Ei ole võrreldav Perli andmebaasiga

Andmebaas koos isikuandmetega oli nähtav neile ettevõtete esindajatele, kes olid loginud sisse iseteeninduskeskkonda ning teinud seal päringuid pääsuõiguste haldussüsteemis. Iseteeninduskeskkond on asutuse või ettevõtte volitatud isikutele mõeldud süsteem, kus saab määrata rolle oma töötajatele ning anda ligipääse erinevatesse teenustesse.

Andmebaasis olevad andmed põhinevad äriregistril, kus neid uuendatakse perioodiliselt. RIA-l ei ole infot selle kohta, kas ja kuidas keegi infot endale võis salvestada. Andmetele ligipääsust andis teada tähelepanelik portaali kasutaja.

“Praeguse info kohaselt olid andmed teistele osapooltele nähtavad alates 2008, kas ulatub veel varasemasse aega või mitte selgub sisemenetluse käigus,” sõnas RIA kommunikatsioonijuht Helen Uldrich.

“Logi, mis läheks tagasi 2008. aastasse ei ole, kuid loodetavasti menetlus annab sellele vastuse.”

9. juulist alates on iseteeninduse funktsionaalsust pärsitud ja sellest tulenevalt on RIA teostanud toiminguid, mida varem sai iseteeninduses ise teha ettevõtete eest ise. 

Ühena peamisest tõi Uldrich välja raamatupidajatele volituste lisamise võimaluse. Selliseid pöördumisi on 9. juulist alates tema sõnul ametile laekunud keskmiselt kolm korda päevas. 

“Teenuse üks kasutaja informeeris meid sellest, ta nägi, et suurem kogu andmeid on kättesaadavad. See inimene andis meile teada sellest 6. juulil, paranduse tegime 9. juulil. Aeg kulus sellele, et teha taustatööd ja jõuda selgusele, kes ja kust pääseb andmetele ligi. Kaks päeva läks erinevate toimingute tegemiseks. Ma ei oska öelda, kas see on pikk või lühike aeg,” rääkis ta sellest, kuidas viga avastati.

Kommunikatsioonijuhi sõnul ei anna praegu lekkinud andmebaasi võrreldav Perli superandmebaasiga, mis levis laialdaselt 90-ndate lõpus ja seda peamiselt seetõttu, et seal olnud andmed olid juba niigi avalikud.

“Ma ei julge öelda, et Perli andmebaas ja see oleks sarnased. Samas ma ei mõista hukka inimesi, kes võivad seda teha,” lisas ta.

Kuidas andmebaas avalikuks sai?

“Tegemist on kümmekond aastat tagasi loodud funktsiooniga, millega anti asutuste ja ettevõtete esindajatele õigused oma töötajate ligipääsusid hallata. Süsteem oli algselt ehitatud nii, et volitatud isikute andmed olid nähtaval ka teistele volitatud isikutele, kuna toona ei olnud ühiskondlik vaade ja lähenemine andmekaitsele ja privaatsusele selline nagu praegu,” ütles RIA peadirektori asetäitja Margus Arm.

“Mis põhjusel jäi aga keskkond ajakohastamata ning millised protsessid vajavad kriitilist tähelepanu, et sarnaseid asju tulevikus enam ei korduks, selle selgitame välja sisekontrolli menetlusega. Samuti teavitasime juhtunust andmekaitse inspektsiooni,“ selgitas ta.

Iseteeninduskeskkonna pääsuõiguste rakenduse osalise sulgemise tõttu peavad ettevõtete volitatud esindajad riigiportaalivälistes infosüsteemides oma töötajate rollide muutmiseks ja ligipääsude andmiseks pöörduma edaspidi RIA kasutajatoe poole aadressil help@ria.ee.

Endiselt saavad ettevõtjad hallata eesti.ee-s paiknevate teenuste õigusi. See tähendab, et kui klient soovib anda raamatupidajale õiguseid töövõimetuslehe vormistamiseks (eesti.ee-s olev teenus), saab ta seda teha vanaviisi ehk RIA kasutajatoele (help@ria.ee) kirjutamata. Kui ta aga soovib anda oma töötajale õiguse riigiportaalivälise infosüsteemi teenuse kasutamiseks, peab ta kirjutama RIA kasutajatoele (help@ria.ee).

2021. aasta esimesel poolaastal kasutati iseteeninduskeskkonda umbes 120 korda kuus. Pärast keskkonna sulgemist on pääsuõiguste muutmiseks RIA kasutajatoe poole pöördutud keskmiselt kaks-kolm korda päevas. „Jälgime jooksvalt olukorda. Kui mahud kasvavad või ilmnevad mõned ajakriitilised protsessid, siis võtame kasutusele teised lahendused,“ märkis Arm.

Andmekaitse inspektsiooni (AKI) õigusnõuniku Liisa Ojangu sõnul ei ole AKI veel otsustanud, kas ja kuidas andmelekkele reageerib, kuid ta oskas öelda, et informatsioon lekke toimumise kohta jõudis nendeni samal päeval, mil piirati andmebaasile ligipääsu. 

Kuna AKIl puudub võimalus riigiasutusi trahvida, siis RIAt rahaline karistus ei terenda. Samuti parandas RIA lekke aegsasti ära, mis tähendab sedagi, et AKI ei saa teha ettekirjutust, mis kohustaks neid leket lõpetama. Vastavalt seadusele on AKIl aega otsuse langetamiseks kuni 9. augustini.