Kahtlustus: infovargus, Iizi tõmmatud andmeskandaali

Sten-Aleks Pihlak 11. juuli 2008, 00:00

Kogu asi sai alguse selle aasta aprillis, mil Eesti Liikluskindlustuse Fond avastas oma keskse infosüsteemi rutiinse kontrolli käigus, et OÜ Indium on ebaseaduslikult teinud Iizile usaldatud paroolidega masspäringu Ergo liikluskindlustuse kliendiandmete kohta.

"Kahtlustame, et aset on leidnud konfidentsiaalse info vargus," selgitab Eesti Liikluskindlustuse Fondi juhatuse liige Andres Piirsalu avastatut.

Liikluskindlustuse poliisil olevate isiklike andmete leke on usalduse peale mängivas kindlustusmaailmas väga tõsine kahtlustus.

Kuigi täpset OÜ Indium tehtud päringute arvu Piirsalu avalikustada ei soovinud, tunnistas ta siiski, et tegu on väga arvestatava mahuga. Samuti tunnistas Piirsalu, et toimunud juhtum on tema teada Eestis esmakordne.

"Ei tule küll ette, et sellist asja varem oleks olnud. Tegu on samaväärse juhtumiga, kui ma oma pangakaardi teile annaksin ja te käiksite sellega minu asemel poes," sõnab ta.

Mais esitaski LKF kummalise masspäringu ajendil taotluse kriminaalmenetluse algatamiseks, mida 11. juunil ka tehti.

Kriminaalse auraga sündmuste epitsentrisse on jäänud aga tundmatu, kuid huvitava taustaga IT-arendusfirma OÜ Indium.

Nimelt asutati ebaseaduslikes päringutes kahtlustatav ettevõtte alles möödunud aasta detsembris ja selle omanikuks, juhiks ja ainsaks töötajaks on mitte vähem huvitavama taustaga noormees Indrek Sooneste.

Olles üldsusele tundmatu, pole mees sugugi võõras kindlustusmaastikul. Lisaks seotusele Indiumi kaudu mitme Eesti suure kindlustusseltsi ja kindlustusmaakleriga, andis Sooneste alles selle aasta alguses lahkumisavalduse IF Eesti Kindlustusele, kus ta üle kolme aasta süsteemide arendaja ametikohal töötas. Tema ettevõtte vastu algatatud kriminaalmenetlus tuli IT-mehele siiski üllatusena.

"Ei ole teadlik," kõlab Sooneste lühike vastus algatatud kriminaalmenetluse kohta. Ajakirjaniku lihtsale küsimusele, kas ta on ERGO klientide kohta masspäringuid teinud või mitte, Sooneste lihtsalt vastata ei suuda.

"Ütleme, et Indium ei ole teinud. Midagi ebaseaduslikku ei ole," kõlab Sooneste vastus pärast seda, kui sama küsimust on korratud juba kolm korda.

Kuigi Sooneste lõpuks väidab end siiski süütu olevat, ei soovi ta selgitada, kuidas ta firma sellisesse olukorda mässiti. Selgituste saamiseks nii tehtud päringute kui ka liikunud paroolide kohta palub ta võtta ühendust Iiziga.

Selgituste jagamises pole kahjuks ka Iizist suuremat tolku. Võttes teisipäeval Iizi juhi Risto Rossariga ühendust, on ta juhtunu osas sama napisõnaline nagu Sooneste.

"Asjaoludega lähemalt tutvumata ei saa me neid teemasid kommenteerida," vastab Rossar küsimustele, kuidas võisid Iizi paroolid Indiumi kätte saada ja milleks tehtud masspäring vajalik oli. Rossar tunnistas vaid seda, et Indium IT-arendajana nende koostööpartner on.

Lugu sai aga huvitava, kuid ootamatu pöörde kolmapäeval, mil Ergost laekus info, et kui LKF ebaseaduslikud päringud avastas, olevat Rossar süüd ise tunnistanud.

"Pärast päringu ilmsiks tulekut põhjendas Iizi juht Risto Rossar päringu tellimist sellega, et tal oli vaja seda infot Ergoga sõlmitud lepingu täitmiseks," teatab Ergo Kindlustuse juhatuse liige Sergei Vahnitski, kelle sõnul oli Iizi pikema jututa nõus Ergole tasuma ka 100 000kroonise leppetrahvi nimetatud rikkumise eest.

Kuid isegi see info ei pannud rääkima kumbagi kahtlustatava ettevõtte juhti. Saadetud küsimustele vastamise asemel tänaseid mõlemad ettevõtted ajakirjanikku huvi eest kõne all olevate firmade vastu, kuid pidasid targemaks leheveergudel sõnasõda mitte pidada.

Kuigi paljud otsad jäävad selles loos praegu lahtiseks, on teada fakt, et selline meeletu masspäring Ergo klientide konfidentsiaalsete liikluskindlustusandmete kohta oleks olnud lubamatu isegi Iizile endale, rääkimata siis veel päringu tegemisest kolmanda osapoole kaudu.

Seadusevastastes päringutes kahtlustatava IT-arendusfirma OÜ Indium juhi Indrek Sooneste sõnul pole tema käitumises midagi ebaseaduslikku olnud.

Intervjuu Indrek Soonestega.

Helistan algatatud kriminaalmenetluse pärast, kus Teie juhitud OÜd Indium kahtlustatakse ebaseaduslikult Iizi paroolidega masspäringute tegemises Ergo liikluskindlustuse klientide kohta. Olete sellest menetlusest teadlik?

Ei ole teadlik.

Aga kas olete esitatud kahtlustusega nõus või mitte?

No teema on tuttav.

Kas Te olete seda teinud või kas on Teie firma kaudu neid päringuid tehtud?

Ma ei saa sellele niimoodi otseselt vastata.

Miks mitte?

Äripäevast olite? Mis selle infoga tehakse?

Sellest on tulemas artikkel.

Ma soovitaksin Teil Iiziga rääkida. Mul ei ole eriti midagi siia lisada.

Mina ei ole üldse teadlik, et see asi on algatatud, ja sellega kõik piirdubki.

Tean seda, et teema on tuttav.

Aga kuidas see teema Teile tuttav on?

No eks ma tean, mis siin Indiumis ju toimub.

Palju inimesi Teil firmas töötab?

Ainult mina.

Siis peaks ju olema teada, kas Teie olete neid päringuid teinud või ei ole.

Ma räägin, et ma olen teemaga kursis, aga küsimus on selles, kuidas seda tõlgendatakse.

Teie kohal rippuv kahtlustus on väga karm. Mind huvitaks just Teie selgitus, kuidas Te seda teemat teate ja kas Te olete Ergo klientide kohta päringuid teinud või mitte?

Ei. Ütleme, et Indium ei ole teinud.

Kuidas siis ikkagi see teema Teieni jõudis, et Ergo andmetele on päringuid tehtud?

Teema jõudis minuni nii, et mul pandi lihtsalt ükskord teenused seisma.

Millal see juhtus?

Ma ei mäleta.

Ma sellepärast Teile helistangi, et teha kindlaks, kas olete teinud masspäringu Ergo liikluskindlustuse klientide kohta või ei ole?

Midagi ebaseaduslikku ei ole.

Aga mingit infot on võetud?

Kogu aeg käivad päringud Indiumi kaudu Eesti Liikluskindlustuse Fondi serverisse.

Tänagi, kui lähete näiteks Ingese (Inges Kindlustus AS - toim) kodulehele, siis nende liikluskindlustuse kalkulaator istub minu serveri otsas ja selle kalkulaatori teine ots on Eesti Liikluskindlustuse Fondis.

Kuidas saab olla nii, et Teie firmast tehti just Iizi paroolidega päringuid?

Seda peab Iizilt küsima.

Kas Indiumil ei ole siis Iizi paroole?

Ei ole.

Ja Teil isiklikult?

Ei. Ma räägin, et minul on siin väga väikene osa, aga nagu ma aru saan, siis mustaks on mind kõige rohkem tehtud.

Süüdi Te siis ei ole?

Ei.

Sergei Vahnitski, ERGO Kindlustuse ASi juhatuse liige
Oleme maakleritega sõlmitud koostöölepingutes sõnaselgelt keelanud kolmandatele osapooltele infosüsteemide paroolide edastamise ja andmete õigustamatu töötlemise.

Pärast päringu ilmsiks tulekut põhjendas Iizi juht Risto Rossar päringu tellimist sellega, et seda infot on tal vaja ERGOga sõlmitud lepingu täitmiseks.

Seega on ta meile kinnitanud, et päringuid tehti nende tellimusel. Meie kogemus ütleb, et Iiziga ei saa midagi kokku leppida, sest leppeid ei pea ta miskiks.

Loodame, et algatatud kriminaalasi annab meile infot, mis on päringute tulemusel saadud andmetest saanud.

Risto Rossar, Iizi Kindlustusmaakler ASi juht
Erinevalt Ergo Kindlustusest ei tegele me prokuratuuri läbi viidava uurimise kõrval meediasõja arendamisega ning seetõttu keskendume infovahetusele eelkõige uurijatega, et aidata kiiremini välja selgitada, mis asjaoludel ja põhjustel on LKF Iizi vastu esitanud põhjendamatuid süüdistusi.

Teema laiemaks avamiseks võin vaid lisada, et ilmselt on esitatud süüdistus üks lüli LKFi poolses katses piirata liikluskindlustuse müüki maaklerite kanalis.

Viimasel ajal on LKFi juhid teinud selleks väga selgeid otsuseid.

Enn Saar, ASi MicroLink Eesti juhatuse esimees
MicroLink vastutab paljude IT-süsteemide eest, nende hulgas on ka erinevate kindlustusettevõtete infosüsteemid. Kliendi paroolidega päringute tegemine saab toimuda ainult kliendi palvel ja eesmärgiga näiteks testida süsteemi või üritada leida süsteemi mittetoimimise põhjused. Päringute tegemine ilma kliendi loata on täiesti välistatud. Seda, et mõni klient oleks läbi MicroLinki mingeid tehinguid teinud, pole kunagi juhtunud.

Algis Suik, If Eesti Kindlustuse juhatuse liige
Kindlustusmaakler ei saa sellist masspäringut LKFi andmebaasis sooritada.

Samuti ei luba seda kehtiv kindlustustegevuse seadus, mille kohaselt peab maakleril olema kliendiandmete töötlemiseks ette näidata kliendi luba.

Kahtlemata oleks see kliendibaasina väga väärtuslik info ja selgelt oleks võimalik seda informatsiooni kasutada müügi eesmärgil.

Kuidas Iizi selle info omamist kliendile põhjendanud oleks, ei oska ma öelda.

Tõenäoliselt oleks sinna mingi lugu juurde mõeldud.

Äripäev http://www.aripaev.ee/img/id-aripaev.svg
24. November 2011, 17:38
Otsi:

Ava täpsem otsing