Geneetilise testimisega tegeleva ettevõtte andmebaasist laaditi ebaseaduslikult alla terviseandmeid sisaldavaid faile

Novembri keskel teatas Asper Biogene OÜ politseile, Riigi Infosüsteemi Ametile ja Andmekaitse Inspektsioonile, et ettevõte sai 11. novembril teada, et keegi on nende andmebaasi ebaseaduslikult sisse tunginud ning laadinud alla erinevaid faile. Asjaolude selgitamiseks alustas politsei kriminaalmenetlust ja Andmekaitse Inspektsioon alustas andmetöötleja suhtes järelevalvemenetlust.

Andmebaasist laaditi alla ligikaudu 100 000 erineva faili koopiat, milles on praegustel andmetel umbes 10 000 inimese isiku- ja terviseandmeid. Neid inimesi teavitatakse sellest isiklikult. Osa failidest sisaldasid geneetiliste analüüside tulemusi, mida tervishoiuteenuse osutajad ja eraisikud olid ettevõttelt tellinud. Töö andmete täpse sisu selgitamiseks on veel pooleli. Asper Biogene OÜ on teinud politseiga asjaolude selgitamiseks head koostööd.

Lõuna ringkonnaprokuratuuri vanemprokuröri Kretel Tamme sõnul viitavad tõendid sellele, et rünnak andmete saamiseks oli teadlik ja läbimõeldud. „Kriminaalasja algusest kuni praeguseni oleme teinud kiireloomulisi menetlustoiminguid nii Eestis kui ka rahvusvahelises koostöös, et fikseerida kuriteojäljed ja püüda tuvastada kuriteo toimepanijat. Kuigi iga klikk jätab virtuaalmaailmas jälje, on küberkuriteod reeglina väga professionaalsed – need on põhjalikult plaanitud ja jälgi on segatud. Tavaliselt on eesmärk teenida kuriteost kriminaaltulu. Ka selle juhtumi puhul esitati pärast rünnakut ettevõttele rahaline nõue, mille peale pöördus ettevõte politsei poole,“ ütles Tamm.

Lõuna prefektuuri kriminaalbüroo juht Rain Vosman ütles, et kurjategijad tegutsesid oskuslikult ja pääsesid ligi ettevõtte andmebaasidele. „Koostöös teiste asutustega kaardistame praegu andmelekke täielikku ulatust. Kurjategijad esitasid ka lunarahanõude ning tasub üle korrata, et sellises olukorras ei tohi kunagi raha maksta. See julgustab neid edasi tegutsema, aga ei kindlusta andmete tagastamist ega seda, et kurjategija need ise kustutab. Väljapressimisest tuleb kohe teavitada politseid, nagu seda tehti ka praegusel juhul. Iga isiku- või terviseandmetega kokkupuutuv ettevõte või teenuseosutaja peab tagama, et andmed on tema käes hästi hoitud – see tähendab ajakohaseid ja kaitstud infosüsteeme,“ rääkis Vosman.

Andmekaitse Inspektsioon registreeris Asper Biogene OÜ rikkumisteate 15.11. Kõiki puudutatud isikuid, keda on võimalik lekkinud andmete põhjal tuvastada, teavitavad tervishoiuteenuse osutajad personaalselt. Enamik teavitusi saadetakse välja tänase (14.12) päeva jooksul. Andmekaitse Inspektsiooni peadirektor Pille Lehis: „Kahjuks näitab juhtunu, et küberruumis valitsevatesse ohtudesse ei suhtuta jätkuvalt täie tõsidusega. Organisatsioonide suunal edukalt sooritatud väliseid ründeid ja sellega kaasnevaid tagajärgi ei tohi võtta kui paratamatust. Iga andmetöötleja kohustus on muuhulgas tagada andmete terviklus ja konfidentsiaalsus. Andmete taga on päris inimesed ja päris elud, mis võivad sellistes olukordades tugevalt mõjutatud saada. Andmekaitse on oluline ja me kõik vastutame, et meie andmed oleksid kaitstud.“

Kriminaalmenetlust alustati arvutisüsteemile ebaseaduslikult juurdepääsu hankimist käsitleva karistusseadustiku paragrahvi järgi.

Tartu Ülikooli genoomika instituudi direktor professor Mait Metspalu sõnas, et geeniandmete varguse juhtum on šokeeriv. Ta kinnitas, et Tartu Ülikooli Eesti geenivaramu kõik andmed on jätkuvalt turvaliselt kaitstud.

„Geenidoonorite andmete turvalisus on meie jaoks kõige olulisem – erinevad turvariskid oleme viinud miinimumini kõrgeimate turvameetmete kasutuselevõtmisega,“ ütlees Metspalu.

„Geenidoonorite andmeid säilitatakse geenivaramus isikustamata kujul ehk pseudonüümitult ja krüpteeritult. Geenidoonori geneetilised, tervise- ja üldandmed on füüsiliselt eraldatud geenidoonori isiku tuvastamist võimaldavatest andmetest,“ lisas ta.