17. juuni 2011

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

20. aprillil 2011 sulges Jaapani juurtega rahvusvahelise korporatsiooni Sony kontserni kuuluv Sony Computer Entertainment, Inc. juurdepääsu digitaalsele meelelahutus-, side- ja turustusvõrgustikule PlayStation Network (PSN). Selle tulemusena ei olnud kümnetel miljonitel PSN teenuse kasutajatel võimalik kasutada enda ostetud digitaalseid tooteid, sh mänge, filme ja muusikat. Elutähtis rahavoog katkes ka sadadel Sony koostööpartneritel, kes PSN-i kaudu oma tooteid ja teenuseid pakuvad.

Alles nädal hiljem, 26. aprillil teatas Sony, et PSN oli sattunud tundmatute häkkerite rünnakute ohvriks, mille käigus rikuti ligi 77 miljoni PSN-i registreeritud kasutajakonto turvalisust. Ründajate saagiks võisid osutuda nii kasutajaid identifitseerida võimaldavad andmed (nimi, aadress, e-posti aadress, sünnipäev), PSN-i kasutajaprofiiliga seotud andmed (kasutajanimi, parool, vastus turvaküsimusele) kui ka PSN-i salvestatud andmed minevikus sooritatud ostude kohta (ostude nimekirjad, arveldusaadressid). Ehkki Sony eitas kategooriliselt krediitkaardiandmete leket ja seega ka otsest ohtu kasutajate varale, lisasid rahuolematute klientide jaoks õli tulle Sony aeglane tegutsemine avalikkuse teavitamisel ning vähene avameelsus turvarikke asjaoludest rääkimisel.

Lisaks sellele, et Sony oli sunnitud oma ebapiisavate turvameetmetega ja väidetavalt aegunud tarkvaral põhineva võrgustiku praktiliselt taaslooma – protsess, mis jõudis lõpule alles juuni esimestel päevadel – sattus skandaal mitmes riigis ka järelevalveasutuste huviorbiiti. Näiteks pidi Sony andma maikuus olukorrast ülevaate USA Kongressi andmeturbega tegelevale komiteele; Jaapanis aga keelas valitsus PSN-i kaudu digitaalsete toodete müügi taasalustamise enne täiendavate nõuete täitmist Sony poolt. Tarbijate poolehoiu tagasivõitmiseks käivitas Sony teatud toodete tasuta pakkumise kampaania. Hoopis keerulisemaks võib aga osutuda koostööpartnerite usalduse taastamine. 23. mail 2010. majandusaasta aruande avalikustamise raames prognoosis Sony PSN-i fiaskoga endale tekitatud kahju suuruseks 14 miljardit jeeni e. üle 120 miljoni euro. Skeptikute hinnangul on see summa liialt tagasihoidlik ja tõenäoliseks peetakse, et enne aasta lõppu tuleb seda tunduvalt ülespoole korrigeerida.

Tähelepanelik lugeja võib nüüd ju küsida, mis on sellel kõigel pistmist nn traditsionaalsetes valdkondades, näiteks tootvas tööstuses tegutsevate ettevõtjatega. Lihtne vastus on, et 21. sajandil ei saa end maailmast isoleerida ka kõige pikemate traditsioonidega tootja, kui ta tahab jääda infoühiskonnas konkurentsivõimeliseks. Ehkki võib eeldada, et enamik ettevõtjaid juhindub oma ärilises tegevuses sisemistest eetikanormidest, ei anna miski põhjust välistada erandlikku stsenaariumi, kus konkurendi ärasaladuste või kliendibaasi nimel ollakse valmis ka väiksemõõduliseks kübersõjaks. Vahendid selleks on ju kergesti ja ilma suuremate kulutusteta kättesaadavad kõigile, kes teavad, kust otsida. Andmekaitse valdkonda reguleerivad õigusaktid ei anna paraku sõna-sõnalt järgitavaid juhiseid, milliseid konkreetseid infotehnoloogilisi meetmeid peab andmete töötleja võtma kasutusele isiku- ja muude oluliste andmete kaitseks. Sätestatud on üksnes, et need meetmed peavad olema piisavad, et tagada seaduses sätestatud nõuete täitmine. Uppuja päästmine on uppuja enda asi ka siin.

Internetiga lõimunud IT-lahendused, mis võimaldavad klientidel ja koostööpartneritel anda sisse tellimusi, määratleda tarnetingimusi ja planeerida kaupade liikumise logistikat, on kinnitanud kanda kümnetes Eesti tööstusettevõtetes, olgu tooteks siis elektroonikakomponendid või hoopis palkmajad. Pakutavate veebipõhiselt kasutatavate tarkvarakomplektide reklaambrošüürid lubavad enamasti lahendada ettevõtja ja tema klientide või partnerite kõik vajadused. Sony näide on aga õppetunniks sellest, et vast kõige enam peaks ettevõtja pöörama rõhku brošüüri sellele lõigule, kus tehakse juttu süsteemi sisestatud andmete turvalisusest ja kaitstusest välisrünnakute vastu. Kui säärane lõik aga sootuks puudub, on soovitatav jätkata parema lahenduse otsinguid. Negatiivse stsenaariumi tagajärjed ettevõtja mainele ja majandustulemustele võivad osutuda laastavateks.

Olger Kaelep

Advokaadibüroo TARK GRUNTE SUTKIENE advokaat

Autor: Advokaadibüroo Tark Grunte Sutkiene õigusblog