Küberturvalisus puudutab täna pea kõiki organisatsioone ning üha sagenevad andmelekked on tulnud, et jääda. Andmeleke.ee lehelt leiad juhiseid ja abi, kuidas käituda andmelekke korral.

Kas toimus andmeleke?

Andmetega seotud rikkumine on töödeldavate andmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine. Andmeleke on kõige sagedamini andmete loata avalikustamine, aga ka andmetele loata juurdepääsu võimaldamine. 

Andmete lekkimine võib olla juhuslik või tahtlik. Andmed võivad pahaaimamatult infosüsteemis avalikult saadaval olla. Tihti on andmelekke põhjuseks aga rünnak, mis võimaldab juurdepääsu arvutisüsteemile või andmebaasile ning seeläbi ka andmetele. 

Andmeleke on näiteks:

  • krüpteerimata andmeid sisaldava mälupulga kaotamine

  • avalik ligipääs kliendiandmebaasile

  • andmete edastamine e-posti teel valele saajale 

Andmetega seotud rikkumine tähendab sageli ühe organisatsiooni jaoks lisaks mainekahjule ka kulutusi seoses toimunud rikkumise kõrvaldamise ja heastamisega. Andmelekke ignoreerimine võib päädida Euroopa Liidu isikuandmete kaitse üldmääruse kohaselt trahviga, mille suurus on kuni 20 miljonit eurot või juriidilise isiku puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

 

Mida teha andmelekke korral?

Kiire ja strateegiline tegutsemine aitab kaitsta andmeid ja andmesubjekte, koguda vajalikke tõendeid ning kaitsta organisatsiooni mainet ja tagada elutähtsate funktsioonide ja teenuste järjepidevuse. 

01

Tuvasta andmeleke

Esimene oluline samm on andmelekke tuvastamine, algpõhjuse väljaselgitamine, ulatuse hindamine ja lekke avastamise detailne dokumenteerimine. Tuvastada on vaja lekkinud andmete maht, tundlikkus ning laad. Sellest sõltub järgnevate sammude vajalikkus ning ajakriitilisus.

02

Reageeri kohe

03

Andmelekke tuvastamisel tuleb viivitamatult andmesüsteemi nõrkus parandada. Kohene reageerimine hõlmab küberturbespetsialistide toel lekke süsteemi nõrkuse parandamist ning olenevalt vajadusest ka andmetele füüsilise ja/või virtuaalse juurdepääsu piiramist. 

Teavita asjakohaseid ametiasutusi: CERT-EE & AKI

Juhul, kui isikuandmete lekke tagajärjeks võib olla oht füüsilise isiku õigustele ja vabadustele, tuleb sellisest rikkumisest 72 tunni jooksul teada anda Andmekaitse Inspektsioonile.

Vaata lähemalt Andmekaitse Inspektsiooni kodulehelt. 

Sõltuvalt teie organisatsiooni iseloomust ja osutatavatest teenustest võib teil olla kohustus teavitada toimunud küberintsidendist 24 tunni jooksul ka Riigi Infosüsteemi Ameti küberintsidentide käsitlemise osakonda CERT-EE. Küberintsidendist teavitamise kohustust kehtib teenuse osutajatele Küberturvalisuse seaduse § 3 tähenduses.

Vaata lähemalt Riigi Infosüsteemi Ameti kodulehelt.

04

Teavita vajadusel andmesubjekte

Kui lekkinud andmete hulgas on isikuandmeid ning rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, tuleb rikkumisest ka puudutatud füüsilisi isikuid teavitada. Vaata detailseid juhiseid andmesubjektide teavitamiseks.


Ohu tõsidust tuleks hinnata üksikjuhtumi põhjal, võttes muuhulgas arvesse rikkumise liiki ning isikuandmete laadi, tundlikkust, mahtu ja rikkumise tagajärgede tõsidust andmelekkest puudutatud üksikisikute jaoks. 
 

Andmelekke tuvastamisel ning ülalnimetatud tegevuste läbiviimisel on oluline kõik asjaolud ja parandusmeetmete tegevus dokumenteerida ning kirjavahetus ametiasutustega säilitada. Selline seadusest tulenev kohustus võimaldab järelevalveasutusel nõuete täitmist kontrollida ning organisatsioonil enda tegevust tõendada.

Vaata ning lae alla detailne tegevuskava, mis aitab teil andmelekke korral aegsasti ning süsteemselt käituda.

Küberturvalisuse ABC

Parim võimalik viis andmelekkele reageerimiseks on juba eelnevalt mõista, milliseid andmeid teie organisatsioonis töödeldakse ja salvestatakse (näiteks isikuandmed, terviseandmed, intellektuaalomand, kliendiandmed), kus ja mis moel andmeid säilitatakse, kuidas andmeid edastamisel või varundamisel turvatakse ning kellel on andmetele juurdepääs. Lae alla andmelekkeks valmistumise tegevuskava

Riigi Infosüsteemi Amet on koostanud 10+ soovitust tippjuhile küberturvalisuse tagamisel. Toome omakorda välja neist olulisema:

Kaardista riskid

Hinnake oma organisatsiooni küberriske ning valmistage ette plaan B ehk kuidas teha nii, et küberintsident ei halvaks teie teenuste kättesaadavust. Oluline on omada tegevuskava kriisihalduseks ning see süsteemselt asutuses ka läbi harjutada. Heaks abimaterjaliks on Riigi Infosüsteemi Ameti koostatud IT-riskianalüüsi koostamise juhend

Lähtu standarditest

Organisatsiooni infoturbe korraldus võiks olla üles ehitatud standardile või parimale praktikale. See annab võimaluse nõuda info- ja võrguturbe korraldamisel kehtestatud reeglite järgimist ning süsteemset aruandlust. Standard annab muuhulgas vastused sellistele küsimustele nagu kuidas korraldada infovarade haldust, juurdepääsude ja kasutajaõigustega seonduvat, kuidas varundada andmeid ja kuidas kaitsta andmekandjaid. Kasuta selleks näiteks ISKE turvameetmete süsteemi või CIS küberturbe meetmeid

Testi süsteemide turvalisust

Enne uute teenuste või olemasolevate teenuste uute versioonide kasutuselevõttu tuleb alati läbi viia turvatestid. Vii ka vähemalt iga kahe aasta tagant läbi oma põhiteenuste süsteemne testimine ning kindlusta selleks vajalike lepingute olemasolu ning rahaliste vahendite planeerimine eelarvesse.

Krüpteeri andmevahetus

Üks peamisi ründevektoreid seondub e-kirjavahetuse kuritarvitamisega. Taga, et lisaks säilitatud andmetele oleks ka organisatsiooni andmevahetus, eelkõige meilivahetus, krüpteeritud ning teie asutuse meiliaadresside võltsimine oleks kurjategijatele tehtud võimalikult keeruliseks. RIA on avaldanud selleks juhendi turvalisest meilivahetusest avalikus sektoris, mida tasub ka muudes organisatsioonides rakendada.

 
 

Võta ühendust

Advokaadibüroo Sorainen on äriõigusele keskendunud juhtiv regionaalne advokaadibüroo, mille kontorid Eestis, Lätis, Leedus ja Valgevenes töötavad ühtse tervikuna.

Tänu meie ulatuslikule regionaalsele kogemusele saame pakkuda teie andmekaitsenõuete täitmise tagamiseks täisteenust. Väga erinevate valdkondade kliendid usaldavad meid nii tänu meie regionaalsele oskusteabele kui ka meie töö täpsusele.

Kaupo Lepasepp.jpg

Kaupo Lepasepp on vandeadvokaat ja advokaadibüroo Sorainen partner

Saame olla abiks:

  • isikuandmete kaitse üldmäärus (GDPR)

  • küberturvalisus ja isikuandmete väärkasutuse küsimused

  • privaatsus ja veebilehtede privaatsuspõhimõtted

  • isikuandmete kaitse

  • andmekaitsealased mõjuhinnangud

Mihkel Miidla.jpg

Mihkel Miidla on vandeadvokaat ja advokaadibüroo Sorainen partner

Kirjuta meile

Kui vajad abi, võta meiega ühendust. 
Käesolev veebileht kannab üksnes informatiivset eesmärki. See ei ole võrdväärne (õiguslikku ega muud laadi) professionaalse nõustamisega ning seega ei tohi seda sel viisil kasutada. Sorainen ei vastuta tegevuste eest, mis põhinevad veebilehel esitatud informatsioonil.
© Sorainen
Kõik õigused kaitstud
Õigusalane teave