Ekspert hoiatab: andmeleke võib puudutada sind ka siis, kui sa pole kunagi ettevõtte klient olnud

Elisa infoturbejuhi Mai Krafti sõnul jääb avalikus arutelus sageli tähelepanuta, et andmelekked puudutavad tihti palju rohkem inimesi kui ettevõtte enda kliendibaas ning seega tuleb olla uudiste suhtes tähelepanelik.

Inimesed kipuvad mõtlema, et kui nad pole selle ettevõttega kunagi kokku puutunud, siis pole ka nende andmed ohus. Tegelikult liiguvad andmed sageli läbi hulga koostööpartnerite süsteemide. See tähendab, et kuigi algselt on kasutajaks hakatud mõnel platvormil, siis võivad osad ettevõtted oma töö tegemiseks reaalse vajaduse korral jagada neid ka teistega.

Paljud ettevõtted – ent mitte kõik – kasutavad oma töös kümneid erinevaid süsteeme, tarkvaraplatvorme ja alltöövõtjaid. Logistikafirmad, raamatupidamisteenuse pakkujad, kliendihaldustarkvara arendajad või turundusplatvormid töötlevad sageli samuti klientide andmeid. Kui rünnaku ohvriks langeb mõni neist, võivad lekkida ka nende inimeste andmed, kes pole selle ettevõttega kunagi otse suhelnud. Seejuures on oluline tähele panna, et need koostööpartnerid on ka teenuse pakkumiseks vajalikud ning andmed liiguvad vaid siis, kui selleks päriselt vajadus on.

Hea näide on mõne aasta tagune juhtum geenitestimisfirmaga, mille tagajärjel lekkisid ligi 10 000 patsiendi terviseandmed. Samas polnud enamik neist patsientidest kunagi ise selle ettevõttega kokku puutunud, vaid nende andmed jõudsid sinna arsti, labori või mõne muu meditsiiniteenuse pakkuja kaudu. Kokku puudutas juhtum 42 raviasutuse patsiente.

See tähendab, et kuigi suuremate andmeleketega seotud ettevõtete kliendid saavad tavaliselt teavituse ja saavad ka reageerida, näitab see vaid osa tegelikust pildist. Tänases tugevalt ühendatud digikeskkonnas tähendab iga suurem andmeleke, et potentsiaalselt võivad ohus olla ka paljud teised inimesed. See on klassikaline tarneahela risk – kui kuskil on keskne lüli, mis satub probleemidesse, võivad need probleemid kaudselt üle kanduda nende teiste koostööpartneriteni.

Sinu andmed liiguvad kaugemale, kui arvad

Heaks näiteks on ka e-poest ostmine. Kui klient teeb ostu, liiguvad tema nimi, aadress ja kontaktandmed sageli korraga mitmesse süsteemi: makseplatvormile, laohaldusesse, kullerteenusesse ja mõnikord ka turundusplatvormi.

Jah, tavaliselt on partnerid loetletud ettevõtte privaatsustingimustes. Praktikas on see aga paljudel juhtudel formaalsus, sest vähesed inimesed loevad neid dokumente detailideni läbi. Suurem osa endast lugupidavad ja reeglitele alluvaid ettevõtteid, sealhulgas enamus Eesti suurettevõtted, talitavad küll mõistlikult, kuid see ei pruugi nii alati olla näiteks väiksemate e-poodide puhul.

See tähendab, et andmete lekkimiseks ei pea tingimata rünnaku ohvriks langema e-pood ise. Piisab sellest, kui probleem tekib mõne partneri süsteemides. Nii ei ole potentsiaalne lekkekoht üks ettevõte, vaid terve võrgustik teenusepakkujaid.

Seetõttu tasub harjuda mõttega, et andmekaitseriskid ei lõpe seal, kus lõpeb kliendi otsene suhe ettevõttega. Kui meedias räägitakse andmelekkest ettevõttes, mille nime sa pole kunagi kuulnud, ei pruugi see tähendada, et juhtum sinuga kuidagi seotud ei ole.

Ettevõtte nimi ei pruugi midagi öelda, aga leke võib sind siiski puudutada

Euroopa isikuandmete kaitse üldmäärus ehk GDPR kohustab ettevõtteid teavitama andmekaitse inspektsiooni. Kui leke kujutab inimestele olulist ohtu, tuleb teavitada ka mõjutatud isikuid. Kui andmeleke toimub mõnes kolmandas ettevõttes, siis näeb õige protsess ette, et teenusepakkuja teavitab oma kliente ehk ettevõtteid, kes omakorda teavitavad oma kliente.

Ideaalis tähendab see, et inimene saab alati teada, kui tema andmed on lekkinud. Praktikas ei pruugi see aga nii lihtne olla, sest kuigi suuremad ja reegleid jälgivad siinsed ettevõtted peavad reeglitest kinni, siis ei pruugi see nii olla näiteks Indiast pärit PDF-genereerimise tööriista või konto loomist nõudva Korea pilditöötlusrakenduse puhul.

Paljudel juhtudel ei oska inimesed ka ise proaktiivselt infot otsida. Kui leke toimub ettevõttes, millega inimesel pole otsest kokkupuudet olnud, ei pruugi ta end mõjutatuna tunda. Samuti ei pruugi ettevõte alati teada, kelle andmeid täpselt see puudutab, eriti juhul, kui andmed on jõudnud süsteemi läbi partnerite või alltöövõtjate ning nende valduses on vaid osalised infokillud.

Seetõttu tasub igasse suuremasse andmelekkesse suhtuda tähelepanelikult, isegi siis, kui ettevõtte nimi tundub täiesti võõras.

Ka näiliselt kauge andmeleke võib tegelikult puudutada sinu andmeid. Just seetõttu tasub iga kord, kui mõnest suuremast lekkest räägitakse, võtta hetk ja kontrollida, kas see võib sind kuidagi puudutada – näiteks vaadata üle oma kontode turvaseaded või kontrollida, kas sinu e-posti aadress on mõnes lekkes esinenud.

Kuidas see lugu Sind end tundma pani? Saada Kommenteeri Loe kommentaare (8)