Küberkurjategijad kasutavad ära inimeste nõrkusi

Läbi Allium UPI juhtunud Apotheka ja PetCity andmelekkest on möödunud veidi üle kolme nädala. Intsidendist ei mäleta enam keegi mitte midagi. Keskmist inimest leke tuntavalt ei puudutanud. Mingi teavitusmeili sai, aga "No kui keegi mu aadressi ja mõne ostu andmed teada sai, mis siis?". Aga mis siis ikkagi sai nendest andmetest?

Küberkuritegevus kui tööstusharu

2018. aastal tõi rahvusvaheline valuutafond (IMF) välja, et küberkuritegevus on kasvanud küpseks tööstusharuks. Alates 1990. aastatest, mil küberkuritegevus pead tõstis, on küberrünnakute korraldamine läinud üha lihtsamaks tänu järjest arenevatele tööriistadele ja paremale organiseeritusele.

Tehisaru ehk AI tulekuga on rünnakute planeerimise ja läbiviimise keerukus ja seega ka kulukus veelgi langenud. Rünnakuid on võimelised läbi viima lihttöölised, mitte kõrgepalgalised IT-spetsialistid. Sellest tulenevalt on ca 80 protsenti rünnakutest tehtud alale spetsialiseerunud suurorganisatsioonide poolt.

Välja on kujunenud tööstusharu, mille suurus on 2023. aasta andmeil 7,9 miljardi euro ringis. Aastaks 2027 prognoositakse kasvu pea 26 miljardile eurole (WEF). Võrdluseks: Eesti SKP oli 2023. aastal 37,7 miljardit eurot.

Eestlastelt petsid pahalased 2023. aastal välja vähemalt 8,3 miljonit eurot. See on summa, mis on raporteeritud. Kui paljud inimesed häbenevad või ei oska juhtumeid raporteerida, me ei tea.

Popimad pettuse tüübid siinmail on postiteenuste sõnumid ümber suunamise kohta, "politsei- ja piirivalveameti" abipalved ja hoiatused isikutele, ärikirja pettused, Facebook Marketplace'i pettused, suhtepettused, sõiduki ostu-müügi pettused ja loomulikult suurepäraste investeeringuvõimaluste pakkumine erinevatel internetiplatvormidel.

Kuigi teemad on pettustel erinevad, on inimeste mõjutusvahendid neis kõigis väga sarnased. Kasutatakse ära inimeste nõrkusi nagu saamahimu, uhkus, hirm, uudishimu, tähelepanematus ja üksildus. Tihti suunab ka tänapäevane ärikultuur ja kiire elustiil tegema vigu.

Et mitte saada petturi ohvriks, võiks silmas pidada IT-hügieeni. Jälgida, et kasutatavad süsteemid on ajakohased ja kaitstud. Uuendada paroole ja kasutada mitmeastmelist autentimist. Veebis lehitsedes mitte lubada ebavajalikke küpsiseid. Mitte klikkida kahtlastele linkidele enne nende üle kontrollimist. See ei vähenda ainult õngitsuste riski, vaid tõstab ka üldist IT-turvalisust, sest järjest suuremad on ka poliitiliselt motiveeritud rünnakud.

Tasub märgata, mis aadressidelt õngitsused tulevad ja kas nende sisu on loogiline, saadetud lingid mõistlikud. Tihti reedab originaalile sarnane, kuid ometi vale postiaadress rünnaku.

Siiski peab aru saama, et ka hästi koolitatud professionaalidel juhtub kiire elutempo juures vigu. Näite toomiseks ei pea minema kaugele. Peaminister Kaja Kallast tabas deepfake (süvavõltsing) videokõne ning õngitsuseks autentseid e-maili aadresse kasutanud ja tehnoloogia abil teise isiku välimuse ja hääle omandanud Vene agendid proovisid teda turvalisuse teemadel kompromiteerida.

Kui meie peaminister tuli juhtumist välja kriimustusteta, siis Hongkongi üht finantstöötaja suutsid mitu deepfake meeskonnaliige, nende hulgas ka vale-finantsjuht, veenda pahalastele üle kandma 25 miljonit USA dollarit.

Avaliku elu tegelastel pole tihti võimalik hoiduda info, piltide ja videote postitamisest, millest tulenevalt on neid lihtne jäljendada. Youtube eemaldas viimati üle miljoni deep fake video kuulsustest.

Meie oma avaliku elu tegelasedki on pihta saanud. Kui leiate internetiavarustest soome aktsendi ja ebaloomuliku näoga Tonerini soovitava Carmen Jolleri, tasub mõelda, kas see ikka on tema. Neil, kes pole avalikud tegelased, on aga luksus hoida oma privaatsust. Ärme sisesta oma andmeid kohta, mis lubab nende eest killukese huvitavat infot.

Eelnimetatud Carmen Joller erines Karmen Jollerist tugevalt keelekasutuse poolest. Seni on meie väike keel meid tublisti kaitsnud, kuid järjest kiiremini arenev AI muutub ka meie keele osas üha targemaks. Siiski, kui keelekasutus on kunstlikult viisakas, sarnaneb ülesehituselt inglise keelele või eksib tihti käänete ja pööretega, tasub olla ettevaatlik.

Eelnevast tulenevalt tasub mõelda, mida endast avalikult postitada. Teie kohta on võimalik andmeid koguda tarbijamängudest, isiksuse testidest, mängudest ja sotsiaalmeediast, eriti kui konto on avalik. Kokku saab ilusa profiili uskumustest, isikuandmetest, välimusest ja suhtlusajaloost.

Mis siis? Mõelge, kui teie vanaemale helistab keegi teie häälega ja teatab, et nüüd on kohe vaja mingi summa raha või teiega juhtub midagi kohutavat. Või kui sarnase kõne teeb teie laps teile. Eriti usutav tundub see näiteks läbi Facebooki videosuhtluse.

Jalutama läinud andmete edasine teekond

Aga mis Apothekast ja Pet Cityst näpatud andmetest edasi saab? Klassikalise pimeveebi ärimudeli põhjal võib arvata, et tõenäoliselt saab Allium UPI-st jalutama läinud andmeid osta hästi struktureeritud andmebaasina paarisaja euro eest.

Kokku ostetud andmebaasid viiakse kokku juba olemasolevate andmetega, millest tekib üha parem profiil üksikisiku kohta. Kusjuures käsimüügiravimite ja toidulisandite andmed annavad profiilile palju juurde. Olemasolevad andmed on pärit varasematest andmeleketest, botidega veebist kokku kogutud ja nende seas on ka vabatahtlikult kahtlastele lehtedele ja e-poodidele jagatud andmed.

Huvitav fakt on, et osta saab ka juba petetud inimeste andmeid. Tuleb välja, et suur osa inimesi, kes pettuste ohvriks langevad, ei õpi esimesest korrast ja nende petmine on tõenäolisem, kui uue ohvri leidmine.

Profileeritud isikute nimekirjad on juba kallim kaup. Nimekirjad saab läbi analüüsida, tootestada ja müüa juba kokku pandud petukampaaniana, kus on olemas isikuandmed, leitud nõrkused ja harjumused ning isiku maksejõud. Ette on valmistatud petuskeem ja stsenaariumid pettuse läbi viimiseks. Ettevalmistatud kampaaniaid kasutavad nii suured organisatsioonid kui ka väikepetturid. Mida kaugemal olla pettusahelas isikult vara ära võtmisest, seda väiksem oht on ka karistatud saada.

Seadus on, konkreetseid rakendusmehhanisme pole

Kuna igapäevase elu normaalseks toimimiseks on vaja andmeid vahetada, peab meie keskkond olema turvaliselt reguleeritud. Vaid nii saame usaldada ärisid ja asutusi, millele me oma andmeid anname. Selleks on valitsus teinud määruse, et meie avalik sektor oleks kaetud Eesti Infoturbe Standardiga, mida kontrollib Riigi Infosüsteemi Amet (RIA).

Euroopa Liit andis juba aastaid tagasi välja GDPR-i ehk isikuandmete kaitse üldmääruse (IKÜM), mille kohaselt ei tohiks üleliigset infot küsida ja info talletamine peaks olema turvaline. IKÜM-i kohaldamise üle teostab järelevalvet andmekaitse inspektsioon (AKI).

Kui IKÜM 2018. aastal Eestis üle võeti, siis olid paljud ettevõtted hirmul, et mis saama hakkab, sest senine andmepoliitika oli olnud väga lõtv. Karta oli hiigeltrahve mujalt Euroopast ja reeglid tundusid segased, aga ranged.

Nüüdseks, viis aastat hiljem, ei ole juhtunud väga midagi. On olnud turvaintsidente. On olnud ettekirjutusi. On olnud skandaale. Mis juhtus osalistega? Nad on saanud näpuviibutuse, et nii ei ole ilus teha. Seda seetõttu, et on olnud seadus, aga selle pole konkreetseid rakendusmehhanisme.

Kui GDPR tuli, puudus kahes Euroopa Liidu riigis, Eestis ja Taanis, muuhulgas ka andmekaitse rakendamise tagamiseks mõeldud haldustrahvi mõiste. Trahvide rakendamiseks saab toetuda kas karistusseadustikule ettevõtete puhul või haldusjärelevalvele avalike asutuste puhul.

2020. aastal proovis justiitsministeerium haldustrahvi kui sellist kehtestada, eelnõu sai valmis. Tartu Ülikooli õigusteaduskonna uuring ega õiguskantsler polnud just kuigi veendunud, et haldustrahv oleks vajalik. 2022. aastal käis seadus isegi riigikogus lugemisel, kuid luhtus. Eestis puuduvad senini ka kohtuotsused IKÜM-i rikkumiste kohta. Kohtulik õigusselgus seega puudub.

Eelmisel novembril, peale Ida-Tallinna keskhaigla andmelekke juhtumit, sai AKI juurde hoova IKÜM-i rakendamiseks. Karistusseadustikku täiendati viitega eriseadusest tulenevale erisuse kohaldamisele, kui see võimaldab rahatrahvi väärteo toimepanemise eest määrata suuremas ulatuses võrreldes üldise korraga. Selline viide võimaldab menetleda isikuandmete kaitse seadusest tulenevaid rikkumisi väärteomenetluses sätestatud korras ja määrata miljonitesse ulatuvaid rahatrahve.

Samuti laiendati juriidilise isiku vastutuse eeldusi. Kui varasemalt tuli tõestada tahtlus juhtkonnas, siis nüüd saab karistada ka hooletusest tingitud juhtumite eest. Vastutaval töötlejal lasub rida andmekaitse üldmäärusest tulenevaid kohustusi, mille rikkumisel saab juriidilisest isikust vastutavat töötlejat karistada.

Varasemalt oli vastutuse eelduseks üksnes juriidilise isiku huvides toime pandud tegu, mille toimepanija pidi kuuluma kindlaksmääratud isikute ringi. Muudatusega lasub juriidilisel isikul vastutus ka juhul, kui andmekaitsealaste kohustuste rikkumine on toime pandud mis tahes isiku poolt tulenevalt puudulikust töökorraldusest. Muudatused ei puuduta avaliku sektori asutusi, neile kohaldatakse endiselt vabariigi valitsuse seadusest tulenevat haldusjärelevalvet.

Tuleb tõdeda, et olukord on pisut vastuoluline. Avalikul sektoril on tõenäoliselt kõige suurem kodanike ja muul viisil Eestiga seotud isikute kohta kogutud andmeladu, aga nende tehtud vigade eest vastutamine on leebem kui erasektoris.

Seega ei tasu imestada, kui Riigi Infosüsteemide Amet saab teavitusi erinevatest avaliku sektori asutustes toimuvatest infoturbega seotud intsidentidest ja AKI peab siseministeeriumile ettekirjutusi tegema. Avalikule sektorile andmekaitsealastest rikkumistest hoidumise motiveerimiseks ei ole lihtsalt kasutatavaid ja mõjusaid hoobi.

Oleme ühiskonnana olukorras, kus meie ärikultuur on muutunud GDPR-i-kartlikust andmete suhtes hoolimatuks. Nagu AKI Allium UPI lekke järgselt ütles, kulus süsteemi tungimisest andmete allalaadimiseni mõni minut. Eks näis, kuidas järjekordse lekke uurimine läheb, mida täpselt tuvastatakse ja kas keegi peab vastutama või mitte.

Kahju on tekkinud. Paljude inimeste, kaasa arvatud minu, profiil on tumeveebis kindlasti täienenud või avatud. Panen igale inimesele südamele kaitsta ise oma andmeid ja seista mõistliku andmekogumise eest, sest keegi teine seda meie eest ei tee. Kui tunnete, et teie andmeid kogutakse liiga palju või hoitakse halvasti, saab abiks olla ka AKI, kuid nende eelarve, arvestades probleemi suurust, on tibatilluke.