Puudulikust andmekaitsest tulenevate ohtude realiseerumise risk oli varasemalt suhteliselt madal, kuid riski realiseerumisel tagajärg tõsine ning sageli ka püsiv. Tihti ei pöörata puuduliku andmekaitse riskidele õigeaegselt tähelepanu, sest see konkureerib aktuaalsemate ja vahetumate riskidega, teisalt pole meetmete rakendamata jätmisel hiljem võimalik tagajärgede maandamiseks suurt midagi ette võtta.
Puuduliku andmekaitse võimalikud tagajärjed ei piirdu vaid selge andmekaitse regulatsioonide rikkumise ja sellega kaasnev trahviga. Võimalikud tagajärjed andmebaaside lekkimisel on avaliku usalduse kaotus, mis omakorda põhjustab konkureeritavas sektoris otsest turuosa kaotust. Intellektuaalse omandi või ärisaladuse lekkimisel kaotab ettevõtja aga oma konkurentsieelise, millele ärimudel rajanes. Tegemist ei ole riskide ja tagajärgedega, mis eriolukorra lõppedes kuidagi leeveneksid või lõppeksid.
Eriolukord on tõstnud oluliselt puudulikule andmekaitsele iseloomulike riskide realiseerumise tõenäosust. Esiteks on paljude ettevõtjate jaoks muutunud töökorraldus tsentraliseeritud mudelist (kontor koos vastava IT struktuuriga) kaugtööle kodukontoris. See tähendab, et varasem IT struktuur on paratamatult haavatavam ning sõltub iga töötaja enda pädevusest andmekaitses ning tema koduse IT-keskkonna turvalisusest. Teiseks, oleme selles eriolukorras tähele pannud ka küberrünnakute olulist kasvu (https://home.kpmg/ee/et/home/insights/2020/03/kuidas-tagada-kueberturvalisus--covid-19.html) ja need tulenevat kavatsusest antud olukorda ja kodukontorite haavatavust ekspluateerides saada ligipääs ettevõtja infosüsteemidele.
Risk ettevõtjale säilib isegi siis, kui tema andmed (nii andmebaasid kui ka muu majanduslikult oluline teave) ei ole potentsiaalse ründaja jaoks kõige ahvatlevamad. Väärtuslikum teave on tavaliselt paremini kaitstud ning maksimaalne rünnaku kasutegur on peamine mida pahatahtlik, kuid ratsionaalne küberkurjategija taotleb. Samuti ei ole paljud rünnakud isegi suunatud konkreetsele sihtmärgile, vaid väga laiale võrgule eesmärgiga teenida kasu igaühe pealt, kes ohvriks langeb - olgu selleks sotsiaalsed õngistuskirjade skeemid või mõne tavapärase tehnilise nõrkuse ärakasutamine.
Ettevõtjad saavad astuda konkreetseid samme, et nende suhtes puuduliku andmekaitse riskid ei realiseeruks. Praegu on hea aeg nende riskide ennetamiseks ka neil, kelle senine ettevalmistus andmekaitse osas on piiratud ajaresursi tõttu jäänud unarusse ning praegu on aega sisemise töökorraldusega seotud projekte läbi viia. Soovitame siinkohal vähemalt kolmeastmelist lähenemist: ülevaate loomine, inimteguritest tulenevate riskide ennetamine ning tehnilise turvalisuse miinimumstandardite kasutamine.
1. Ülevaade andmetest, mida töödeldakse
Kui ettevõtja ei tea, mis andmeid ta töötleb või puudub tal ülevaade sellest, kes ja kuidas tema informatsiooni käitleb, pole võimalik ka andmekaitse riske tuvastada. Seetõttu pole ka võimalik andmekaitse riske ennetada ning esimese sammuna tuleb teha „andmete inventuur“. Näitlikult võiks lähtuda sellistest küsimustest:
1. Isikuandmed:
2. Intellektuaalne omand:
3. Ärisaladused ja konfidentsiaalne informatsioon:
Kui selline ülevaade on juba olemas, siis praegu oleks oluline keskenduda just muutustele nende andmete hoiustamises ning käitlemises personali poolt (nt kas töötaja saab märkamatult kaitstavad andmed laadida oma isiklikku arvutisse või saata isiklikule e-postiaadressile) ning kontrollmeetmete kasutamise (nt ligipääsu reguleerimise) muutustele ka kodukontori töökorralduses.
2. Personali küberhügieeni osas ei tasu puht eelduslikult lootma jääda
Kõige sagedamini lekivad või kahjustuvad andmed seetõttu, et keegi kasutab tarkvara valesti, avab temale saadetud pahavara või väljastab infot, mida tegelikult ei tohiks jagada – ehk taandub suuresti küberhügieenile. Inimeste küberteadlikkuse tase on varieeruv ning nii mõnegi ettevõtja töötajaskond suudab levinumaid rünnakuid või eksimusi vältida, siiski soovitame kõigil ettevõtjatel mitte eeldada, et personal kasutab vajalikke meetmeid andmekaitse tagamiseks ka kodukontorites ning pakkuda töötajatele selgeid käitumisjuhiseid. Näiteks on soovitatav reguleerida VPN-i (virtuaalne privaatne võrk) kasutamise korda, töö tegemiseks lubatud seadmeid, koduvõrgu turvalisuse nõudeid (nt ükski töötaja ei tohiks koduvõrgus tööd tehes kasutada sellist wifi võrku, mida kaitseb tehaseparool või väga lihtne parool) ning kaitstavate andmete töötlemise korda.
3. Ära ole kõige ahvatlevam sihtmärk
Lunavararünnakud on efektiivsed eeskätt nende ettevõtete suunal, mille andmed pole varundatud ning neil pole muud varianti, kui maksta oma andmete tagasisaamiseks. Samas nuhkvara on tõhus nende ettevõtete vastu, mille töötajad hoiustavad tundlikke andmeid oma isiklikes arvutites. Õngitsuskirjade ohvriks langevad eelkõige ettevõtted, mis ei kasuta oma süsteemides kahekordset autentimist. Seepärast soovitame kolmanda sammuna tuvastada oma IT-süsteemide suurimad nõrkused ning need likvideerida. See ei tähenda muidugi, et küberintsidendid oleksid välistatud, aga see vähendab oluliselt riski, et ettevõtja satuks passiivse rünnaku ohvriks või aktiivse rünnaku sihtmärgiks. Lähemalt saab tehniliste küberturvalisuse meetmete kohta lugeda https://home.kpmg/ee/et/home/insights/2020/03/kuidas-tagada-kueberturvalisus--covid-19.html.
Juhtivpartner, vandeadvokaat, õigusteenuste juht
karin.oras@kpmglaw.ee
+372 507 9241
„Me küll alati ei mõtle sellele, aga isikuandmete töötlemine toimub pidevalt ja..
Isikusamasuse tuvastamine näo järgi on tõenäoliselt üks vanemaid isiku tuvastamise viise. Selle ja..
Advokaadibüroo KPMG Law on maineka õigusalase väljaande The Legal 500 värskes edetabelis taas kõrg..
Värske Riigikohtu praktika on raieõiguse võõrandamise lepingute puhul leidnud järgmist: 20% suurun..
Advokaadibüroo KPMG Law juhtivpartneri Karin Orase sõnul on pikaleveninud kriis jõudnud ka puidutö..
Oleme pühendunud kõrgetasemelise strateegilise nõustamisteenuse osutamisele kogu Baltikumis, Skandinaavias ja maailmas.