Apotheka ja PetCity andmeleke puudutas pea pooli Eesti inimesi, sest lekkisid 700 000 inimese andmed. Infoturve, teadlik andmete töötlemine ja kaitse peaks olema äri vältimatuks osaks. Seekord ei suudetud ettevõttele usaldatud andmeid kaitsta. Juhtumi näitel on hea avada õpikohti küberkindlustuse vaatest. Mis roll oleks kindlustusel andmelekke korral?
Meedias kajastatud info alusel toimus andmevargus juba jaanuari keskel ning andmebaasi omanik oli sellest teadlik ligi kuu aega. Avalikkus sai massilisest andmelekkest teada aprilli alguses. Uurimise tulemusi ja juhtumi lõpplahendust ootame veel ilmselt pikalt. Kõrvutame teadaoleva info küberkindlustusega, et õppida, kuidas andmeleketeks paremini valmistuda. Kommentaare jagab IIZI finantsriskide valdkonna spetsialist Helen Evert.
JAANUAR 2024
Alliumi süsteemides avastati turvanõrkus
Küberkindlustuse olemasolul oleks selline turvaauk või -nõrkus ilmselt kindlustusandja monitooringusse jäänud. „Kindlustusandjad jälgivad pidevalt oma klientide ründepindu ning reageerivad ennetavalt ja annavad kliendile märku, kui midagi on vaja kiirelt korda teha,“ kommenteerib Helen Evert.
Andmed laeti alla 20 minutiga
Jaanuaris avastas Allium UPI oma süsteemidest kahtlase tegevuse ja 20 minutit hiljem olid andmed kurjategijate poolt alla laetud. Küberkindlustus hõlmab kriisijuhtimise teenuseid, mis tähendab, et kindlustusandja poolt on tagatud nii tehniline- kui õigusabi. Väga kriitilistele olukordadele reageeritakse ööpäevaringselt läbi hotline-numbri.
Küberrünne peatati, kuid põhjus teadmata
Küberrünne on peatatud, kuid isikuandmed on jätkuvalt ründajate valduses. Pole teada, millest rünne täpsemalt alguse sai – CERT-EE oletab, et kõik võis alata töötaja kasutajakonto ülevõtmisest juba mõni aeg tagasi. „Kindlustus katab vajalikud kulud IT-teenustele ründe ulatuse ja põhjuse kindlakstegemiseks,“ selgitab Evert.
VEEBRUAR 2024
Võimalik rahaline nõue
Info avalikustamisega viivitamisel võib olla mitmeid põhjusi ning üks neist on võimalus lunaraha vastu andmed tagasi saada. Tõenäoliselt võisid vargad esitada ettevõttele rahalise nõude, kuid kahjuks on palju näiteid, mille puhul teame, et kurjategijad lubadusi ei täida. „Küberrünnetega tegelevad kahjuorganisatsioonid aitavad olukorda hinnata ja lunaraha maksmine on tavaliselt viimane meede, mis ei taga andmete tagasisaamise või kurjategijate poolt hävitamise,“ rõhutab Evert. „Kui ettevõte on sellises olukorras esmakordselt ja tal pole kohe kaasatud õigeid nõuandjaid, siis ta ei pruugigi aduda, et raha maksmine ning teavitamisega viivitamine pole lahendus.“
APRILL 2024
Avalikkuse teavitamine
Allium UPI teavitas avalikkust andmelekkest. Inimesi, kelle andmeid ebaseaduslikult alla laeti, teavitati hiljem ka isiklikult e-kirjaga. Kindlustuse vaatest hõlmab andmelekkest avalikkuse teavitamine avalike suhete ja mainekujunduse kulusid. Samuti ametiasutuste teavitamisega kaasnevat õigusnõustajate kulu.
Uurimismenetlused nii Allium UPi kui kurjategijate suunal
Politsei on küberründe korraldajate suhtes alustanud kriminaalmenetlust ja andmekaitse inspektsioon korraldab järelevalvemenetlust. Ka uurimistegevusega kaasnev õigusabi on kindlustatav.
700 000 inimese teavitamine
Küberkindlustus katab kulud, mis tekivad vajalike kanalite loomiseks andmesubjektide teavitamisel ja edasise info jagamisel. IIZI finantsriskide valdkonna spetsialisti sõnul maksab keskmiselt ühe andmesubjekti teavitamine meie piirkonnas 50-100 eurot ühe inimese kohta. Andmete sisu ja hulka arvestades võib see antud juhul olla ka madalam.
Isikuandmed jätkuvalt ründaja valduses
Petturid võivad andmeid kasutada järgmiste kuritegude tegemiseks ja Apotheka või PetCity nimel pettusi korraldada, aga kasutada infot ka muudeks pettusteks, millega inimesed võivad raha kaotada.
Kannatanud võivad andmelekke tõttu nõudeid esitada. Üksikute nõuetega kohtus käimine väga kiiresti ega tulemuslikult lõppeda ei pruugi ja tõendatud rahalise nõudega tuleb pöörduda otse Alliumi poole. Teoreetiliselt võiks ka AKI kannatanuid esindada ning nende nimel kohtusse pöörduda, sest ühishagide esitamise võimalus meie õiguspraktikas puudub. Küberkindlustus tegeleb varalise kahjuga ja piiratult ka mittevaralise kahjuga nõuetega üksnes selles ulatuses, mis tekitasid inimesele psühholoogiliselt olukorra, kus ta vajas spetsialistide abi.