Autor: Indrek Kald • 15. juuli 2019

Eelmisel nädalal avaldas Riigi Infosüsteemi Amet teate mitmest suurest andmelekkest Eestis. Olerexi 100 000 tehingu andmed lekkisid veebi, võimalik oli ligi pääseda e-poe charlot.ee ja Tartus rattaringlust pakkuva Bewegeni kasutajate andmetele.

"See annab selgelt märku, et küberturvalisus ei ole enam ammu ainult IT-ettevõtete mure, vaid puudutab kõiki ettevõtteid olenemata tegevusalast," märkis Evert.

Füüsiliste varade kõrval tuleb ettevõtetel pöörata tema sõnul tähelepanu ka andmetele kui kõige väärtuslikumat kaitset vajavale varale. "Andmeleke ja küberintsidendid on samasugused ettevõtte tegevust halvavad ja rahaliselt kulukad juhtumid nagu tulekahju, vargus, äritegevuse katkemine või vastutuskindlustuse nõue," märkis Evert.

Olerexi andmelekke näitel saanuks kindlustus tema sõnul nõu ja abiga sekkuda kohe, kui kahjust teada antakse kindlustusandjale.

"Süsteem toimib nii, et kui ettevõttel endal ei ole IT-partnerit, siis pakutakse laiahaardelist tuge kindlustusandja poolt – ennekõike andmelekke põhjuste ja ulatuste kindlakstegemiseks, turvaaugu sulgemiseks ja edaspidiste sarnaste olukordade vältimiseks abi andmine. Samuti nõustatakse, kuidas käituda ametiasutuste, avalikkuse ja andmesubjektide teavitamisel," lisas ta.

"Ei ole hullemat olukorda, kui ettevõtte esindaja sellises olukorras õigeaegselt ei reageeri ega oska vastata küsimustele lekkinud andmete kohta. Pigem võiks korrektne käitumine olla ettevõttele hea reklaam ja eeskuju teistele, sest andmelekke tagajärjeks võivad olla ka mainekahju ja kasumi vähenemine, sest pikaajalised ja kasumlikud kliendid lahkuvad konkurentide juurde," räkis Evert.

Tema sõnul hüvitab küberkindlustus andmelekkega seotud kulud. "Võimalikud kulutused IT-teenustele andmelekke ulatuse ja põhjuse tuvastamiseks, andmesubjektide teavitamiseks ja klienditoe loomiseks, juriidilised, avalike suhete ja kriisijuhtimise kulud ettevõtte maine taastamiseks. Ühe andmesubjekti teavitamise kulud koos kaasnevate teenustega võivad ulatuda 50-100 euroni," ütles Helen Evert.

Samuti kuuluvad vajadusel hüvitamisele trahvid. "Eestis ei ole trahvide kindlustamine seadusega keelatud, seega andmelekkega seotud trahv ja õigusabikulud kuuluvad mitmete küberkindlustuse tingimuste järgi hüvitamisele," märkis ta.

Samuti on kaetud maine taastamise kulud küberintsidendi või andmelekke tagajärjel, lisaks otsene kasumi kaotus klientide lahkumise tagajärjel.

Everti sõnul katab kindlustus ka e-kirjapettusi. "Näiteks raha vargus, mis on pettuse tõttu valesti kantud - nii ettevõtte arvelt, kui ka juhatuse liikme isiklikult pangaarvelt tehtud ülekanne. Samuti õngitsuskirjadega seotud kulud, nt oma klientidele pettusest teavitamise kulud," selgitas Evert.

Küberkindlustus on tema sõnul abiks ka andmete asendamise, taastamise või uuesti kogumise kulude katmisel, st andmed, mis saavad kahjustada või hävivad võrgu ebaturvalisuse tõttu või mida küberpahalaste tegevuse tõttu tagasi ei saa.

Ka katab kindlustus Helen Everti kinnitusel küberründe lõpetamiseks esitatud lunarahanõude, kui andmete taastamine muul viisil pole võimalik. Lisanduvad erinevad võimalikud nõuded – andmesubjektide tõendatud kahjunõuded, ka kolmanda osapoole nõuded olukorras, kus riigiasutuse tegevuse tõttu andmelekke uurimise ajal tekib kahju, selgitas Iizi küberkindlustuse ekspert Helen Evert.