Andmebaasist laeti ebaseaduslikult alla apteegiketi kliendikaartide omanike andmeid

Apteegi- ja haiglakaupadega tegelev ettevõte Allium UPI teatas veebruaris õiguskaitseorgamitele, et nende hallatud kliendikaardisüsteemi on ebaseaduslikult sisenetud ja laetud sealt alla klientide isikukoode, ostuandmeid ning kontaktandmeid. Asjaolud selgitatakse alustatud kriminaalmenetluse ja järelevalvemenetluse käigus.

Ettevõtte teatel avastati käesoleva aasta jaanuaris ulatuslik küberrünnak Allium UPI OÜ andmebaasi vastu, mis pakub Apotheka apteekidele ja teistele koostööpartneritele (Apteegi Beauty OÜ, PetCity OÜ) ühtset lojaalsusprogrammi. Rünnaku avastamisel võeti koheselt tarvitusele vastumeetmed selle tõkestamiseks ja kuriteo ulatuse piiramiseks ning teavitati kohaseid riigiasutusi. Rünnaku käigus võis kolmandate osapoolte kätte sattuda andmeid klientide kohta, kes olid programmiga liitunud enne veebruari lõppu aastal 2020.

Kriminaalmenetluses on praeguseks tuvastatud, et Allium UPI andmebaasist laeti ebaseaduslikult alla ligi 700 000 Apotheka, Apotheka Beauty ja PetCity kliendikaardi omaniku isikukoodi, üle 400 000 e-posti aadressi, ligi 60 000 koduaadressi ja umbes 30 000 telefoninumbrit.

Samuti on võimalik tuvastada ostetud käsimüügiravimeid ja muid apteegikaupu aastatel 2014-2020, kuid mitte ostetud retseptiravimeid.

Kliendiprogramm ei salvesta paroole, pangaandmeid ega infot retseptiravimite kohta ning nende sattumine kurjategijate kätte on välistatud, rõhutas Allium UPI.

Alates neljapäevast, 4. aprillist saadab ettevõte kõigile rünnaku ohvriks langenud andmebaasis olnud klientidele otseteavituse.

Keskkriminaalpolitsei küberkuritegude büroo juht Ago Ambur sõnas, et politsei eesmärk on teada saada, kes on selle teo taga.

«Kuriteo avastamisest alates on politsei teinud tihedat koostööd erinevate riikidega, et tuvastada kurjategija kuumadel jälgedel. Politseile teadaolevalt ei ole hetkel lekkinud andmeid kuritegelikel eesmärkidel kasutatud,» rõhutas Ambur.

«Siiski on küberkuritegevus väga rahvusvaheline ning taolisi lekkeid kasutavad osavalt ära ka teised kelmid. Seetõttu palume olla tähelepanelikud, kui teiega võtab seoses selle andmelekkega ühendust keegi teine peale Allium UPI, sest kelmid võivad üritada praegust olukorda ära kasutades inimestelt raha ja andmeid välja petta. Allium UPI teavitab juhtunust kõiki, kelle andmed alla laeti, kuid seejuures ei küsita inimestelt täiendavaid andmeid,» lisas Ambur.

Riigiprokurör Vahur Verte ütles, et küberkurjategijad tegutsevad teadlikult selle suunas, et õnnestuks ligi pääseda tundlikumatele andmetele.

«Üha enam tuleb inimestel usaldada enda isikuandmeid teenusepakkujatele, sest digitaalne asjaajamine ja andmete talletamine on paberimajandusest tõhusam ja mugavam. Seetõttu usaldavad inimesed teenusepakkujaid, uskudes, et nad panustavad tõsimeelselt ka nende andmete kaitsmisesse. Seda usaldust on kerge kaotada, kuid raske tagasi võita. Eriti vastutustundlikult peavad küberturvalisusesse suhtuma ettevõtted, mis töötlevad inimeste terviseandmeid või teisi tundlikke andmeid,» ütles Verte.

Andmekaitse Inspektsiooni peadirektori Pille Lehise sõnul näitab järjekordne juhtum taas kord, et andmete kaitsmine on ettevõtjatele pahatihti teisejärguline.

«Ettevõtetel ja asutustel tuleb tõsiselt kaaluda, kas ja kuidas kasvatada investeeringuid turvalisuse tagamiseks. Taolise juhtumi kahju ei ole pelgalt materiaalne, vaid usaldust õõnestav mainekahju,» ütles Lehis.

«Palume inimestel kriitiliselt suhtuda oma isikuandmete jagamisse, selle intsidendi põhjal ka kliendikontode tarbeks. Kord antud nõusolek on võimalik igal momendil tagasi võtta, kuid juba kogutud andmeid lõplikult kustutada ei saa. Peame inimestena ka ise huvi tundma, milliseid andmeid meie kohta teatakse, millisel eesmärgil neid kogutakse ja kes neile ligi pääseb. Andmetest on saanud meie kui üksikisikute kõige olulisem ja väärtuslikum valuuta. Kaupleme nendega palun vastutustundlikult, sest selle valuuta väärtus on iga päev kasvamas,» lisas ta.

Allium UPI juhatuse liikme Marika Pensa sõnul võtab ettevõte andmekaitset väga tõsiselt ja vabandab võimalike ebamugavuste pärast, mida antud juhtum võib inimestele põhjustada. «Oleme rakendanud lisameetmeid kliendiprogrammi andmete turvalisuse tugevdamiseks; klientide andmed on hoitud kindlalt ning teeme kõik endast oleneva, et selliseid juhtumeid tulevikus ei esineks,» ütles Pensa.

RIA intsidentide lahendamise osakonna (CERT-EE) juht Veikko Raasuke selgitas, et tõsiste tagajärgedega küberrünnak ettevõtte või asutuse vastu algab sageli mõne töötaja kasutajakonto ülevõtmisest.

«Kasutajanime ja parooli teadasaamiseks võivad kurjategijad kasutada näiteks pahavara, mille töötaja tõmbab oma arvutisse nakatunud e-kirja manusega või kahtlasest kohast leitud piraattarkvaraga. Selleks, et kurjategijad ei pääseks töötaja lekkinud parooliga kohe süsteemi sisse, tuleks kindlasti kasutada kaheastmelist autentimist,» ütles Raasuke. «Samuti peaksid olema internetist ligipääsetavad ainult need infosüsteemid ja teenused, mille puhul see on tingimata vajalik, ja kõik need tuleks paigutada ka VPN-i või muu turvalahenduse taha. Paraku selgub CERT-EE automaatseire andmetest, et Eesti on endiselt näiteks üle tuhande internetist vabalt ligipääsetava kaugtöölaua.»

Kriminaalmenetlust alustati paragrahvi järgi, mis käsitleb arvutisüsteemile ebaseaduslikult juurdepääsu hankimist. Menetlust viib läbi keskkriminaalpolitsei küberkuritegude büroo ja juhib Riigiprokuratuur. Järelevalvemenetlust viib läbi Andmekaitse Inspektsioon.