pole keeruline tegevus mõne sarnase külastatava veebilehe ülesseadmine ja seeläbi pangakonto paroolide kätte saamine. Ühendamine avalikku wifivõrku on suur turvarisk, hea on seda vältida ja teha hot-spot näiteks telefoniga[20].

Tänapäeval on suur osakaal internetis olevatest seadmetest mobiilsed. Mobiilsetes seadmetes, nagu näiteks sülearvuti või mobiiltelefon, hoiame me palju informatsiooni. Mõistlik oleks telefonil sätestada mõni programm või lubada seadistus, mille järgi saab telefoni üles leida, kui see on varastatud/kadunud. Kindlasti tuleks seadistada telefonile parool, näpujälg või mõni muu tuvastusseade. Samuti võiks hoiduda ebaturvalistest veebilehekülgedest, sest ka mobiiltelefonidel on olemas pahavara.

Alati on hea hoida oma seadmed viimasel operatsioonisüsteemil ja tarkvara värskeimail uuendusel. Tihti parandatakse uuendustega turvaauke ja muid probleeme. Automaatne uuendamine pole samuti paha mõte.

Sülearvuti, telefoni või mõne muu andmekandja müümisel kirjuta üle kõik andmed, mis sinna salvestatud. Eeldus, et faili kustutamine kõvakettalt või muult andmekande seadmelt kustutab selle igaveseks, on vale. Liikvel on palju ka tasuta tarkvara, millega kustutatud faile taastada saab.

Mõelda tuleb ka andmete jagamise peale internetist väljaspool. Näiteks on populaarne andmete kogumine kaubanduskeskuses, kus vastutasuks loositakse välja reis või mõni muu sarnane hinnaline ese. Tegevusega kogutakse hulk inimeste andmeid, mis hiljem maha müüakse. Pärast andmete jagamist võid oodata emaile ning telefonikõnesid toodete või teenuste pakkujatelt.

Ettevõtjal on kohustus hoida klientide ja töötajate andmed turvalisena. Andmetele peab olema ligipääs ainult neil inimestel, kellel on õigus antud infole. Samuti on hea tava selgitada enda klientidele ja töötajatele, mis nende andmetega tehakse ja kuidas neid salvestatakse.

Ebamõistlik on hoiustada andmeid, mida ettevõtjal vaja ei lähe, see toob kaasa ainult probleeme ja suuremaid turvariske. Näiteks, kui isikukoodi ei ole otseselt vaja, siis ei ole mõistlik seda siduda kasutajakontoga. Alahinnata ei tohiks turvariske, üldiselt arvatakse, et väikeettevõtted ei ole sihtmärgid. Inimesed kes üritavad ettevõtte andmeid kätte saada just sellele loodavadki, et ettevõtja mõtleb, et tema salvestatud andmeid ei soovita.

Ettevõtte süsteemidele kehtib sama idee nagu personaalsetele süsteemidele, tarkvara on mõistlik hoida värskeima versiooni peal ja Tulemüür üleval. Kõik välised seadmed peaks eelnevalt võrgust eemal olevatel masinatel üle kontrollima. Samuti on ettevõtte võrgus hea kasutada kihtidena spämmifiltreid, kuna see eemaldab osa malware ja phishing ründeid. [21]

Ettevõtte välised seadmed k.a sülearvutid on mõistlik hoida krüpteerituna. Juhul kui seade satub varga kätte, ei ole neil juurdepääsu andmetele. Kõige suurem turvaauk ettevõtte andmetele on töötaja ise. Töötajad peab hoidma informeeritud ja koolitatud, et nad oleksid teadlikud riskidest. Koolitusi oleks hea korrata aasta lõikes, et hoida meeles põhireeglid. Samuti saab koolitusel alati üle käia protsesside või süsteemide uuendused ja uusim tehnoloogia.

Kokkuvõte

Inglise keeles on väljend, mille tõlge oleks ligikaudu „Meil ei saa midagi head olla.“ Seda kasutatakse eriti illustreerimaks, et alati leidub mõni tegelane, kes rikub asja teiste jaoks ära. Sama on lugu veebivõrguga. Kui seadmeid juba rohkem võrku ühendus, leidus kohe ka tegelasi, kes seda lõhkuma ja rikkuma hakkasid. Seda veel enne, kui Internetis äritegevust lubama hakati. Nimetatud sündmuse kohta on teada, et sellele järgnes tohutu rämpspostilaine.

Andmete varguseks on erinevaid viise. Lisaks isiklikule turvateadlikkusele on ettevõtted, kes andmeid käitlevad, sunnitud jälgima erinevaid seaduseid, mis elu natuke keerulisemaks teevad. GDPR-i on tänapäeva maailmas vaja, mingil kujul oli see ju liikmesriikides juba täiesti olemas. See ei olnud midagi nii uut, sest seadusandlus üldiselt juba kattis ka seda vajalikku valdkonda.

Massiivsed andmelekked tuletavad ikka aeg-ajalt meelde, et tegemist on võidurelvastumisega ning andmete salvestamisel tuleb jälgida väga erinevaid aspekte, et tagada ka ohutus lekete korral. Paroole ei tasu avaldatud kujul ikka baasis hoida!

Kasutatud materjalid

  1. Stoll C. The cuckoo's egg: tracking a spy through the maze of computer espionage. Simon and Schuster; 2005 Sep 13.
  2. Washington Post. Computer Raiders Hit Big Credit File [Internet]. Publitseeritud: 11. juuni 1984. Tsiteeritud: 16. mai 2019. Saadaval: https://www.washingtonpost.com/archive/politics/1984/06/22/computer-raiders-hit-big-credit-file/d3581cf9-8301-4a99-bae8-9c1742da7d19/?noredirect=on&utm_term=.8e81a77121b9
  3. Sentinel One. The history of cyber security - everything you ever wanted to know [Internet]. Publitseeritud: 10. veebruar 2019. Tsiteeritud: 16. mai 2019. Saadaval: https://www.sentinelone.com/blog/history-of-cyber-security/
  4. InfoSecurity Group. Defining Moments in the History of Cyber-Security and the Rise of Incident Response [Internet]. Publitseeritud: 4. detsember 2014. Tsiteeritud: 16. mai 2019. https://www.infosecurity-magazine.com/opinions/the-history-of-cybersecurity/
  5. https://www.academia.edu/2181154/The_Origin_of_Privacy_as_a_Legal_Value_a_Reflection_on_Roman_and_English_Law
  6. https://www.britannica.com/topic/rights-of-privacy
  7. https://www.aki.ee/et/eraelu-kaitse/oigusaktid
  8. 8.0 8.1 8.2 https://www.riigiteataja.ee/akt/104012019011
  9. https://www.riigiteataja.ee/akt/113032019047?leiaKehtiv
  10. 10.0 10.1 Euroopa parlamendi ja nõukogu määrus 2016/679 - https://eur-lex.europa.eu/legal-content/ET/TXT/HTML/?uri=CELEX:32016R0679#d1e1362-1-1
  11. Ardi Jürgens, Postitatud 1. juuni 2017, Zone.ee Blog - https://blog.zone.ee/2017/06/01/isikuandmete-kaitse-uldmaarus-gdpr-mis-see-on/
  12. MD5 message-digest algorithm - https://en.wikipedia.org/wiki/MD5
  13. Payment Card Industry Data Security Standard - https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
  14. https://www.bbc.com/news/technology-47044652
  15. https://www.databreachtoday.com/yahoo-ceo-loses-bonus-over-security-lapses-a-9748
  16. https://www.ballardspahr.com/alertspublications/articles/2018-05-11-yahoo-data-breach.aspx
  17. https://www.theguardian.com/world/2018/nov/30/marriott-hotels-data-of-500m-guests-may-have-been-exposed
  18. https://blog.malwarebytes.com/101/2018/12/2018-the-year-of-the-data-breach-tsunami/
  19. How to Keep Your Personal Information Secure, US FTC - https://www.consumer.ftc.gov/articles/0272-how-keep-your-personal-information-secure
  20. Securing Your Wireless Network, US FTC - https://www.consumer.ftc.gov/articles/0013-securing-your-wireless-network
  21. Paul Cucu, Blog - How to Secure a Business Network, Servers and Endpoints https://heimdalsecurity.com/blog/secure-business-network/