Kuidas vabaneda ettevõtte andmeleketest?

Mõnikord murtakse sisse ettevõtte veebilehele või serverisse ning pahalased saavad ligi olulistele andmetele. Andmelekke tulemusena varastatud infot võib kurjategija proovida müüa tagasi ettevõttele endale, edastada mõnele kolmandale osapoolele (näiteks konkurendile) või lihtsalt avalikult ja pahatahtlikult Internetis levitada. Kokkuvõttes tähendab andmeleke ebameeldivusi, kuna firmast viiakse ilma loata välja andmeid, mis võivad olla klientide isiklikud kontaktandmed (telefoninumbrid, e-posti aadressid, pangaandmed) kui ka ärisaladused.

Andmeleke on võimalik aga siis, kui ettevõte ei säilita oma teavet turvaliselt. Kuidas seda teha ja kas kõiki andmeid peab ilmtingimata alles hoidma?

Mis on digiprügi?

Digiprügi all mõeldakse eelkõige neid andmeid, infot, faile ja muud, mis pole enam kellelegi väärtuslikud ega leia kasutust. Teatud kontekstis aga võivad need olla ka elektroonikaseadmed, mida enam ei kasutata.

Meie vaatleme aga andmelekke seisukohast seda osa digiprügist, mis koosneb infost. Siia võivad kuuluda ebavajalik ja kasutuseta arvutite kõvaketastel või serverites salvestatud info, programmid ja failid, vananenud andmebaasid, tekstid, pildid, videod, samuti kasutud kasutajakontod.

Andmete digiprügi murele hakatakse tavaliselt mõtlema alles siis, kui juhtub mõni turvaintsident või tuntakse ebamugavust, näiteks

• kui arvuti muutub talumatult aeglaseks, sest sinna on installitud palju programme;
• on kadunud mõni vajalik fail või e-kiri, mida tuleb taastada;
• mõistetakse, et kui igast failist on arvutis mitu versiooni, siis on üsna tüütu tuvastada, milline neist on kõige õigem;
• on olnud juhuseid, kui müüdud nutiseadmega on kaasa läinud ka sotsiaalmeedia konto ja pildigalerii.

Jättes asjad laokile või hoides sarnast infot veidi erinevates versioonides alles, oleme loonud tõeliselt mitmepealise lohe, millel ühe pea maha kaksates võib kasvada asemele mitu uut.

Ka liiga palju seadmeid võib olla probleem

Enne uue seadme soetamist tuleb läbi mõelda, kas tegemist on õigustatud kuluga, kui vana arvuti on alles kasutuskõlbulik. Vana seadme ära viskamise või kappi seisma jätmise asemel tasuks mõelda selle utiliseerimisele või taaskasutusse andmisele.

Inimesed arvavad, et digiprügi mure neid veel tõsiselt ei häiri, sest digiprügiga ei ole seni kaasnenud negatiivset kogemust. Pigem ollakse uhked suure kõvaketta üle, millele on salvestatud suur hulk filme-muusikat, sest suhtumine "surres võidab see, kellel on kõige enam asju" valitseb ka digimaailmas.

Digiprügiga seotud muret peetakse tavaliselt teiste kontinentide probleemiks, sest kuskil seal kaugel toodetakse uusi ja utiliseeritakse vanu seadmeid. Paraku ei mõelda, et digiprügi võiks tähendada ka enda seadmete, failide ja harjumuste muutmist sisuloomes.

Millised on suurimad andmekaitsega seotud vead, mida ettevõtted teevad?

Cyentia Institute analüüsis 230 tuhande organisatsiooni andmeid ja tõi välja, et keskmiselt on igaühel otsesed seosed ligi kümne osapoolega. 

98 protsendi ettevõtete puhul oli üks nende äripartneritest sattunud ka andmelekke ohvriks. Uurijad märkisid, et kui ühes ettevõttes toimub andmeleke, siis see on ohuks ka kõigile tema koostööpartneritele.

IT-teenuseid ja lahendusi pakkuva OIXIO küberturbe ja võrgu müügiinsener Harri Uljas kommenteeris seda järgmiselt: "Küberturvalisuse maailmas on see tuntud tõde, et nõrga küberturbe tasemega ei kahjusta te mitte ainult oma ettevõtet, vaid on oht, et teete liiga ka teistele – oma klientidele ja koostööpartneritele. Kas sama statistika kohaldub ka Eesti ettevõtetele, on raske hinnata, pigem meil nii hull olukord ei ole. Samas on kahtlemata risk andmete lekkimiseks, läbi kolmandate ettevõtete, väga suur."

Üks näide on avalikkuse ette jõudnud Itella Smartposti leke, kus avalikuks said enam kui 10 000 kasutaja andmed. Teise näitena saab välja tuua 2021. aastal toimunud lekke riigi andmebaasist, kui laeti alla 286 000 inimese dokumendifotod.

Uljas toob veel esile, et see, mis jõuab avalikuse ette, võib olla ainult jäämäe tipp. Paljud ettevõtted ei julge sellest rääkida või ei pruugi olla sellest isegi mitte teadlikud, et nende ettevõttest on äriandmed või kliendiandmed lekkinud ja jõudnud tumeveebi müüki.

Miks ei taheta andmelekkest rääkida?

Andmeleketest ei taheta rääkida mitmetel põhjustel, peamised on neist järgmised:

• see toob kaasa mainekahju ja kardetakse klientide usaldust kaotada;
• tekkinud olukorda üritatakse sageli varjata oma jõududega parandades;
• parandamise efektiivsus sõltub enda IT-meeskonna pädevusest ja olemasolevast infrastruktuurist, mis peab võimaldama neid lekkeid piisava detailsusega avastada ja parandada;
• andmelekke avastamine ei tähenda, et pahalaste tegevus nendes süsteemides on selleks hetkeks lõppenud.

Milliseid levinumaid vigu on küberturbe praktikas ja kuidas neid vältida?

Küberturbe praktikas on ühed levinumad vead, mida ettevõtted teevad, just sellised ja siin on toodud ära ka võimalikud lahendused.

1. Nõrgad paroolid Kasutades lihtsaid paroole, jäetakse uks avatuks ka küberkurjategijatele. Alati soovitatakse kasutada keerulisi paroole ja kasutada paroolihaldureid ning mitmefaktorilist autentimist.
2. Puudulikud uuendused. Vananenud tarkvara on kurjategijatele kerge sihtmärk. Regulaarsed uuendused aitavad parandada teadaolevad turvaaugud.
3. Ebapiisav koolitus. Töötajad, kes ei ole teadlikud küberohtudest, võivad saada küberkurjategijate sihtmärgiks. Regulaarne koolitus aitab vähendada inimlike vigade riski.
4. Varundamata andmed. Ründajad võivad kasutada lunavararünnakuid, et lukustada teie andmeid ja nõuda lunaraha. Korralikud varundused võivad aidata selliste rünnakute vastu valmis olla.
5. Ebapiisav arvutivõrgu kaitse. Tulemüürid ja viirusetõrjeprogrammid on esimene kaitsejoon. Kui need pole korralikult seadistatud, võib see avada ukse ründajatele.
6. Füüsiline turvalisus. Mõnikord unustatakse, et andmed võivad olla ohus ka füüsiliselt – näiteks varastatud sülearvutid või mälupulgad.
7. Kolmandate osapoolte risk. Koostööpartnerid või tarnijad võivad olla nõrgim lüli. Veendu, et ka nemad järgiksid küberjulgeoleku parimaid tavasid.
8. Avatud võrgud. Avalikud Wi-Fi võrgud või nõrgalt kaitstud võrgud võivad olla kergesti rünnatavad. Kasutage VPN-i ja turvaprotokolle kontoriga ühenduseks.
9. Mittekasutatavad kontoõigused. Töötajad, kellel on ligipääs rohkematele ressurssidele kui vajalik, võivad olla ohuks. Piirake juurdepääsu ainult vajalikule.
10. Puudulik reageerimiskava. Kui rikkumine toimub, on oluline kiirelt reageerida. Ettevalmistatud reageerimiskava aitab kiiremini ja tõhusamalt tegutseda.

Siin on mõned soovitused, kuidas oma ettevõtet ohu eest kaitsta.

• Esmalt loo selgus, milliseid andmeid ja infot üleüldse teiste ettevõtetega vahetad. Vaheta ainult nii palju kui nõutud ja nii vähe kui võimalik.
• Küsi partnerettevõtte käest, kas nad on auditeeritud ja sertifitseeritud tuntud infoturbe juhtimissüsteemi või raamistikga, nagu näiteks ISO27001, ISKE, E-ITS.
• Kui sertifikaati või auditeerimise tulemust ei ole ette näidata, siis võib esmase hindamise ka omal jõul läbi viia, võttes aluseks mõne tunnustatud raamistiku, näiteks www.cisecurity.org/controls/v8. Kui omal jõul läheb hindamise läbiviimine keeruliseks, siis on mõistlik kaasata mõni küberturbega tegelev ettevõte.
• Võimalusel kasuta ettevõttesiseselt andmete klassifitseerimise ja krüpteerimise tehnoloogiat, millega tõkestad tahtmatult või tahtlikult tekitatud andmelekked.
• Ole hästi ettevaatlik kõikvõimalike võrguühenduste ja andmekonnektorite liidestuste loomisel kolmandate ettevõtetega. Kui selleks on vajadus, siis veendu, et küberturbe spetsialistid on selle ühenduse või liidestuse heaks kiitnud.
• Tänapäeval on võimalik kasutada tehnoloogiaid ja teenuseid, mis teevad tumeveebis regulaarseid skaneeringuid ja tuvastavad sinu ettevõtte (või sinuga seotud ettevõtete) andmelekked ning teavitavad nendest kohe.

Mida teha, et kliendiandmete töötlus toimuks seatud standardite järgi?

Kõik tööandjad, kelle tegevuse üheks vundamendikiviks on kliendiandmebaas ning kes tahavad olla kindlad klientide isikuandmete sihipärases kasutamises, peavad täitma andmekaitse- ja turvanõudeid.

Lisaks pööra tähelepanu sellele, et kliendiandmebaasid ei oleks allalaaditavad.

Esmalt tuleb töötajad informeerida, kuidas ja milleks võib kliendiandmeid üldse kasutada. Selleks on vaja kehtestada isikuandmete töötlemise reeglid ehk andmekaitsetingimused.

Teiseks peab tööandja võtma kasutusele infoturbemeetmed, mis muuhulgas tuvastavad ka andmete liikumise. Teisisõnu, tööandja peab hoolitsema selle eest, et igast toimingust jääb maha jälg logisse, mis vajadusel aitab saada ülevaadet andmete liikumisest. 

Olenevalt olukorrast võib mõnikord olla tegemist ka väärteoga isikuandmete kaitse seaduse järgi. Seega tubli ettevalmistus reeglite loomise läbi ettevõtte sees vastava dokumentatsiooniga ning nende sidumine IT-lahendustega on parim, mida saad teha kliendiandmebaasi ja töötajate isikuandmete kaitsmise teekonnal.

Kasutatud allikad:

• Ekspert selgitab: kui suureks probleemiks on andmelekked Eesti ettevõtetele? (Ärigeenius, viimati vaadatud 7.02.2025)
• Infoühiskond, 4. Isikuandmed ja nende elukaar (Infoühiskond, viimati vaadatud 7.02.2025)
• Isikuandmed ja töösuhted (Andmekaitse Inspektsioon, viimati vaadatud: 7.02.2025)