Keskkonnaministeeriumist lekkisid ärisaladused

Keskkonnaministeerium.

FOTO: Jaanus Lensment

Keskkonnaministeeriumi Infotehnoloogiakeskuse (KEMIT) hallatavas dokumendihaldussüsteemis rippusid mitu päeva üleval mitmete Eesti suurettevõtete ärisaladused.

Kõigil soovijail oli piiramatu ligipääs Eesti Energia, Sillamäe Sadama, Silmeti ja mitmete teiste ettevõtete vahel sõlmitud konfidentsiaalsetele lepingutele. Lisaks oli soovijail ligipääs vägagi detailsele infole Silmeti tootmisprotsessidele ja töötajate isikuandmetele, strateegilistele plaanidele ja isegi hoonete paiknemisele ja tehnoloogilisele sisustusele.

Avalikuks said need dokumendid KEMITi hallatavas «Turvalise failivahetuse portaalis» transit.envir.ee. Selle keskkonna avalehelt tavakasutajad edasi ei pääse, kuid üksikutele jagatavatele failidele tekib unikaalne veebiaadress, mis on juba vabalt levitatav ja igaühele ligipääsetav.

FOTO: Kuvatõmmis

Nii läkski sellest keskkonnast liikvele näiteks haruldasi metalle tootva ettevõtte NPM Silmet enam kui 80 dokumendist koosnev failipakett vägagi salastatud informatsiooniga. Muu hulgas sisaldab see näiteks Enefit Energiatootmise ja NPM Silmeti vahel sõlmitud lepingut põlevkivituha müümiseks Silmetile.

«Kahetsusväärne, et konfidentsiaalne ja ärisaladust sisaldav leping on olnud avalikus registris kättesaadav. Võtsime keskkonnaministeeriumiga ühendust ning palusime selle avalikust dokumendiregistrist eemaldada,» kommenteeris juhtunut Eesti Energia pressiesindaja Kaarel Kuusk.

Kokku oli avalik ligipääs tekkinud 82 konfidentsiaalsele dokumendile, mille oli süsteemi kooskõlastamiseks üles riputanud keskkonnaamet. Nende hulgas ka näiteks NPM Silmeti 45 kiirgustöötaja nimed, isikukoodid, tööleasumise ajad. Lisaks ettevõtte seadmete tehnilised andmed.

KEMIT sai info avalikult kättesaadava dokumentide kogumi kohta Postimehelt ning asus juhtumit uurima.

«Meie praeguste teadmiste kohaselt on tegemist ühekordse sündmusega, mille põhjustas andmeid edastava töötaja jäme rikkumine infoturbereeglite vastu. Tehniliselt on süsteem täiesti piisavalt turvaline, võimaldades seada hulgaliselt piiranguid – sealhulgas andmete krüpteerimist,» ütles Postimehele KEMITi juht Marko Arula.

Riigi Infosüsteemi Amet (RIA) on samuti juhtunu asjaolusid uurinud ning ameti esialgse hinnangu kohaselt on tegemist kasutaja poolse inimliku eksimisega.

«Möödunud nädalal toimunud infoturbe juhtide kvartaalsel koosolekul andsid RIA  töötajad ametkondlikuks kasutamiseks mõeldud infoga ümberkäimiseks ja kaitsmiseks soovitusi. Sealhulgas rõhutati kasutajate koolitamise ja kontrollimise vajadust,» rääkis RIA pressiesindaja Helen Uldrich.

Marko Arula kinnitas, et KEMITi hallatav tehniline lahendus on turvaline ning selles osas piisav ministeeriumi ja selle allasutuste ülesannete täitmiseks.

«Edastatavad failid on juba ise eelnevalt võimalik krüpteerida ja teenuses on võimalik jagatavatele failidele määrata piirangud konkreetsetele isikutele, asutustele, andmete aegumisetähtajale ja allalaadimiste arvule.  Kokkuvõtteks – peame tehnilist lahendust piisavalt turvaliseks,» lisas Arula.

Portaal  transit.envir.ee ei ole tema sõnul dokumendihalduskeskkond, vaid suuremahuliste andmete vahetamiseks mõeldud keskkond juhuks, kui andmete maht ületab näiteks e-maili teel edastatavaid piiranguid. Tegemist on teenusega, kus andmed on ajutise unikaalse lingi kaudu piiratud aja jooksul etteantud adressaatidele kättesaadavad.

«Kahjuks ei taga ainult tehniliste vahendite olemasolu ja võimekus üksinda andmete lekkimise vältimist. Nii ka käesoleval juhtumil –  andmelekke eeldused tekitas andmete edastaja inimlik eksimus: ta ei rakendanud tema käsutuses olevaid vahendeid vajalikul tasemel,» ütles Arula.

Kasutaja laadis üles viidatud andmed 14. detsembril kell 11:39 ja tegi kättesaadavaks allalaadimispiirangute arvu määramata kahele kasutajale, millest ühe kasutaja postkast oli Arula sõnul ilmselt kättesaadav mitmetele teistele kasutajatele.

«Kasutaja eksis eelkõige olulise reegli vastu, et konfidentsiaalseid dokumente ei tohi edastada krüpteerimata kujul. ID-kaardiga krüpteeritakse konkreetsetele saajatele isikukoodide järgi. Seega tõesti, sellel ajavahemikul sai igaüks, kes seda unikaalset aadressi teadis, seda faili alla laadida, nagu seda on teinud ka Postimees,» lisas ta. «Juhime tähelepanu, et andmete saajal lasub samuti kohustus tema valdusse sattunud infoga ümber käia vastutustundlikult ning andmelekke ohu märkamisel oleks korrektne sellest kõigepealt teavitada andmete jagajat.»

Ministeerium kõrvaldas andmed keskkonnast kohese pärast faktist teadasaamist 18.12.18. tööpäeva lõpul, seega olid andmed kättesaadavad maksimaalselt veidi üle nelja ööpäeva.

Tagasi üles