Artikkel

    Eesti meditsiinisektori suurim andmeleke näitab karmi tõde ettevõtete kaitsetusest

    IIZI finantsriskide valdkonna spetsialist Helen Evert analüüsib artiklis detsembri keskel avalikuks saanud Eesti ajaloo suurimat andmeleket.Foto: IIZI Kindlustusmaakler

    Eestis geneetilise testimisega tegeleva OÜ Asper Biogene andmebaasist laeti ebaseaduslikult alla 10 000 inimese terviseandmeid. Selle andmelekke eest vastutavad ühiselt ka kõik Asper Biogene'ilt testimisteenust ostnud 42 Eesti meditsiiniettevõtet. Enamikul neist puudus küberkindlustus.

    Detsembri keskel avalikustatud Eesti ajaloo suurimat andmeleket kommenteerib IIZI finantsriskide valdkonna spetsialist Helen Evert.
    Te olete aastaid Eesti ettevõtetele rääkinud vajadusest sõlmida küberkindlustus. Kas Asper Biogene juhtumiga jõuab selle kindlustuse vajalikkus lõpuks valusalt kohale?
    Jah, see on eluline näide. Lõpuks saab ehk laiemat kõlapinda asjaolu, et andmelekkeid saab kindlustada küberkindlustusega.
    Küberrünnetele on eriti haavatavad just meditsiinisektoris tegutsevad firmad. Üle maailma on tekkinud väga aktiivsed küberkurjategijate rühmitused, mis on sihikule võtnud just meditsiini ja geneetilise testimisega tegelevad firmad. Põhjus on lihtne - inimesed on valmis küberkurjategijatele raha maksma, et nende tervise- ja isiklikke andmeid ei avaldataks. Kohe peale andmelekke avalikustamist levisid sotsiaalmeedias Eesti politsei hoiatused, et kurjategijaid on Eestis juba teinud inimestele petukõnesid raha ja pangakontoga seotud andmete õngitsemiseks. Politsei palus raha mitte maksta ja neile kõnest viivitamata teada anda.
    Kes vastutab, kui firma on langenud küberrünnaku ohvriks?
    Ettevõttes vastutab alati juht, mistõttu ei saa kunagi näpuga näidata oma IT-juhi või IT-partneri poole. Isegi, kui ettevõttel on lepinguline IT-teenuse pakkuja, siis see ei tähenda, et ettevõte nende andmete eest ei vastuta. Ka andmelekete puhul vastutavad alati lõpuks ettevõtte juhid. Selle juhtumi puhul vastutavad ka kõik AKI nimekirjas avaldatud 42 teenust ostnud ettevõtet ja nende juhid.
    Igal ettevõttel peaks olema kirja pandud ja läbi katsetatud plaan, kuidas andmelekete või küberintsidentide puhul tegutsetakse – kes kriisi juhib, keda informeeritakse, keda kaasatakse, kes suhtleb meedia ja andmesubjektidega. Pole hullemat olukorda, kui ettevõttes ei teata, mis juhtus, millised andmed olid puudutatud ning mis edasi saab.

    Isikuandmete kaitse üldmääruse kohaselt saab trahvida 4% ettevõtte globaalsest käibest või kuni 20 mln eurot. Seega võib OÜ Asper Biogene trahv teoreetiliselt ulatuda miljonitesse eurodesse.

    Helen Evert
    IIZI finantsriskide valdkonna spetsialist
    Kui te vaatate neid andmelekkega seotud firmasid, siis kui paljudel neist on teie andmetel olemas küberkindlustus?
    Kuna oleme Eestis üks aktiivsemaid küberkindlustuse pakkujaid, siis meie hinnangul ei ole suurem osa nendest ettevõtetest küberkindlustust ostnud. Mõnel neist firmadest on aga välismaine emafirma ja neil võib küberkindlustus olla tehtud välismaise emafirma kaudu.
    Kuigi andmeid ja infosüsteeme on küberkindlustusega võimalik kindlustada olnud juba aastaid, siis on Eesti ettevõtete huvi end kindlustada jätkuvalt madalam kui teistes riikides. Hetkel on küberrünnakute ja andmeleketega seotud nõuete vastu võrreldes teiste sektoritega märkimisväärselt rohkem kindlustatud IT-firmad.
    Millest alustada oma ettevõtte ja koostööpartnerite IT-turvalisuse analüüsimisel?
    Ettevõtted võiksid enne koostöö alustamist nõuda oma äripartnerilt turvaauditit – tellida see neile ise või paluda neil see teha. Nii mõnigi leping või äritehing on jäänud pooleli, sest teine lepingupool ei ole olnud piisava küberturvalisuse tasemega.
    Üha enam on levinud ka see, et ESG aruandluse kohustusega ettevõte nõuab oma lepingupoolelt turvaauditit või kindlustuslepingu olemasolu, mis kataks andmete ja infosüsteemide turvalisusega seotud riske ning vastutust lepingupartneri osas. Kõige lihtsama välise ründepinna hindamise auditi saab üsna mõistliku aja ja kuluga kätte ning see on ka hea sisend kindlustuslepingu ostmiseks valmistumisel.
    Kindlasti on mõistlik nõuda ka küberkindlustuslepingu sõlmimist.
    Kas Eesti seadus ei nõua meditsiinisektori firmadelt mitte mingit kindlustust?
    Küberkindlustus ei ole praegusel ajal Euroopa Liidu riikides üheski sektoris kohustuslik. Järgmise aasta juulis hakkab kehtima kohustuslik patsiendi- või ravivigade kindlustus, kuid selle eesmärk ei ole kindlustada andmete lekkimisega tekkinud kahjusid.
    Kui suure trahvi Asper Biogenelt võib saada?
    Eesti on trahvisummade suhtes tagasihoidlik, kuid hoiatustest on jõutud ka trahvimiseni. Ida-Tallinna keskhaiglale (ITK) määrati isikuandmete hooletu käitlemise eest trahv summas 200 000 eurot, mille kohus küll lõpuks tühistas.
    Isikuandmete kaitse üldmääruse kohaselt saab trahvida 4% ettevõtte globaalsest käibest või kuni 20 mln eurot. Seega võib Asper Biogene trahv teoreetiliselt ulatuda miljonitesse eurodesse. Näiteks Soome Vastaamo psühhoteraapia patsientide andmelekke puhul määrati ettevõttele trahv üle 600 000 euro ning olukord lõppes ettevõtte pankrotiga.
    Andmelekkega kaasnevad kahjud on tavaliselt oluliselt suuremad kui vaid trahvisummad. Trahvile eelnevad erinevad kulud, näiteks kaasavad ettevõtted klientidega seotud asjaajamisteks õigusnõustajad ja lekke põhjuste selgitamiseks või parandamiseks tehnilise eksperdi. Kindlustuse olemasolu korral kataks selle kulu kindlustusandja, kuid kui leping puudub, siis tuleb see ettevõtte vahenditest tasuda. Laias laastus tähendab üksnes teavituskulu iga andmesubjekti puhul 50–100 euro suurust väljaminekut ja kui arvestada andmelekkest puudutatud inimeste hulka, siis tähendab see arvestatavat summat.

    TASUB TEADA!

    Alates 2020. aastast on tervishoiu andmetega seotud andmelekete kulud kasvanud 53,3%. Tervishoiusektor teatas 2022. aastal 13. aastat järjest kõige kallimatest andmetega seotud leketest – keskmise kuluga ligi 11 miljonit USA dollarit.

    Allikas: IBM raport

    Mõned meditsiinivaldkonna andmelekete juhtumid maailmas:

    • 2020. aastal toimus Soomes psühhoteraapiateenuste pakkuja Vastaamo vastu küberrünnak. Kurjategija kasutas saadud andmeid nii Vastaamolt kui ka tema patsientidelt lunaraha väljapressimiseks. Kuna Vastaamo keeldus lunaraha maksmisest, siis avaldas kurjategija esmalt vähemalt 300 patsiendi andmed internetis, millele hiljem lisandus veel vähemalt 2000 patsiendi andmete avaldamine. Uurimine näitas, et Vastaamo ei täitnud asjakohaseid turvanõudeid isikuandmete kaitseks. Lisaks ei vastanud Vastaamo andmekaitsealane mõjuhinnang Euroopa Liidu isikuandmete kaitse üldmääruse (GDPR) nõuetele. 2021. aastal kuulutas Helsingi ringkonnakohus välja Vastaamo pankroti. Andmekaitseasutus trahvis ettevõtet rikkumiste eest 608 000 euroga ning Vastaamo endine juht võeti kriminaalvastutusele ja sai karistuseks kolmekuuse tingimisi vangistuse. Vastaamo küberrünnakust sai ka Soome ajaloo suurim kriminaalasi ja rahvusvaheline skandaal.
    • USA meditsiinisektori firma PJ&A küberrünnak paljastas ligi 9 miljoni patsiendi andmed. Loe siit >>
    • Küberrünnak terviseteenuste pakkujale tabas viite Kanada haiglat. Loe siit >>
    • Küberkurjategija avaldas miljonid 23andMe-nimelise genoomika ettevõtte inglastest ja sakslastest kasutajate geneetilised andmeprofiilid. Loe siit >>
    • Venemaa päritolu lunavaragrupp nimetusega BlackCat lekitas USA meditsiinisektori ettevõtte rinnavähipatsientide isiklikud fotod. Loe siit >>
  • Hetkel kuum
Ott Aava: enamik idufirmasid ei jää ellu. See on hea
Mida toetavam on ühiskond idufirmade ebaõnnestumiste suhtes, seda rohkem sünnib suuri edulugusid, kirjutab advokaadibüroo Cobalt tehnoloogiasektori tehingunõustamiste juht Ott Aava.
Mida toetavam on ühiskond idufirmade ebaõnnestumiste suhtes, seda rohkem sünnib suuri edulugusid, kirjutab advokaadibüroo Cobalt tehnoloogiasektori tehingunõustamiste juht Ott Aava.
Balti börsidel oli punane päev
Kolmapäevase kauplemispäeva lõpetasid Balti börsid punases. Balti koondindeks taandus -0,79%, Tallinna börs -0,65%, Riia börs -0,35% ning Vilniuse börs -0,7%.
Kolmapäevase kauplemispäeva lõpetasid Balti börsid punases. Balti koondindeks taandus -0,79%, Tallinna börs -0,65%, Riia börs -0,35% ning Vilniuse börs -0,7%.
Articles republished from the Financial Times
Reaalajas börsiinfo
Väikeettevõtjatele koidab peagi võimalus kergemini laenu saada
Väikeettevõtted saavad peagi EASi ja Kredexi käendusega lihtsamini raha laenata, rääkis ühendasutuse laenude ja käenduste osakonna juht Kaarel Aus.
Väikeettevõtted saavad peagi EASi ja Kredexi käendusega lihtsamini raha laenata, rääkis ühendasutuse laenude ja käenduste osakonna juht Kaarel Aus.
Gasellid
Kiiresti kasvavate firmade liikumist toetavad:
Gaselli KongressAJ TootedFinora BankGBC Team | Salesforce
Pannkoogimeistrid uuendavad kasvuretsepti: tuleb Eestist väljas ise äri püsti panna
Kookeri minipannkookidega tuntust kogunud Mesti omanikud tunnistasid Äripäeva raadios, et olid frantsiisi avamisele väljaspool Eestit juba päris lähedal, kuid aeg polnud küps. Enne tuleb ka ise üks koht välismaal avada.
Kookeri minipannkookidega tuntust kogunud Mesti omanikud tunnistasid Äripäeva raadios, et olid frantsiisi avamisele väljaspool Eestit juba päris lähedal, kuid aeg polnud küps. Enne tuleb ka ise üks koht välismaal avada.
Milline on edukas juht? 10 põhimõtet pärast mitmesaja liidriga rääkimist
Mida tähendab olla edukas juht? Olen rääkinud üle 400 juhiga ja kuuldud tarkuseterad välja sõelunud, süstematiseerinud ja tervikuks sidunud.
Mida tähendab olla edukas juht? Olen rääkinud üle 400 juhiga ja kuuldud tarkuseterad välja sõelunud, süstematiseerinud ja tervikuks sidunud.
Aasta lõpuks sõidavad pealinna tänavatel vesinikutaksod
Vesinikutehnoloogiaettevõte PowerUp Energy juhi Ivar Kruusenbergi sõnul jõuavad novembris Tallinna tänavatele esimesed vesinikutaksod.
Vesinikutehnoloogiaettevõte PowerUp Energy juhi Ivar Kruusenbergi sõnul jõuavad novembris Tallinna tänavatele esimesed vesinikutaksod.
Kütusemüüjad teavad üksteise äri väga hästi, aga kartelli ei paista
Konkurentsiameti analüüs hajutas kahtlused kütusekartellist, ameti soovitused edasiseks said kütusefirma juhilt aga karmi kriitikat.
Konkurentsiameti analüüs hajutas kahtlused kütusekartellist, ameti soovitused edasiseks said kütusefirma juhilt aga karmi kriitikat.
Saaremaa Piimatööstus kukkus juustu pärast kahjumisse
Saaremaa Piimatööstus jäi eelmisel aastal miljoni euroga miinusesse ja nimetab põhjuseks juustu hinna rekordilist vabalangust aasta alguses.
Saaremaa Piimatööstus jäi eelmisel aastal miljoni euroga miinusesse ja nimetab põhjuseks juustu hinna rekordilist vabalangust aasta alguses.
Tuntud veinivabrik pakib tootmise kokku: “See ei ole traagiline, vaid suurepärane”
Peenjoogivabrik Nudist koondas kulude kokkuhoiuks kogu müügimeeskonna, suve keskpaigast on ettevõttes tööl ainult üks inimene ja peale selle lõpetab firma jookide tootmise Telliskivis.
Peenjoogivabrik Nudist koondas kulude kokkuhoiuks kogu müügimeeskonna, suve keskpaigast on ettevõttes tööl ainult üks inimene ja peale selle lõpetab firma jookide tootmise Telliskivis.