Language switcher

Sa oled siin

PPA ja RIA peatasid andmete ebaseadusliku allalaadimise

Info inimestele, kelle dokumendifoto ebaseaduslikult alla laaditi

Mitte midagi ei pea tegema. Praeguse info põhjal teame seda, et andmed ei jõudnud kahtlustatava arvutist edasi. Seega on alust arvata, et neid andmeid ei ole rohkem kuritarvitatud. Alla laaditi ainult dokumendifoto.

Ei pea taotlema uut füüsilist ega ka digitaalset dokumenti (pass, ID-kaart, elamisloakaart, mobiil- ja Smart-ID jt) ega uut dokumendifotot tegema.

Kõik isikut tõendavad dokumendid ning pildid kehtivad jätkuvalt.

 

RIA eksperdid peatasid massilise dokumendifotode allalaadimise isikut tõendavate dokumentide andmebaasist. Seda võimaldas turvanõrkus RIA hallatavas, fotosid vahendavas teenuses. Politsei pidas kahtlustatava kinni ning alustas juhtunu asjaolude väljaselgitamiseks kriminaalmenetlust.

Kahtlustatav laadis isikut tõendavate dokumentide andmekogust alla 286 438 inimese fotod, kasutades selleks võltsitud digitaalseid sertifikaate. Kahtlustatav ei saanud ligipääsu andmekogule, vaid kuritarvitas turvanõrkust ühes RIA hallatavas teenuses, mis võimaldas päringutega saada kätte inimese dokumendifoto. RIA sulges fotode vahendamise teenuse kohe pärast väärkasutamise avastamist ja parandas turvavea. 23. juulil pidas politsei süüteos kahtlustatava mehe Tallinnas kinni.

Nimetatud teenus, mille turvanõrkust õnnestus ära kasutada, on üles ehitatud nii, et fotode saamiseks on vaja viie alasüsteemi täiendavat kontrolli. Kahtlustatav avastas turvanõrkuse ühes RIA rakenduses, mis ei kontrollinud saadud päringu õigsust piisavalt. „Selline süsteemidega manipuleerimine eeldab valdkonnateadmisi, vilumust ja reeglina ka läbimõeldud eeltööd. Ründaja pidi varasemast teadma inimese nime ja isikukoodi, mille abil oli võimalik jätta süsteemile mulje, nagu soovinuks inimene ise oma pilti alla laadida,“ ütles RIA peadirektor Margus Noormaa.

Keskkriminaalpolitsei küberkuritegude büroo juhi Oskar Grossi sõnul asus politsei ühes RIA ekspertidega juhtunut uurima ning selle käigus õnnestus leida viiteid, et kahtlustatav tuvastada. „Kui tavaliselt räägime küberkuritegude puhul rahvusvahelisest kuritegevusest, siis praegusel juhul tegutses kahtlustatav Eestis, mis võimaldas ta kiiresti kinni pidada. Läbiotsimiste käigus leidsid uurijad tema valdusest andmekogust alla laaditud fotod koos inimeste nimede ja isikukoodidega. Praegu ei ole meil alust arvata, et kahtlustatav oleks neid andmeid pahatahtlikult ära kasutanud või edastanud, kuid menetluse käigus täpsustame veel teo võimalikke motiive,“ kirjeldas Gross.

RIA eksperdid on täiendavalt kontrollinud ka teisi teenuseid, et välistada sarnaseid turvanõrkusi. „Monitooringu tulemusel ei ole me võimalikke ründeteid avastanud, kuid jätkame kontrollimist. Töötame koos partneritega pidevalt selle nimel, et avastada nõrkused enne, kui keegi neid kuritahtlikult ära kasutab,“ ütles Noormaa.

Ettevõtlus- ja infotehnoloogiaminister Andres Suti sõnul ilmestab kõnealune küberintsident maailmas üha kasvavaid küberohte, mistõttu tõstetakse ka Eestis kübervaldkonna kaitsevõimekust. „Küberturvalisus on Eesti digiriigi toimimise lahutamatu osa ja riikliku julgeoleku küsimus. Viimaste kuude vältel on kasvanud küberrünnakute sagedus, ulatus ja intensiivsus, mis näitab muutunud ohupilti küberruumis. Näiteks võib tuua rünnakud riigiasutuste, taristu, tervishoiusüsteemide ja hiljuti ka teenusepakkujate vastu, millest sõltusid Rootsi toidupoed, või ka näiteks lunavararünnakud Eesti ettevõtete vastu. Puutumata ei ole jäänud ka meie riiklikud süsteemid ning kasvavate küberohtude valguses tõstame veelgi oma kübervõimekust. Kui riigikaitses on meil selge eesmärk – 2 protsenti SKTst –, siis küberturvalisuse valdkonnas meil sellist eesmärki pole, kuigi meie digiühiskond vajab samuti kaitset. Minu eesmärk on kokku leppida samalaadne sihttase küberturvalisuse investeeringute jaoks, millest saab rahvusvaheline mõõdupuu,” lisas Sutt.

Kõigile neile, kelle dokumendifoto ebaseaduslikult alla laaditi, saadab PPA teavituse riigiportaali eesti.ee kaudu suunatud e-posti aadressile. Ükski inimene, kelle foto alla laaditi, ei pea tegema uut fotot ega taotlema uut dokumenti.

Dokumendifoto, inimese nime ja isikukoodi põhjal ei saa siseneda ühessegi riigi e-teenusesse, teha notariaalseid jm rahalisi tehinguid. Juhtunu ei mõjuta kuidagi ID-kaarti, elamisloakaarti, mobiil-IDd ega Smart-IDd.

Praegu teada oleva info põhjal ei ole andmevargus seotud hiljutise pääsuõiguste haldussüsteemi iseteeninduskeskkonnas nähtaval olnud isikuandmete juhtumiga.

Kronoloogia

16.07 – SK ID Solutions teavitab RIAt suurenenud päringute arvust.
21.07 – RIA tuvastab täiendava monitooringu kaudu massilise andmete allalaadimise isikut tõendavate dokumentide andmebaasist (KMAIS) ning sulgeb teenuse.
22.07 – RIA fikseerib võimaliku IP-aadressi, mille kaudu dokumendi fotosid alla laaditi ning edastab info politseile.
22.07 – RIA alustab asutusesisest kontrolli, et selgitada välja põhjus, mis võimaldas pildisüsteemi kontrollimehhanismiga manipuleerimist.
23.07 – Politsei peab andmete alla laadimises kahtlustatava mehe kinni ja teeb esmaseid menetlustoiminguid.
23.07 – RIA taasavab parandatud pildisüsteemi, mille kaudu saab inimene taas enda dokumendi pildi alla laadida.
23.–27.07 – RIA kontrollib täiendavalt sarnase ründevektori võimalikkust teistes teenustes.

Korduma kippuvad küsimused

Kas minu andmed varastati?

Kõigile neile, kelle dokumendi foto koos isikukoodi ja nimega varastati, saadab riik teavituse riigiportaali kaudu suunatud e-posti aadressile. Andmete komplekt, mis ründaja kätte sattus, sisaldab endas dokumendi fotot, ees- ja perekonnanime ning isikukoodi.

Kui ma ei saanud PPA-lt teavitust, siis kuidas saan olla kindel, et minu fotot ikkagi ei laaditud alla?

PPA edastas kõigile neile, kelle dokumendifoto ebaseaduslikult alla laaditi, teavituse (e-kirja) riigiportaali eesti.ee kaudu suunatud e-posti aadressile. Kui Teie @eesti.ee aadress ei ole suunatud või Te ei kasuta enam seda e-posti aadressi, mille peale Teie @eesti.ee kirjad on suunatud, saate riigiportaali eesti.ee sisse logida ning vaadata sealset postkasti, kus kirjad talletatakse.

Kuidas saan teada, kas ründaja varastas ka minu alaealiste laste dokumendifoto?

Kõigile neile, kelle dokumendifoto varastati, sealhulgas alaealistele, saatsime teavituse riigiportaali kaudu suunatud e-posti aadressile. See tähendab, et kui logida riigiportaali sisse lapse kontoga, on seal näha, kas laps on selle teavituse saanud.

Minu meiliaadressile on suunatud ka mu laste eesti.ee aadressid. Kuidas saan teada, kelle dokumendifoto varastati?

E-kirja saajareal kirjas olev isikukood näitab, kellele on kiri edastatud. Kiri saadeti selle inimese isikukood [at] eesti.ee aadressile, kelle dokumendifoto varastati.

Mida pean tegema, kui selgub, et minu andmed varastati?

Mitte midagi. Praeguse info põhjal teame seda, et andmed ei jõudnud kahtlustatava arvutist edasi. Seega on alust arvata, et neid andmeid ei ole rohkem kuritarvitatud.

Juhul, kui neid andmeid siiski edastati, tuleb arvestada võimalusega, et pildi, nime ja isikukoodi kogumit saab kasutada selleks, et luua algeline võltsdokument (turvaelementideta). Võimalik, et sellist dokumendi saab kasutada näiteks mõne teenuse kasutamiseks, kus isikut tuvastatakse pildi alusel (nt auto- ja/või rattarent). Pigem kasutatakse selliseid teenuseid välismaal. Võimalik on teha ka näiteks sotsiaalmeedia libakontosid. NB! Kui Sul on kahtlus, et keegi on Sinu andmeid nimetatud viisidel kasutanud, siis anna sellest politseile teada.

Oluline on meeles pidada, et nende andmete vargus ei avalda mõju ID-kaardile, Mobiil-ID-le ega Smart-ID-le. Samuti kehtivad kõik isikut tõendavad dokumendid, ka need, mille foto andmebaasist ebaseaduslikult alla laaditi. Dokumendi foto, isikukoodi ja nime alusel ei ole võimalik siseneda e-teenustesse, anda digiallkirja ega teha erinevaid finantstehinguid (sh pangaülekanded, ostu-müügitehingud, notariaalsed tehingud jms). Inimesed, kelle dokumendi foto kaaperdati, ei pea taotlema uut füüsilist ega ka digitaalset dokumenti (pass, ID-kaart, elamisloakaart, mobiil- ja Smart-ID jt) ega uut dokumendifotot tegema. Kõik isikut tõendavad dokumendid ning pildid kehtivad jätkuvalt.

Kuidas pääses ründaja ligi minu andmetele (foto, isikukood ja nimi)?

Dokumendifotode allalaadimiseks pidi ründaja teadma inimese nime ja isikukoodi. Kuigi need on avalikud andmed, st kättesaadavad erinevatest avalikest andmebaasidest, siis andmete täpsema päritolu ja ründaja motiivid selgitab välja menetlus. Nime ja isikukoodi abil õnnestus ründajal võltsida inimese sertifikaati nii, et süsteem arvas, et pilti soovib alla laadida inimene ise mitte ründaja. RIA selgitas süsteemivea välja ning parandas selle. Täna enam selline manipulatsioon läbi minna ei saa.

Kust sai ründaja minu nime ja isikukoodi?

Ründaja käes olevate andmete (nime ja isikukoodi) päritolu selgitab välja kriminaalmenetlus. Nimi ja isikukood ei ole eriliigilised, vaid on tavalised isikuandmed ning on päringu alusel kättesaadavad ka erinevatest andmebaasidest (nt äriregister, kinnistusraamat jpt).

Kes ja mis põhjusel minu andmeid soovis?

Politsei on kinni pidanud ühe Eesti kodaniku, kelle arvuti kaudu vargus toime pandi. Kas see inimene tegutses üksi, mis olid tema eesmärgid ja mida ta andmetega teha soovis, selle selgitab välja kuriteomenetlus.

Mille jaoks oli ründajal neid pilte vaja? Milliste pettuste jaoks saaks sellist andmekomplekti ära kasutada?

Ründaja motiivid selgitab välja kriminaalmenetlus.

Pilti, nime ja isikukoodi võib muidugi kasutada selleks, et luua mõni algeline turvaelementideta võltsdokument, kuid seda on võimalik teha ka igasuguse fotoga. Dokumendi foto, isikukoodi ja nime alusel ei ole võimalik siseneda Eestis e-teenustesse, anda digiallkirja ega teha erinevaid finantstehinguid (sh pangaülekanded, ostu-müügitehingud, notariaalsed tehingud jms).

On olemas teenuseid, kus tuvastatakse inimene tema pildi alusel, kuid ka nende teenuste puhul võrreldakse inimese enda näokujutist tema dokumendifotoga, mitte andmebaasis oleva fotoga. Seega on ka sel puhul ebatõenäoline, et dokumendifoto vargus pettusekatses käiku läheks. Kuid kui Teil on kahtlus, et keegi on Teie andmeid nimetatud viisidel kasutanud, siis andke sellest kindlasti politseile teada.

Dokumendifoto vargus ei avalda mõju ID-kaardile, Mobiil-ID-le ega Smart-ID-le. Samuti kehtivad kõik isikut tõendavad dokumendid, ka need, mille foto andmebaasist ebaseaduslikult alla laaditi.

Kas keegi teine on veel sellisel moel süsteemi vea tõttu Eesti inimeste andmeid varastanud?

Praeguse info kohaselt ei ole meil alust arvata, et midagi sarnast on varem tehtud, kuid kontrollime seda infot.

Kui kaua see vigane süsteem toimis enne, kui see avastati?

Kuigi lahendus oli loodud juba sellise veaga mitu aastat tagasi, siis praeguste monitooringute ja info põhjal ei ole alust arvata, et selline rünnak süsteemi vastu oleks varasemalt õnnestunud.

Kas riik maksab dokumendivahetuse kinni, kui teen nüüd uue isikut tõendava dokumendi?

Selle andmevarguse tõttu ei ole uute dokumentide tegemiseks vajadust ja riik ei hüvita uusi dokumente. Kui soovite oma dokumendid välja vahetada, siis saate seda teha Politsei- ja Piirivalveametis, tasudes dokumentide eest ise.

Juhul kui ründaja oleks varastatud andmed enne kinni pidamist kellelegi edastanud, ei oleks sellest tingitult samuti vajadust dokumentide vahetamiseks, sest ründaja kätte sattunud andmete (nimi, isikukood, dokumendifoto) põhjal ei saa siseneda ühessegi riigi e-teenusesse, panka, teha notariaalseid jm rahalisi tehinguid.

Kuidas saada teada, millised andmed riigil minu kohta on?

Riigil ei ole üht suurt andmebaasi, kuhu oleks kokku koondatud kõik kodanikke puudutavad andmed. Igal asutusel on kodaniku kohta üksnes need andmed, mis on asutuse tööks vajalikud (nt isikut tõendavate dokumentide andmebaas politseil, töötajate register maksu- ja tolliametil jpt).

Kui kodanik soovib teada, millised andmed riigil tema kohta on, tuleb pöörduda konkreetse asutus poole eraldi ja küsida, milliseid tema isikuandmeid see asutus töötleb. Lisaks on võimalik riigiportaalis kasutada andmejälgija rakendust, et näha, kes on Teie andmeid erinevatest andmebaasidest pärinud.

Sellist nn andmete lahususe põhimõtet järgitakse turvalisuse kaalutlusel. Nii ei ole turvanõrkuse või mõne muu intsidendi puhul võimalik ligi pääseda kõikidele andmetele korraga. Just sellise süsteemi tõttu sai ründaja ka käesoleva andmevarguse puhul kätte üksnes dokumendifoto, mitte muid (ja tundlikumaid) dokumendiandmeid.

Kuidas tagatakse, et andmed on edaspidi turvaliselt hoitud?

Kõikide andmekogude omanikud ja vastutajad töötavad iga päev selle nimel, et nende süsteemid oleksid üha turvalisemad. Eesti inimeste isikuandmed on erinevates andmekogudes hajusalt laiali, et võimalikul ründajal ei oleks neid võimalik korraga kätte saada. Andmetele ligipääsemisest jäävad maha digitaalsed jalajäljed ja nende jälgede tõttu ongi võimalik avastada rikkumisi.

Kas pean esitama politseile süüteoteate?

Ükski inimene, kelle foto ebaseaduslikult andmebaasist alla laaditi, ei pea enam politseid sellest eraldi teavitama. Politsei alustas dokumendifotode ebaseadusliku allalaadimise asjaolude väljaselgitamiseks kriminaalmenetluse kohe pärast seda, kui intsident avastati.

Kui Teil on tekkinud kahtlus, et dokumendifoto allalaadimise tõttu on Teie andmeid mingil moel vääralt kasutatud, näiteks Teie pilti, nime ja isikukoodi kasutades on loodud võltsdokument, sotsiaalmeedias libakonto või on Teie identiteet muul moel varastatud, siis tuleb esitada süüteoteade politseile. Kui identiteedivargus on toimunud teises riigis, tuleb süüteoteade esitada selle riigi politseile. Politseil ei ole hetkel alust arvata, et kahtlustatav oleks allalaaditud andmeid pahatahtlikult ära kasutanud või edastanud. Juhul, kui politsei tuvastab menetluse käigus, et andmeid on edastatud, siis sellest teavitatakse eraldi.

Kuidas riik mind aitab, kui tuleb välja, et mu dokumendifotoga on üritatud pettust läbi viia?

Pettusekatsete puhul tuleb iga juhtumit käsitleda eraldi. Identiteedivargus on kuritegu ja selle kahtluse puhul tuleb esitada süüteo avaldus politseisse ». Kui identiteedivargus on toimunud teises riigis, siis tuleb avaldus esitada selle riigi politseile.

Miks on ründaja vabaduses?

Politsei ja prokuratuur teevad vahi alla jätmise otsuse vastavalt seadusele. Politsei poolt kogutud info põhjal tegutses isik üksi ning läbiotsimisel ei olnud märke sellest, et isik hakkaks edasisest uurimisest eemale hoidma. Prokuratuur otsustas, et teda ei ole vaja vahi alla jätta.

Kes vastutab selle eest, et selline olukord on tekkinud?

Ründajal oli võimalik piltidele juurde pääseda selle tõttu, et RIA hallatavas teenuses oli turvanõrkus. Me palume selle eest vabandust. Turvanõrkusi leitakse ja paigatakse pidevalt. Tänu Eesti inimeste andmete kogumise hajusale põhimõttele ei saanud ründaja ligi kõigile dokumendiandmetele, vaid üksnes dokumendifotole. Ehkki turvanõrkus esines RIA hallatavas teenuses, siis selle ära kasutamise ehk andmete varguse eest vastutab ründaja.

Kas saan RIA-lt nõuda kahju hüvitamist?

Kahju hüvitamise nõudmise eelduseks on, et isikul on kahju tekkinud. Kahju tekkimist peab kahju kannataja suutma tõendada. Lisaks peab olema kahju tekkinud otseselt RIA tegevuse või tegevusetuse tulemusena ning see peab olema õigusvastane. Kahju hüvitamise eelduseks on ka asjaolu, et kahju ei olnud võimalik vältida ega kõrvaldada õiguste kaitsmise või taastamisega. Antud juhul on ründaja tegevus peatatud, süsteemis esinenud turvanõrkus parandatud, ründaja isik tuvastatud ja RIA on vabandanud andmevargusest puudutatud isikute ees. Lisaks ei jõudnud andmed ründaja arvutist edasi ja seega puudub oht andmete edasiseks levikuks. Seetõttu pole RIA hinnangul põhjust mõista mittevaralise kahju eest välja rahalist hüvitist.

Kui leiate siiski, et RIA on Teile õigusvastaselt varalist kahju tekitanud või tekkinud mittevaralise kahju lävend õigustab kahju hüvitamist rahaliselt, siis on Teil õigus esitada kahju hüvitamiseks taotlus Riigi Infosüsteemi Ametile e-posti aadressil help [at] ria.ee või esitada kaebus halduskohtule. 

Kui Te ei saanud oma küsimustele vastuseid, siis palume kirjutada help [at] ria.ee.

Veel uudiseid samal teemal

25.11.2021

Teisipäeval uuenes küberteadmiste portaal itvaatlik.ee

Sel nädalal alustas tööd uuenduskuuri läbinud IT-vaatliku portaal, mis koondab ühte keskkonda kokku kasulikud näpunäited, kuidas oma küberturvalisust parandada. Veebisaidi sihtrühmaks on nii eraisikud, ettevõtted kui ka avalik sektor.

17.11.2021

Olukord küberruumis – oktoober 2021

17.11.2021 – Oktoobris registreerisime 202 mõjuga intsidenti, mis on selle aasta kõrgeim näitaja. Sellele lisanduvad automaatseirest tuvastatud intsidendid.