Eesti meditsiinisektori suurim andmeleke näitab karmi tõde ettevõtete kaitsetusest

22. detsember 20236 minut(it) lugemist
Eesti meditsiinisektori suurim andmeleke näitab karmi tõde ettevõtete kaitsetusest

IIZI finantsriskide valdkonna spetsialist Helen Evert analüüsib artiklis detsembri keskel avalikuks saanud Eesti ajaloo suurimat andmeleket.

Eestis geneetilise testimisega tegeleva OÜ Asper Biogene andmebaasist laeti ebaseaduslikult alla 10 000 inimese terviseandmeid. Selle andmelekke eest vastutavad ühiselt ka kõik Asper Biogene’ilt testimisteenust ostnud 42 Eesti meditsiiniettevõtet. Enamikul neist puudus küberkindlustus.

Te olete aastaid Eesti ettevõtetele rääkinud vajadusest sõlmida küberkindlustus. Kas Asper Biogene juhtumiga jõuab selle kindlustuse vajalikkus lõpuks valusalt kohale?

Jah, see on eluline näide. Lõpuks saab ehk laiemat kõlapinda asjaolu, et andmelekkeid saab kindlustada küberkindlustusega.

Küberrünnetele on eriti haavatavad just meditsiinisektoris tegutsevad firmad. Üle maailma on tekkinud väga aktiivsed küberkurjategijate rühmitused, mis on sihikule võtnud just meditsiini ja geneetilise testimisega tegelevad firmad. Põhjus on lihtne – inimesed on valmis küberkurjategijatele raha maksma, et nende tervise- ja isiklikke andmeid ei avaldataks. Kohe peale andmelekke avalikustamist levisid sotsiaalmeedias Eesti politsei hoiatused, et kurjategijaid on Eestis juba teinud inimestele petukõnesid raha ja pangakontoga seotud andmete õngitsemiseks. Politsei palus raha mitte maksta ja neile kõnest viivitamata teada anda.

Kes vastutab, kui firma on langenud küberrünnaku ohvriks?
Ettevõttes vastutab alati juht, mistõttu ei saa kunagi näpuga näidata oma IT-juhi või IT-partneri poole. Isegi, kui ettevõttel on lepinguline IT-teenuse pakkuja, siis see ei tähenda, et ettevõte nende andmete eest ei vastuta. Ka andmelekete puhul vastutavad alati lõpuks ettevõtte juhid. Selle juhtumi puhul vastutavad ka kõik AKI nimekirjas avaldatud 42 teenust ostnud ettevõtet ja nende juhid.
Igal ettevõttel peaks olema kirja pandud ja läbi katsetatud plaan, kuidas andmelekete või küberintsidentide puhul tegutsetakse – kes kriisi juhib, keda informeeritakse, keda kaasatakse, kes suhtleb meedia ja andmesubjektidega. Pole hullemat olukorda, kui ettevõttes ei teata, mis juhtus, millised andmed olid puudutatud ning mis edasi saab.

Isikuandmete kaitse üldmääruse kohaselt saab trahvida 4% ettevõtte globaalsest käibest või kuni 20 mln eurot. Seega võib OÜ Asper Biogene trahv teoreetiliselt ulatuda miljonitesse eurodesse.

Kui te vaatate neid andmelekkega seotud firmasid, siis kui paljudel neist on teie andmetel olemas küberkindlustus?

Kuna oleme Eestis üks aktiivsemaid küberkindlustuse pakkujaid, siis meie hinnangul ei ole suurem osa nendest ettevõtetest küberkindlustust ostnud. Mõnel neist firmadest on aga välismaine emafirma ja neil võib küberkindlustus olla tehtud välismaise emafirma kaudu.
Kuigi andmeid ja infosüsteeme on küberkindlustusega võimalik kindlustada olnud juba aastaid, siis on Eesti ettevõtete huvi end kindlustada jätkuvalt madalam kui teistes riikides. Hetkel on küberrünnakute ja andmeleketega seotud nõuete vastu võrreldes teiste sektoritega märkimisväärselt rohkem kindlustatud IT-firmad.

Millest alustada oma ettevõtte ja koostööpartnerite IT-turvalisuse analüüsimisel?
Ettevõtted võiksid enne koostöö alustamist nõuda oma äripartnerilt turvaauditit – tellida see neile ise või paluda neil see teha. Nii mõnigi leping või äritehing on jäänud pooleli, sest teine lepingupool ei ole olnud piisava küberturvalisuse tasemega.
Üha enam on levinud ka see, et ESG aruandluse kohustusega ettevõte nõuab oma lepingupoolelt turvaauditit või kindlustuslepingu olemasolu, mis kataks andmete ja infosüsteemide turvalisusega seotud riske ning vastutust lepingupartneri osas. Kõige lihtsama välise ründepinna hindamise auditi saab üsna mõistliku aja ja kuluga kätte ning see on ka hea sisend kindlustuslepingu ostmiseks valmistumisel. Kindlasti on mõistlik nõuda ka küberkindlustuslepingu sõlmimist.

Kas Eesti seadus ei nõua meditsiinisektori firmadelt mitte mingit kindlustust
Küberkindlustus ei ole praegusel ajal Euroopa Liidu riikides üheski sektoris kohustuslik. Järgmise aasta juulis hakkab kehtima kohustuslik patsiendi- või ravivigade kindlustus, kuid selle eesmärk ei ole kindlustada andmete lekkimisega tekkinud kahjusid.

Kui suure trahvi Asper Biogenelt võib saada?
Eesti on trahvisummade suhtes tagasihoidlik, kuid hoiatustest on jõutud ka trahvimiseni. Ida-Tallinna keskhaiglale (ITK) määrati isikuandmete hooletu käitlemise eest trahv summas 200 000 eurot, mille kohus küll lõpuks tühistas.
Isikuandmete kaitse üldmääruse kohaselt saab trahvida 4% ettevõtte globaalsest käibest või kuni 20 mln eurot. Seega võib Asper Biogene trahv teoreetiliselt ulatuda miljonitesse eurodesse. Näiteks Soome Vastaamo psühhoteraapia patsientide andmelekke puhul määrati ettevõttele trahv üle 600 000 euro ning olukord lõppes ettevõtte pankrotiga.
Andmelekkega kaasnevad kahjud on tavaliselt oluliselt suuremad kui vaid trahvisummad. Trahvile eelnevad erinevad kulud, näiteks kaasavad ettevõtted klientidega seotud asjaajamisteks õigusnõustajad ja lekke põhjuste selgitamiseks või parandamiseks tehnilise eksperdi. Kindlustuse olemasolu korral kataks selle kulu kindlustusandja, kuid kui leping puudub, siis tuleb see ettevõtte vahenditest tasuda. Laias laastus tähendab üksnes teavituskulu iga andmesubjekti puhul 50–100 euro suurust väljaminekut ja kui arvestada andmelekkest puudutatud inimeste hulka, siis tähendab see arvestatavat summat.

TASUB TEADA!

Alates 2020. aastast on tervishoiu andmetega seotud andmelekete kulud kasvanud 53,3%. Tervishoiusektor teatas 2022. aastal 13. aastat järjest kõige kallimatest andmetega seotud leketest – keskmise kuluga ligi 11 miljonit USA dollarit.

Allikas: IBM raport

Mõned meditsiinivaldkonna andmelekete juhtumid maailmas:

• 2020. aastal toimus Soomes psühhoteraapiateenuste pakkuja Vastaamo vastu küberrünnak. Kurjategija kasutas saadud andmeid nii Vastaamolt kui ka tema patsientidelt lunaraha väljapressimiseks. Kuna Vastaamo keeldus lunaraha maksmisest, siis avaldas kurjategija esmalt vähemalt 300 patsiendi andmed internetis, millele hiljem lisandus veel vähemalt 2000 patsiendi andmete avaldamine. Uurimine näitas, et Vastaamo ei täitnud asjakohaseid turvanõudeid isikuandmete kaitseks. Lisaks ei vastanud Vastaamo andmekaitsealane mõjuhinnang Euroopa Liidu isikuandmete kaitse üldmääruse (GDPR) nõuetele. 2021. aastal kuulutas Helsingi ringkonnakohus välja Vastaamo pankroti. Andmekaitseasutus trahvis ettevõtet rikkumiste eest 608 000 euroga ning Vastaamo endine juht võeti kriminaalvastutusele ja sai karistuseks kolmekuuse tingimisi vangistuse. Vastaamo küberrünnakust sai ka Soome ajaloo suurim kriminaalasi ja rahvusvaheline skandaal.

• USA meditsiinisektori firma PJ&A küberrünnak paljastas ligi 9 miljoni patsiendi andmed. Loe siit >>

• Küberrünnak terviseteenuste pakkujale tabas viite Kanada haiglat. Loe siit >>

• Küberkurjategija avaldas miljonid 23andMe-nimelise genoomika ettevõtte inglastest ja sakslastest kasutajate geneetilised andmeprofiilid. Loe siit >>

• Venemaa päritolu lunavaragrupp nimetusega BlackCat lekitas USA meditsiinisektori ettevõtte rinnavähipatsientide isiklikud fotod. Loe siit >>

Artikkel on esmalt ilmunud Äripäeva veebis 20.12.2023.