Ettevõtja andmekaitseriskid ja nende ennetamine

02.05.2020

Karin Kaup, Advokaadibüroo KPMG Law partner ja vandeadvokaat

Oliver Grauberg, Adokaadibüroo KPMG Law jurist


COVID-19 ja käesolev eriolukord on põhjustanud majanduslikult keerulise olukorra, kus paljudele ettevõtjatele valmistavad tõsist peavalu tööjõu tasustamine, sissetulekute säilitamine ning kohustuste täitmine lepingupartnerite ees. Nendest probleemidest võivad kujuneda eksistentsiaalsed riskid ettevõtte säilimisele. Loomulikult on need põhilised väljakutsed, kuid nende kõrval ei tasu täielikult unustada muid riske, mis võivad ootamatult isegi hästi majandavale ettevõttele saatuslikuks osutuda, ülejäänutest rääkimata. Antud juhul räägime andmekaitsest, millega seonduvad ohud on säilinud kui mitte kasvanud. Kuidas seda riski maandada?

Puudulikust andmekaitsest tulenevate ohtude realiseerumise risk oli varasemalt suhteliselt madal, kuid riski realiseerumisel tagajärg tõsine ning sageli ka püsiv. Tihti ei pöörata puuduliku andmekaitse riskidele õigeaegselt tähelepanu, sest see konkureerib aktuaalsemate ja vahetumate riskidega, teisalt pole meetmete rakendamata jätmisel hiljem võimalik tagajärgede maandamiseks suurt midagi ette võtta.

Puuduliku andmekaitse võimalikud tagajärjed ei piirdu vaid selge andmekaitse regulatsioonide rikkumise ja sellega kaasnev trahviga. Võimalikud tagajärjed andmebaaside lekkimisel on avaliku usalduse kaotus, mis omakorda põhjustab konkureeritavas sektoris otsest turuosa kaotust. Intellektuaalse omandi või ärisaladuse lekkimisel kaotab ettevõtja aga oma konkurentsieelise, millele ärimudel rajanes. Tegemist ei ole riskide ja tagajärgedega, mis eriolukorra lõppedes kuidagi leeveneksid või lõppeksid.

Eriolukord on tõstnud oluliselt puudulikule andmekaitsele iseloomulike riskide realiseerumise tõenäosust. Esiteks on paljude ettevõtjate jaoks muutunud töökorraldus tsentraliseeritud mudelist (kontor koos vastava IT struktuuriga) kaugtööle kodukontoris. See tähendab, et varasem IT struktuur on paratamatult haavatavam ning sõltub iga töötaja enda pädevusest andmekaitses ning tema koduse IT-keskkonna turvalisusest. Teiseks, oleme selles eriolukorras tähele pannud ka küberrünnakute olulist kasvu (https://home.kpmg/ee/et/home/insights/2020/03/kuidas-tagada-kueberturvalisus--covid-19.html) ja need tulenevat kavatsusest antud olukorda ja kodukontorite haavatavust ekspluateerides saada ligipääs ettevõtja infosüsteemidele.

Risk ettevõtjale säilib isegi siis, kui tema andmed (nii andmebaasid kui ka muu majanduslikult oluline teave) ei ole potentsiaalse ründaja jaoks kõige ahvatlevamad. Väärtuslikum teave on tavaliselt paremini kaitstud ning maksimaalne rünnaku kasutegur on peamine mida pahatahtlik, kuid ratsionaalne küberkurjategija taotleb. Samuti ei ole paljud rünnakud isegi suunatud konkreetsele sihtmärgile, vaid väga laiale võrgule eesmärgiga teenida kasu igaühe pealt, kes ohvriks langeb - olgu selleks sotsiaalsed õngistuskirjade skeemid või mõne tavapärase tehnilise nõrkuse ärakasutamine.

Ettevõtjad saavad astuda konkreetseid samme, et nende suhtes puuduliku andmekaitse riskid ei realiseeruks. Praegu on hea aeg nende riskide ennetamiseks ka neil, kelle senine ettevalmistus andmekaitse osas on piiratud ajaresursi tõttu jäänud unarusse ning praegu on aega sisemise töökorraldusega seotud projekte läbi viia. Soovitame siinkohal vähemalt kolmeastmelist lähenemist: ülevaate loomine, inimteguritest tulenevate riskide ennetamine ning tehnilise turvalisuse miinimumstandardite kasutamine.

1. Ülevaade andmetest, mida töödeldakse

Kui ettevõtja ei tea, mis andmeid ta töötleb või puudub tal ülevaade sellest, kes ja kuidas tema informatsiooni käitleb, pole võimalik ka andmekaitse riske tuvastada. Seetõttu pole ka võimalik andmekaitse riske ennetada ning esimese sammuna tuleb teha „andmete inventuur“. Näitlikult võiks lähtuda sellistest küsimustest:

               1. Isikuandmed:

  • Kas on olemas isikuandmete töötlemisregister?
  • Kas on teada, kuidas töödeldakse nii oma personali kui ka kolmandate isikute (nt klientide) isikuandmeid? Kellel on nendele ligipääs? Mis alustel töödeldakse?
  • Kas ja missuguseid andmeid jagatakse partneritega või teenusepakkujatega? Mis leppetingimustele põhineb andmete jagamine?
  • Kuidas on tagatud isikuandmete töötlemise minimaalsuse printsiip (näiteks, et töötaja ei töötleks isikuandmeid ilma vajaduseta)?
  • Kas on täidetud vajalikud teavituskohustused nii oma personali kui ka kolmandate isikute suhtes?
  • Kas süsteemid, mis töötlevad isikuandmeid, vastavad tunnustatud turvalisusstandarditele (nt ISO 27001 ja 27701)?

2. Intellektuaalne omand:

  • Kas on olemas kirjalik ülevaade intellektuaalsest omandist, mida soovitakse kaitsta?
  • Kas kaitstav intellektuaalne omand on kindlasti ettevõtja kontrolli all (nt kas autoriõiguste varalised õigused on ikka üle läinud töötajalt/töövõtjalt äriühingule)?
  • Kellel on ligipääs intellektuaalsele omandile ning mis tingimustel?

3. Ärisaladused ja konfidentsiaalne informatsioon:

  • Kui on soov mingisugust majandusliku väärtusega teavet kaitsta ärisaladusena, siis kas on võetud kasutusele selle kaitsmiseks vajalikke meetmeid (nt dokumentide vastav märgistamine, kategoriseerimine ning juurdepääsu reguleerimine)?
  • Kas ärisaladused ja konfidentsiaalne informatsioon on hoiustatud turvaliselt, näiteks krüpteeritud kujul? Kellel on neile ligipääs ning kui keeruline on ligipääsu saamine?
  • Millised lepingutingimused tagavad konfidentsiaalse informatsiooni või ärisaladuse kaitse või tagajärgede leevenduse nende (nt töötajad või koostööpartnerid) eest, kes sellist teavet lekitada võivad?

Kui selline ülevaade on juba olemas, siis praegu oleks oluline keskenduda just muutustele nende andmete hoiustamises ning käitlemises personali poolt (nt kas töötaja saab märkamatult kaitstavad andmed laadida oma isiklikku arvutisse või saata isiklikule e-postiaadressile) ning kontrollmeetmete kasutamise (nt ligipääsu reguleerimise) muutustele ka kodukontori töökorralduses.

2. Personali küberhügieeni osas ei tasu puht eelduslikult lootma jääda

Kõige sagedamini lekivad või kahjustuvad andmed seetõttu, et keegi kasutab tarkvara valesti, avab temale saadetud pahavara või väljastab infot, mida tegelikult ei tohiks jagada – ehk taandub suuresti küberhügieenile. Inimeste küberteadlikkuse tase on varieeruv ning nii mõnegi ettevõtja töötajaskond suudab levinumaid rünnakuid või eksimusi vältida, siiski soovitame kõigil ettevõtjatel mitte eeldada, et personal kasutab vajalikke meetmeid andmekaitse tagamiseks ka kodukontorites ning pakkuda töötajatele selgeid käitumisjuhiseid. Näiteks on soovitatav reguleerida VPN-i (virtuaalne privaatne võrk) kasutamise korda, töö tegemiseks lubatud seadmeid, koduvõrgu turvalisuse nõudeid (nt ükski töötaja ei tohiks koduvõrgus tööd tehes kasutada sellist wifi võrku, mida kaitseb tehaseparool või väga lihtne parool) ning kaitstavate andmete töötlemise korda.

3. Ära ole kõige ahvatlevam sihtmärk

Lunavararünnakud on efektiivsed eeskätt nende ettevõtete suunal, mille andmed pole varundatud ning neil pole muud varianti, kui maksta oma andmete tagasisaamiseks. Samas nuhkvara on tõhus nende ettevõtete vastu, mille töötajad hoiustavad tundlikke andmeid oma isiklikes arvutites. Õngitsuskirjade ohvriks langevad eelkõige ettevõtted, mis ei kasuta oma süsteemides kahekordset autentimist. Seepärast soovitame kolmanda sammuna tuvastada oma IT-süsteemide suurimad nõrkused ning need likvideerida. See ei tähenda muidugi, et küberintsidendid oleksid välistatud, aga see vähendab oluliselt riski, et ettevõtja satuks passiivse rünnaku ohvriks või aktiivse rünnaku sihtmärgiks. Lähemalt saab tehniliste küberturvalisuse meetmete kohta lugeda https://home.kpmg/ee/et/home/insights/2020/03/kuidas-tagada-kueberturvalisus--covid-19.html.


Artikkel avaldatud Äripäevashttps://www.aripaev.ee/uudised/2020/05/02/andmekaitseriskid-voivad-ettevottele-osutuda-saatuslikuks-ka-eriolukorras