Äriregister on kelmidele tõeline kullaauk. Võta ainult järjest äri- ja muude ühingute lehti lahti ning saad kätte algandmed isiku tuvastamiseks. Esiteks on seal olemas isikukoodid, mis on Eestis samasugune avalik info, nagu inimese nimi. Teiseks on hea õnne korral kirjas ka telefoninumber.
Ja rohkem polegi vaja selleks, et alustada Smart-ID või mobiil-ID abil ükskõik kelle internetipanka sisselogimist. Vaja on veel PIN-koode, selleks luuakse inimesega usaldusväärne kontakt ning alustatakse psühholoogilist töötlemist.
Tõsi, alati see päris nii lihtne pole, ent kelmidel on info kättesaamiseks mitmesuguseid viise ning tihti annavad ka inimesed ise petukõne jooksul oma isikukoodi välja.
“Kõige lihtsam on see, et nad proovivad internetis avalike andmete pealt üht-teist teada saada, näiteks on äriregistris avalikud isikukoodid ja kui sa suudad sealt veel kokku viia nime ja telefoninumbri, on päris oluline osa isikuandmetest teada. Guugeldades või sotsiaalmeedia kaudu saab ka veel infot juurde ehk tugev eeltöö lihtsalt internetis vabalt kättesaadavate andmetega ja ongi juba päris hea pilt ees,” kirjeldas pättide võtteid Lõuna prefektuuri kriminaalbüroo juht Rain Vosman.
Teine tee info kogumiseks on illegaalne. Mustal turul ostetakse kõikvõimalikke andmekogusid, mida häkkerid on kuskilt kätte saanud – näiteks kliendiandmebaase.
Mida vähem avalikku infot, seda parem
Neljapäeval teatas politsei, et läbi elektroonilise isikutuvastuse ja PIN-koodide väljapetmise on kurjategijad ligi pääsenud hinnanguliselt 1500 inimese eesti.ee kontole.
Vosmani sõnul on eesmärk kasutada sealseid andmeid edasiste kuritegude sooritamiseks, et luua inimestega usaldust ja seejärel raha välja petta.
“Siin on väga selgesti võimalik paralleele tõmmata. Kurjategijal on olemas juba isikukood ja kui tal on olemas selle isiku telefoninumber, siis ta helistab ja väga osavalt manipuleerib oma jutuga nii kaugele, et inimene on valmis ütlema oma PIN 1. Nii ongi distantsilt kurjategijal ligipääs eesti.ee kontole, kus on juba väga palju erinevaid delikaatseid isikuandmeid, mida ta saab tulevikus selle isiku puhul kasutada,” rääkis ta.
Isikukoodide varjamisel oleks Vosmani hinnangul kindlasti oma mõju, sest mida vähem andmeid inimese kohta avalikus ruumis on, seda raskem on kelmidel.
“Kui ikkagi minu isikukoodi või kontaktandmeid ei ole kuskil internetis ringlemas ja mina ise seda ka kuskile andnud ei ole avalikult, siis see risk mind rünnata on ju väiksem,” märkis ta.
Isikukoodidega on seotud hulk seadusi
Euroopa Liidu isikuandmete kaitse üldmäärus annab liikmesriikidele vabad käed, mismoodi reguleerida isikukoodide avalikustamist. Eestis on seda tehtud erinevate seadustega.
Justiitsministeeriumi andmekaitseõiguse talituse juhataja Kristi Värk ütles, et Eestis on paljud isikuandmed avalikud läbipaistvuse huvides.
“Justiits- ja digiministeeriumist läks sel sügisel teistele ministeeriumitele juhis, milles on öeldud, et isikuandmete avalikustamise puhul peavad vastavad sätted olema ette nähtud kindlasti seadusega. Isikuandmete avalikustamine on suur põhiõiguste riive, sest sellisel juhul pääseb nendele andmetele ligi põhimõtteliselt ükskõik kes. Inimene võib niimoodi kaotada kontrolli oma andmete üle. Teatud juhtudel see võib olla põhjendatud, aga selle põhjendatuse peab nüüd otsustama seadusandja ehk riigikogu,” rääkis Värk.
Kas praegu kõik need juhud, mil isikukoodid saavad avalikuks, on ka seadusega reguleeritud, ei osanud Värk öelda, märkides, et see eeldaks eri seadustest üle kontrollimist.
“Aga üldine põhimõte meil on olnud Eestis see, et äriregister on avalik, juba mõni aasta on see niimoodi olnud,” sõnas ta.
Rain Vosman juhtis tähelepanu, et isikukoodid saavad avalikuks ka näiteks läbi selle, kui on pandud digiallkiri mõnele avalikule dokumendile. See on üks puhk, kus Värgi hinnangul peab isikukood avalik olema, sest selle kaudu saab kontrollida dokumendi digiallkirja kehtivust.
Isikukoodide peitmise üle peaksid otsustama poliitikud.
“See kindlasti eeldab ühiskondlikku debatti ja seadusandja otsustust. Kui seadusandja nii otsustab, siis loomulikult on see võimalik muuta,” ütles Kristi Värk.
Vastutavad nii inimesed, ametid kui ka ettevõtted
Riigi infosüsteemi ameti (RIA) elektroonilise identiteedi osakonna juht Anna Õuekallas leiab, et vastutuse petuskeemidega võitlemisel peavad võtma kõik asjaosalised.
“Kõik e-teenuste pakkujad peaksid hindama enda keskkondade riske. Kui seal ikkagi on võimalus suurteks rahalisteks kahjudeks, siis peaks hindama üle, milliseid eID vahendeid millisel kujul kasutatakse. Samamoodi kõik eID vahendite pakkujad peaksid hindama, kas nende teenus on disainitud parimal võimalikul moel, et seda ei oleks võimalik ära kasutada maksepettuseks. Neid osapooli on veel. Aitabki ainult see, kui kõik mõtestavad läbi, mida nemad saaksid teha, et pettuseid oleks vähem,” rääkis Õuekallas reede hommikul Vikerraadios.
Vosman tõdes, et kindlasti saavad kõik, sealhulgas erinevad ametid rohkem just andmekaitse seisukohalt ära teha, ent kõige olulisem roll on inimesel endal.
“Kõige nõrgem koht ongi kogu selles kelmuste jadas inimene ise, inimene viiakse segadusse. Me võime need lingid ükskõik kui turvaliseks teha riigi poolt või operaatorettevõtete poolt, kelmid ikkagi manipuleerivad sellega, et inimene paneb oma koodid ise kuskile valesse kohta, kuhu ta tegelikult heauskselt mitte kunagi koodi ei sisestaks,” kõneles Vosman.