Language switcher

Sa oled siin

RIA täiendav selgitus andmevarguse kohta

Inimesed, kelle dokumendifoto oli ebaseaduslikult alla laaditud ei pea uut dokumenti ega fotot tegema. Intsident ei avalda mõju ID-kaardile, mobiil- ja Smart-ID-le ega e-teenustele. 

RIA koos PPAga edastas täna varahommikul neile inimestele, kelle dokumendifoto ebaseaduslikult alla laaditi, teavituse riigiportaali eesti.ee kaudu suunatud e-posti aadressile. Paljud teate saanud inimesed on põhjendatult mures ning uurinud, kas ja kuidas andmete vargus neid mõjutab, mida nad saavad enda kaitseks teha ja kas nad ise on kuidagi valesti käitunud. Olukord on arusaadavalt tavatu ning tekitab küsimusi ja segadust.

„Kinnitan, et ükski inimene, kelle foto ebaseaduslikult alla laaditi, ei ole midagi valesti teinud. Andmete varguse tegi võimalikuks ründaja oskuslik tegevus ja turvanõrkus Riigi infosüsteemi ameti (RIA) ühes vanas teenuses. Parandasime selle turvanõrkuse süsteemis ning peatasime ründaja tegevuse kohe pärast intsidendi avastamist. Oleme ka teised sarnased teenused ennetavalt üle kontrollinud. Samuti on meil teadmine, et neid andmeid ei ole edasi saadetud ehk need ei jõudnud andmete allalaadija arvutist kaugemale. Mõistame, et kahju on tehtud ning ma ei soovi vastutusest kõrvale astuda. Vastutuse all pean silmas seda, et me teeme asjad korda ja paremaks, et välistada tulevikus sarnaseid ründeid. Palun andeks kõigi inimeste käest, et meie teenuses oli selline turvanõrkus ning et me ei avastanud seda varem,“ sõnas RIA juht Margus Noormaa.

Dokumendifoto ebaseaduslik allalaadimine ei avalda mõju ID-kaardile, Mobiil-ID-le ja Smart-ID-le. Kõik riiklikud e-teenused töötavad tõrgeteta edasi ning need on jätkuvalt usaldusväärsed, kuna foto, isikukoodi ja nime alusel ei ole võimalik siseneda e-teenustesse, anda digiallkirja ega teha erinevaid finantstehinguid (sh pangaülekanded, notariaalsed tehingud jne). Inimesed, kelle pilt koos nime ja isikukoodiga oli kahtlustatava valduses, ei pea uut dokumenti taotlema ega ka uut fotot tegema. Kõik isikut tõendavad dokumendid ning pildid kehtivad jätkuvalt.

Politsei esialgse hinnangu kohaselt ei ole kirjeldatud viisil kättesaadud andmeid edasi saadetud ega kuritarvitatud. Kui inimene kahtlustab, et tema andmeid on kuritarvitatud, tuleb sellest teatada politseile.

28. juuli 2021 pressiteade: PPA ja RIA peatasid andmete ebaseadusliku allalaadimise

Korduma kippuvad küsimused

Kas minu andmed varastati?

Kõigile neile, kelle dokumendi foto koos isikukoodi ja nimega varastati, saadab riik teavituse riigiportaali kaudu suunatud e-posti aadressile. Andmete komplekt, mis ründaja kätte sattus, sisaldab endas dokumendi fotot, ees- ja perekonnanime ning isikukoodi.

Kui ma ei saanud PPA-lt teavitust, siis kuidas saan olla kindel, et minu fotot ikkagi ei laaditud alla?

PPA edastas kõigile neile, kelle dokumendifoto ebaseaduslikult alla laaditi, teavituse (e-kirja) riigiportaali eesti.ee kaudu suunatud e-posti aadressile. Kui Teie @eesti.ee aadress ei ole suunatud või Te ei kasuta enam seda e-posti aadressi, mille peale Teie @eesti.ee kirjad on suunatud, saate riigiportaali eesti.ee sisse logida ning vaadata sealset postkasti, kus kirjad talletatakse.

Kuidas saan teada, kas ründaja varastas ka minu alaealiste laste dokumendifoto?

Kõigile neile, kelle dokumendifoto varastati, sealhulgas alaealistele, saatsime teavituse riigiportaali kaudu suunatud e-posti aadressile. See tähendab, et kui logida riigiportaali sisse lapse kontoga, on seal näha, kas laps on selle teavituse saanud.

Minu meiliaadressile on suunatud ka mu laste eesti.ee aadressid. Kuidas saan teada, kelle dokumendifoto varastati?

E-kirja saajareal kirjas olev isikukood näitab, kellele on kiri edastatud. Kiri saadeti selle inimese isikukood [at] eesti.ee aadressile, kelle dokumendifoto varastati.

Mida pean tegema, kui selgub, et minu andmed varastati?

Mitte midagi. Praeguse info põhjal teame seda, et andmed ei jõudnud kahtlustatava arvutist edasi. Seega on alust arvata, et neid andmeid ei ole rohkem kuritarvitatud.

Juhul, kui neid andmeid siiski edastati, tuleb arvestada võimalusega, et pildi, nime ja isikukoodi kogumit saab kasutada selleks, et luua algeline võltsdokument (turvaelementideta). Võimalik, et sellist dokumendi saab kasutada näiteks mõne teenuse kasutamiseks, kus isikut tuvastatakse pildi alusel (nt auto- ja/või rattarent). Pigem kasutatakse selliseid teenuseid välismaal. Võimalik on teha ka näiteks sotsiaalmeedia libakontosid. NB! Kui Sul on kahtlus, et keegi on Sinu andmeid nimetatud viisidel kasutanud, siis anna sellest politseile teada.

Oluline on meeles pidada, et nende andmete vargus ei avalda mõju ID-kaardile, Mobiil-ID-le ega Smart-ID-le. Samuti kehtivad kõik isikut tõendavad dokumendid, ka need, mille foto andmebaasist ebaseaduslikult alla laaditi. Dokumendi foto, isikukoodi ja nime alusel ei ole võimalik siseneda e-teenustesse, anda digiallkirja ega teha erinevaid finantstehinguid (sh pangaülekanded, ostu-müügitehingud, notariaalsed tehingud jms). Inimesed, kelle dokumendi foto kaaperdati, ei pea taotlema uut füüsilist ega ka digitaalset dokumenti (pass, ID-kaart, elamisloakaart, mobiil- ja Smart-ID jt) ega uut dokumendifotot tegema. Kõik isikut tõendavad dokumendid ning pildid kehtivad jätkuvalt.

Kuidas pääses ründaja ligi minu andmetele (foto, isikukood ja nimi)?

Dokumendifotode allalaadimiseks pidi ründaja teadma inimese nime ja isikukoodi. Kuigi need on avalikud andmed, st kättesaadavad erinevatest avalikest andmebaasidest, siis andmete täpsema päritolu ja ründaja motiivid selgitab välja menetlus. Nime ja isikukoodi abil õnnestus ründajal võltsida inimese sertifikaati nii, et süsteem arvas, et pilti soovib alla laadida inimene ise mitte ründaja. RIA selgitas süsteemivea välja ning parandas selle. Täna enam selline manipulatsioon läbi minna ei saa.

Kust sai ründaja minu nime ja isikukoodi?

Ründaja käes olevate andmete (nime ja isikukoodi) päritolu selgitab välja kriminaalmenetlus. Nimi ja isikukood ei ole eriliigilised, vaid on tavalised isikuandmed ning on päringu alusel kättesaadavad ka erinevatest andmebaasidest (nt äriregister, kinnistusraamat jpt).

Kes ja mis põhjusel minu andmeid soovis?

Politsei on kinni pidanud ühe Eesti kodaniku, kelle arvuti kaudu vargus toime pandi. Kas see inimene tegutses üksi, mis olid tema eesmärgid ja mida ta andmetega teha soovis, selle selgitab välja kuriteomenetlus.

Mille jaoks oli ründajal neid pilte vaja? Milliste pettuste jaoks saaks sellist andmekomplekti ära kasutada?

Ründaja motiivid selgitab välja kriminaalmenetlus.

Pilti, nime ja isikukoodi võib muidugi kasutada selleks, et luua mõni algeline turvaelementideta võltsdokument, kuid seda on võimalik teha ka igasuguse fotoga. Dokumendi foto, isikukoodi ja nime alusel ei ole võimalik siseneda Eestis e-teenustesse, anda digiallkirja ega teha erinevaid finantstehinguid (sh pangaülekanded, ostu-müügitehingud, notariaalsed tehingud jms).

On olemas teenuseid, kus tuvastatakse inimene tema pildi alusel, kuid ka nende teenuste puhul võrreldakse inimese enda näokujutist tema dokumendifotoga, mitte andmebaasis oleva fotoga. Seega on ka sel puhul ebatõenäoline, et dokumendifoto vargus pettusekatses käiku läheks. Kuid kui Teil on kahtlus, et keegi on Teie andmeid nimetatud viisidel kasutanud, siis andke sellest kindlasti politseile teada.

Dokumendifoto vargus ei avalda mõju ID-kaardile, Mobiil-ID-le ega Smart-ID-le. Samuti kehtivad kõik isikut tõendavad dokumendid, ka need, mille foto andmebaasist ebaseaduslikult alla laaditi.

Kas keegi teine on veel sellisel moel süsteemi vea tõttu Eesti inimeste andmeid varastanud?

Praeguse info kohaselt ei ole meil alust arvata, et midagi sarnast on varem tehtud, kuid kontrollime seda infot.

Kui kaua see vigane süsteem toimis enne, kui see avastati?

Kuigi lahendus oli loodud juba sellise veaga mitu aastat tagasi, siis praeguste monitooringute ja info põhjal ei ole alust arvata, et selline rünnak süsteemi vastu oleks varasemalt õnnestunud.

Kas riik maksab dokumendivahetuse kinni, kui teen nüüd uue isikut tõendava dokumendi?

Selle andmevarguse tõttu ei ole uute dokumentide tegemiseks vajadust ja riik ei hüvita uusi dokumente. Kui soovite oma dokumendid välja vahetada, siis saate seda teha Politsei- ja Piirivalveametis, tasudes dokumentide eest ise.

Juhul kui ründaja oleks varastatud andmed enne kinni pidamist kellelegi edastanud, ei oleks sellest tingitult samuti vajadust dokumentide vahetamiseks, sest ründaja kätte sattunud andmete (nimi, isikukood, dokumendifoto) põhjal ei saa siseneda ühessegi riigi e-teenusesse, panka, teha notariaalseid jm rahalisi tehinguid.

Kuidas saada teada, millised andmed riigil minu kohta on?

Riigil ei ole üht suurt andmebaasi, kuhu oleks kokku koondatud kõik kodanikke puudutavad andmed. Igal asutusel on kodaniku kohta üksnes need andmed, mis on asutuse tööks vajalikud (nt isikut tõendavate dokumentide andmebaas politseil, töötajate register maksu- ja tolliametil jpt).

Kui kodanik soovib teada, millised andmed riigil tema kohta on, tuleb pöörduda konkreetse asutus poole eraldi ja küsida, milliseid tema isikuandmeid see asutus töötleb. Lisaks on võimalik riigiportaalis kasutada andmejälgija rakendust, et näha, kes on Teie andmeid erinevatest andmebaasidest pärinud.

Sellist nn andmete lahususe põhimõtet järgitakse turvalisuse kaalutlusel. Nii ei ole turvanõrkuse või mõne muu intsidendi puhul võimalik ligi pääseda kõikidele andmetele korraga. Just sellise süsteemi tõttu sai ründaja ka käesoleva andmevarguse puhul kätte üksnes dokumendifoto, mitte muid (ja tundlikumaid) dokumendiandmeid.

Kuidas tagatakse, et andmed on edaspidi turvaliselt hoitud?

Kõikide andmekogude omanikud ja vastutajad töötavad iga päev selle nimel, et nende süsteemid oleksid üha turvalisemad. Eesti inimeste isikuandmed on erinevates andmekogudes hajusalt laiali, et võimalikul ründajal ei oleks neid võimalik korraga kätte saada. Andmetele ligipääsemisest jäävad maha digitaalsed jalajäljed ja nende jälgede tõttu ongi võimalik avastada rikkumisi.

Kas pean esitama politseile süüteoteate?

Ükski inimene, kelle foto ebaseaduslikult andmebaasist alla laaditi, ei pea enam politseid sellest eraldi teavitama. Politsei alustas dokumendifotode ebaseadusliku allalaadimise asjaolude väljaselgitamiseks kriminaalmenetluse kohe pärast seda, kui intsident avastati.

Kui Teil on tekkinud kahtlus, et dokumendifoto allalaadimise tõttu on Teie andmeid mingil moel vääralt kasutatud, näiteks Teie pilti, nime ja isikukoodi kasutades on loodud võltsdokument, sotsiaalmeedias libakonto või on Teie identiteet muul moel varastatud, siis tuleb esitada süüteoteade politseile. Kui identiteedivargus on toimunud teises riigis, tuleb süüteoteade esitada selle riigi politseile. Politseil ei ole hetkel alust arvata, et kahtlustatav oleks allalaaditud andmeid pahatahtlikult ära kasutanud või edastanud. Juhul, kui politsei tuvastab menetluse käigus, et andmeid on edastatud, siis sellest teavitatakse eraldi.

Kuidas riik mind aitab, kui tuleb välja, et mu dokumendifotoga on üritatud pettust läbi viia?

Pettusekatsete puhul tuleb iga juhtumit käsitleda eraldi. Identiteedivargus on kuritegu ja selle kahtluse puhul tuleb esitada süüteo avaldus politseisse ». Kui identiteedivargus on toimunud teises riigis, siis tuleb avaldus esitada selle riigi politseile.

Miks on ründaja vabaduses?

Politsei ja prokuratuur teevad vahi alla jätmise otsuse vastavalt seadusele. Politsei poolt kogutud info põhjal tegutses isik üksi ning läbiotsimisel ei olnud märke sellest, et isik hakkaks edasisest uurimisest eemale hoidma. Prokuratuur otsustas, et teda ei ole vaja vahi alla jätta.

Kes vastutab selle eest, et selline olukord on tekkinud?

Ründajal oli võimalik piltidele juurde pääseda selle tõttu, et RIA hallatavas teenuses oli turvanõrkus. Me palume selle eest vabandust. Turvanõrkusi leitakse ja paigatakse pidevalt. Tänu Eesti inimeste andmete kogumise hajusale põhimõttele ei saanud ründaja ligi kõigile dokumendiandmetele, vaid üksnes dokumendifotole. Ehkki turvanõrkus esines RIA hallatavas teenuses, siis selle ära kasutamise ehk andmete varguse eest vastutab ründaja.

Kas saan RIA-lt nõuda kahju hüvitamist?

Kahju hüvitamise nõudmise eelduseks on, et isikul on kahju tekkinud. Kahju tekkimist peab kahju kannataja suutma tõendada. Lisaks peab olema kahju tekkinud otseselt RIA tegevuse või tegevusetuse tulemusena ning see peab olema õigusvastane. Kahju hüvitamise eelduseks on ka asjaolu, et kahju ei olnud võimalik vältida ega kõrvaldada õiguste kaitsmise või taastamisega. Antud juhul on ründaja tegevus peatatud, süsteemis esinenud turvanõrkus parandatud, ründaja isik tuvastatud ja RIA on vabandanud andmevargusest puudutatud isikute ees. Lisaks ei jõudnud andmed ründaja arvutist edasi ja seega puudub oht andmete edasiseks levikuks. Seetõttu pole RIA hinnangul põhjust mõista mittevaralise kahju eest välja rahalist hüvitist.

Kui leiate siiski, et RIA on Teile õigusvastaselt varalist kahju tekitanud või tekkinud mittevaralise kahju lävend õigustab kahju hüvitamist rahaliselt, siis on Teil õigus esitada kahju hüvitamiseks taotlus Riigi Infosüsteemi Ametile e-posti aadressil help [at] ria.ee või esitada kaebus halduskohtule. 

Kui Te ei saanud oma küsimustele vastuseid, siis palume kirjutada help [at] ria.ee.

Veel uudiseid samal teemal

08.09.2021

Tarkvara turvaaugu kaudu pääseti ligi Eesti riigiasutuste siseveebide sisule

Tarkvaratootja Atlassian teatas 25. augustil, et nende Confluence Server ja Data Center tarkvarades on kriitiline turvaauk, mis võimaldab ründajal neisse kaugelt pääseda. RIA kontroll avastas mitu Eesti riigiasutust, kes polnud tarkvara uuendanud. Neist osa andsid teada, et Confluence'i pääseti ligi.

25.08.2021

RIA registreeris juulis 111 mõjuga küberintsidenti

25.8.2021 – Riigi infosüsteemi ameti registreeris eelmisel kuul enam kui sada mõjuga intsidenti. Neist kaks olid seotud RIA enda teenustega. Rahvusvaheliselt avaldas suurt mõju USA tarkvaraettevõtet Kaseyat tabanud rünnak.