Üle 300 000 inimese andmed olid riigiportaalis kättesaadavad (6)
20. juuli 2021, 14:37
/nginx/o/2018/09/17/11424785t1hf0f0.jpg)
Eesti.ee portaalis jäi andmebaas ajale jalgu ja 336 733 inimese isiklikud andmed olid kättesaadaval kõigile teistele andmebaasis olevatele inimestele, kuniks tähelepanelik portaali kasutaja sellest RIA-le märku andis.
9. juulil sulges riigi infosüsteemi amet (RIA) riigiportaalis eesti.ee ettevõtjatele mõeldud iseteeninduskeskkonnas olnud andmebaasi, kus oli enam kui 300 000 inimese ees- ja perekonnanimi, isikukood, töökoht ning osa puhul seos eelnevate ametikohtadega.
Andmebaasile oli võimalik ligi pääseda ainult nendel inimestel, kelle andmed olid andmebaasis.
Andmebaas koos isikuandmetega oli nähtav neile ettevõtete esindajatele, kes olid loginud sisse iseteeninduskeskkonda ning teinud seal päringuid pääsuõiguste haldussüsteemis. Iseteeninduskeskkond on asutuse või ettevõtte volitatud isikutele mõeldud süsteem, kus saab määrata rolle oma töötajatele ning anda ligipääse erinevatesse teenustesse. Andmebaasis olevad andmed põhinevad äriregistril, kus neid uuendatakse perioodiliselt.
RIA-l ei ole infot selle kohta, kas ja kuidas keegi infot endale võis salvestada.
Ajale jalgu jäänud süsteem
RIA peadirektori asetäitja Margus Arm selgitas, et tegemist on kümmekond aastat tagasi loodud funktsiooniga, millega anti asutuste ja ettevõtete esindajatele õigused oma töötajate ligipääsusid hallata. «Süsteem oli algselt ehitatud nii, et volitatud isikute andmed olid nähtaval ka teistele volitatud isikutele, kuna toona ei olnud ühiskondlik vaade ja lähenemine andmekaitsele ja privaatsusele selline nagu praegu. Mis põhjusel jäi aga keskkond ajakohastamata ning millised protsessid vajavad kriitilist tähelepanu, et sarnaseid asju tulevikus enam ei korduks, selle selgitame välja sisekontrolli menetlusega. Samuti teavitasime juhtunust andmekaitse inspektsiooni,» selgitas Arm.
Iseteeninduskeskkonna pääsuõiguste rakenduse osalise sulgemise tõttu peavad ettevõtete volitatud esindajad riigiportaalivälistes infosüsteemides oma töötajate rollide muutmiseks ja ligipääsude andmiseks pöörduma edaspidi RIA kasutajatoe poole aadressil help@ria.ee.
Endiselt saavad ettevõtjad hallata eesti.ee-s paiknevate teenuste õigusi. See tähendab, et kui klient soovib anda raamatupidajale õiguseid töövõimetuslehe vormistamiseks (eesti.ee-s olev teenus), saab ta seda teha vanaviisi ehk RIA kasutajatoele (help@ria.ee) kirjutamata. Kui ta aga soovib anda oma töötajale õiguse riigiportaalivälise infosüsteemi teenuse kasutamiseks, peab ta kirjutama RIA kasutajatoele (help@ria.ee).
Käesoleva aasta esimesel poolaastal kasutati iseteeninduskeskkonda umbes 120 korda kuus. Pärast keskkonna sulgemist on pääsuõiguste muutmiseks RIA kasutajatoe poole pöördutud keskmiselt kaks-kolm korda päevas. «Jälgime jooksvalt olukorda. Kui mahud kasvavad või ilmnevad mõned ajakriitilised protsessid, siis võtame kasutusele teised lahendused,» lisas Arm.
Suuri võimalusi kuritegevuseks ei tohiks olla
Andmelekkes olid kättesaadavad inimeste nimed, isikukoodid, töökohad ja seosed eelnevate ametikohtadega. «Iseenesest ei ole tegemist eriliigiliste ehk eriti tundlike andmete kategooriaga, erinevalt näiteks terviseandmetest. Ilmselt kõige häirivam võib olla, et kättesaadavate andmete põhjal saab ülevaate inimese senistest tööpositsioonidest, mis aga ei tohiks otseselt mingiteks kuritarvitusteks suuri võimalusi tekitada,» selgitas andmekaitse inspektsiooni õigusnõunik Liisa Ojangu Postimehele.
RIA teavitas rikkumisest andmekaitse inspektsiooni (AKI), kus otsustatakse nüüd edasiste järelevalvemeetmete üle. «AKI otsustab 30 päeva jooksul alates rikkumisteate saamisest, kas ja milliseid järelevalvemeetmeid võtta vaja on,» sõnas õigusnõunik.
Kuna RIA peatas lekke avastades juurdepääsu andmetele, ei ole Ojangu sõnul andmekaitse inspektsioonil ettekirjutuseks enam põhjust. «Küll aga otsustame täiendavalt, kas järelevalvemenetlus tuleks alustada selles osas, kas ja kuidas on paigas meetmed, et selliseid lekkeid edaspidi kiiresti tuvastada ja et nende tekkimise risk üldse miinimumini viia,» kirjeldas ta.
Küll aga on tõendatud varalise või mittevaralise kahju puhul võimalik RIA poole pöörduda, vajadusel ka kohtu kaudu, kinnitas Ojangu.
Õppetund teistelegi
Ettevõtlus- ja infotehnoloogiaminister Andres Suti sõnul on tegemist hea õppetunniga. Samuti on tema sõnul oluline kõigist sellistest juhtumitest avalikult rääkida.
«Tegemist oli teenusega, mis loodi kümmekond aastat tagasi ning mille eesmärk oli tagada kasutajamugavus, kuid mis tänasel päeval ei vasta enam andmekaitse nõuetele. Puuduse avastamisel sulges RIA teenuse ja teavitas ka andmekaitse inspektsiooni. Lisaks algatas RIA sisemenetluse, et täpselt välja selgitada, kuidas selline olukord tekkis,» selgitas ta kokkuvõtlikult.
«Riigiportaal eesti.ee on pidevas arengus ja kõnealune juhtum on kindlasti heaks õppetunniks, et kasutajamugavus peab käima käsikäes teenuse turvalisusega,» lisas Sutt.