Turvalisus, andmelekked ja lunavara: rünnakuid tuleb tõsiselt võtta.

Õiguslik valve nr 32 – Veebruar 2021

Turvalisus, andmelekked ja lunavara: rünnakuid tuleb tõsiselt võtta. Ajakirjandus kajastas veebruari lõpus Massiivne andmeleke meditsiinisektoris.

Enne internetis vabalt avaldamist müüdi spetsiaalsel foorumil tundlikku teavet enam kui 500 000 inimese kohta, sealhulgas veregrupid ja sotsiaalkindlustusnumbrid.

Sellesse andmeloendisse on lisatud ka kasutajanimed ja paroolid, mis võimaldasid neil patsientidel luua ühenduse andmelekkest mõjutatud meditsiinikeskuste ja analüüsilaboritega.

Käimas on kohtulik uurimine ning nii ANSSI kui ka CNIL on juhtumiga tegelema hakanud.

Andmelekke tõsidus seisneb sama palju nii mõjutatud inimeste arvus kui ka andmete tundlikus olemuses.

See on võimalus hinnata meetmeid, mida tuleb sellistele rünnakutele reageerimiseks võtta ja ennekõike end nende eest eelnevalt kaitsta.

CNIL, ANSSI ja justiitsministeerium on avaldanud mitu juhendit, mis aitavad andmetöötlejatel end selliste turvarikkumiste eest kaitsta., olgu tegemist siis sisemise rikke või lunavararünnakuga.

Eelkõige CNILi avaldatud soovitustes loetletakse andmetöötluse turvalisuse haldamise erinevad etapid.

Sisuliselt on asjakohane:

• Andmetöötluse ja selle tugivahendite (riistvara, tarkvara, sidekanalid, paberkandjal alused) tuvastamine:

• Hinnake iga töötlemistoiminguga kaasnevaid riske ja tehke kindlaks võimalik mõju asjaomaste isikute õigustele ja vabadustele andmetele ebaseadusliku juurdepääsu, andmete soovimatu muutmise või andmete kadumise korral.

Kui töödeldakse eriliikidesse kuuluvaid andmeid, näiteks terviseandmeid, on andmetega seotud rikkumise mõju andmesubjektidele veelgi suurem.

Seega nõuab selline ravi põhjalikku riskihindamist.

• Tuvastage riskiallikad (inimlikud ja mitteinimlikud allikad).
• Analüüsige teostatavaid ohte, st võimalikke käivitavaid sündmusi (nt vandalism, loomulikust kulumisest tingitud halvenemine, täis täitunud laoruum, teenusetõkestusrünnak).
• Tuvastage iga riski käsitlemiseks olemasolevad või kavandatud meetmed (nt varukoopiad, krüpteerimine). Meetmed peavad olema riskidega proportsionaalsed. Kui töödeldavad andmed on tundlikud, tuleb tagada eriti kõrge turvalisuse tase. Seetõttu tuleks keelata paroolide salvestamine lihttekstina vastutava töötleja failides: teave tuleb krüpteerida ja võtta kasutusele tugevad autentimismeetmed.
• Hinnake riskide tõsidust ja tõenäosust eelnevate elementide valguses.

Andmetega seotud rikkumise korral tuleb viivitamatult võtta asjakohaseid meetmeid rikkumise peatamiseks ja selle mõju piiramiseks asjaomastele isikutele.

Vastutav isik peab rikkumisest teatama ka CNIL-ile 72 tunni jooksul pärast sellest teadasaamist.

Samuti on tal kohustus teavitada asjaomaseid isikuid individuaalselt, kui andmete leke võib tekitada suure ohu nende õigustele ja vabadustele.  See on nii siis, kui tegemist on tundlike andmetega, näiteks terviseandmetega.

Veebruari lõpus aset leidnud ulatusliku andmelekke kontekstis on seetõttu vaja teavet kannatanutelt.

Kahju võib olla äärmiselt tõsine patsientidele, kelle arstiabi võib kannatada saada, aga ka andmetöötlejatele, kelle maine ja äritegevus on ohus.

CNIL juhib tähelepanu sellele, et andmetega seotud rikkumiste teavituste arv hüppas 2020. aastal 24% võrra ning et tervishoiuasutuste (haiglad, EPHADid, hooldekodud, laborid jne) vastu suunatud krüptolokkeri rünnakutega seotud rikkumiste arv kolmekordistus ühe aastaga.

Lisaks on kaks kolmandikku CNILi kehtestatud sanktsioonidest seotud andmeturbekohustuste rikkumistega, mis on suundumus kogu Euroopas.

Ja ka

Prantsusmaa:

Rakendus „tousanticovid” arendatakse kasutajate hoiatussüsteemi integreerimist spordihallide, restoranide või etendussaalide võimaliku taasavamise puhuks. 

CNIL, kes sai määruse eelnõu, andis üldiselt positiivse hinnangu, taotledes samas, et külastuste registreerimise süsteem oleks kohustuslik ainult kõrge riskiga kohtades (tõkkemeetmeid on raske rakendada) ja et seda ei tehtaks kohustuslikuks kohtades, kus osalemine võib paljastada tundlikke andmeid (näiteks palvekohad).

Pärast selle avaldamist küpsiste kasutamise juhised Eelmise aasta oktoobris tuletas CNIL meelde, et nõuetele vastavuse tähtaeg lõpeb märtsi lõpus.

See saatis kirja kahesajale avaliku sektori asutusele ja peamistele erasektori osalejatele, rõhutades eelkõige vajadust võimaldada kasutajal küpsistega sama lihtsal viisil nõustuda või neist keelduda (ribareklaamides sageli esinev nupp „seadista“ sellele nõudele ei vasta).

Euroopa:

• Belgia: Andmekaitseamet avaldab üksikasjalik juhend teemal andmete puhastamise ja andmekandjate hävitamise tehnikad, refleks, mida arvutitööriistast vabanemisel liiga sageli unarusse jäetakse.

• Ühendkuningriik: Euroopa Komisjon avaldab otsuse eelnõu, milles käsitletakse Ühendkuningriigi tagatud kaitsetase isikuandmete töötlemisele samaväärsena Euroopa Liidu omaga.

Kui Euroopa Andmekaitsenõukogu ja liikmesriikide esindajad seda hinnangut toetavad, võib andmete edastamine Ühendkuningriigile jätkuda ilma lisatingimusteta.

Samuti tuleb märkida, et Euroopa Andmekaitseinspektor avaldas 22. veebruaril arvamuse, milles ta kordas, et andmekaitse kui põhiõigus ei ole Euroopa Liidu ja Ühendkuningriigi vaheliste kaubanduslepingute kontekstis läbiräägitav.

• Euroopa – e-privaatsus Pärast nelja aastat kestnud läbirääkimisi on EL-i liikmesriigid lõpuks võtnud vastu ühise seisukoha elektroonilise side kaitse kohta.

E-privaatsuse määrus peaks ajakohastama kehtivat direktiivi, täpsustades muu hulgas side konfidentsiaalsuse, metaandmete kaitse ning küpsiste ja muude jälgimisvahendite suhtes kohaldatavaid eeskirju.

Teksti peab veel Euroopa Parlament arutama ning selle lõplik versioon jõustub kaks aastat pärast avaldamist.

• Euroopa – tervisepass Euroopa Komisjon teatas 1. märtsil, et valmistab ette liikmesriikide ühise passi projekti, mis hõlbustaks inimeste liikumist praeguses pandeemiaolukorras.

See pass sisaldaks isikuandmeid vaktsineerimise, omandatud immuunsuse või asjaomase isiku tehtud testide kohta.

Komisjon kinnitab, et võetakse meetmeid, et vältida igasugust diskrimineerimist või kuritarvitust seoses asjaomaste isikute privaatsusega.

Rahvusvaheline:

USA: Pärast Californiat valmistavad umbes kümme Ameerika osariiki ette isikuandmete kaitse seadusandlust, sealhulgas New Yorgi osariik ja Washingtoni osariik.

Üldiselt pakuvad need seadused kasutajatele vähem õigusi kui isikuandmete kaitse üldmäärus ning eelistavad anda neile õiguse oma andmete töötlemisele vastuväiteid esitada, selle asemel et küsida nende eelnevat nõusolekut.

Igal juhul on neil eeliseks andmetöötluse läbipaistvuse parandamine ja Ameerika tarbijatele õiguskaitsevahendite andmine.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.