Mälupulga uskumatud seiklused
Läinud aasta 13. juuni õhtul leidis Tallinnas elav
64aastane pensionil meesterahvas Estonia teatri kõrval asuvast Tammsaare
pargist pisikese vidina – mälupulga. Kui ta moodsa seadme arvutisse
torkas, avanes tema ees Exceli tabel umbes
300 000 mehe andmetega (nimi,
isikukood, aadress ning passi- või ID-kaardi andmed), mis olid reas
isikukoodi järgi.
See on ametlik versioon, mille esitab kaitsepolitsei pressiesindaja Henno Kuurmann. Kui tavapensionäril on raskusi pangaautomaadi kasutamisega, siis oskas leidja kas ise või kellegi abil mälupulga avada ja mõistis, et seal võib peituda riigisaladus. Järgmisel päeval viis ta selle kaitsepolitseisse, mis on seaduse järgi ainuõige samm.
Ekspressil salapärase leidjaga rääkida ei õnnestu, ainsana on temalt seletuse võtnud Kapo. Kaotajaga Kuurmanni sõnul kohe ühendust ei võetud, andmaks talle võimalus juhtumist ise teatada, mida ta aga kahjuks ei teinud. "Kontrolli tulemusena tuvastasime, et mälupulk sattus tänavale inimese hooletuse tõttu ning mingeid muid motiive selle taga ei ole," teatab Kuurmann. Kas oli põhjus puhkuste aeg, suur andmete hulk või midagi muud, kuid kaitsepolitseil kulus üle kolme kuu, et tuvastada järgmist:
• andmekandjale on salvestatud kõigi 18–55aastaste meessoost Eesti kodanike andmed ehk kõik mehed, välja arvatud koolipoisid ja pensionärid;
• andmed pärinevad ilmselt rahvastikuregistrist ja need võttis välja firma, kes lõi kaitseministeeriumile tarkvara, millega kaitseväe kutsealuste ja reservi arvatute andmeid hallata;
• ehkki juhtum on kahetsusväärne, polnud pargis vedelnud info riigisaladus, sest need "ei anna ülevaadet ei kaitseväe ega Kaitseliidu sõjaaja koosseisust ega mobilisatsiooni läbiviimise tegevuskavast".
Pärast seda analüüsi saadeti mälupulk 27. septembril Toompuiesteelt kulleriga paar tänavat edasi Andmekaitse Inspektsiooni, kes algatas menetluse isikuandmete kaitse seaduse rikkumise kohta.
Detsembri hakul avaldas inspektsioon oma koduleheküljel 2005. aasta töötulemuste ülevaate, kus mainitakse käimasolevat väärteomenetlust seoses "ca 300 000 kaitseväekohuslase nimede ja aadressidega".
Möödus veel kolm kuud, kuni Kanal 2 uudistereporteri Elo Mõttuse pilk läinud reedel sellel lausel juhuslikult pidama jäi. Ta on varemgi asutuste maas vedelevatest isikuandmetest telelugusid treinud.
Paljastus järjekordne piinlik prohmakas Jürgen Ligi ja tema ministeeriumi viimasel ajal niigi plekilises renomees. Kaitseväe paraadil kantud haakristikõrvarõnga ja islamimaal joomasena naispolitseinikku kimbutanud sõduri juhtumi kõrvale lisandus nüüd uitama läinud riigi kõigi relvakandmisvõimeliste meeste nimekiri.
Ministeeriumi andmekaitse kuulis asjast viimasena
Mida rohkem ametnikud afääri selgitavad, seda enam küsimusi ja hämmeldust lugu tekitab. Kaitseministeeriumi pressišeff Madis Mikko annab oma parima, et kaotsiminekust distantseeruda ja selle tõsidust vähendada. "Kui meie teeme sinuga lepingu mobiiltelefoni kohta. Sina kaotad mobiili ära. Kes on süüdi, kas sina või mina?" toob Mikko elulise võrdluse, kuidas ministeerium on juhtumis kannatanu, mitte süüdlane.
"Jumal hoidku küll!" ahhetab Andmekaitse Inspektsiooni peadirektor Urmas Kukk seda kuuldes. "Üks asi on mobiiltelefon, teine isikuandmed. Mobiiltelefone võib ta kaks korda päevas kaotada, kui tal raha on." Tema hinnangul polnud maas vedelnud andmed küll delikaatsed (seal ei olnud meditsiinilisi või karistusandmeid), aga juhtum on siiski tõsine.
"See on ohtlik lähenemine," kritiseerib Kukk, kelle enda andmed samuti 300 000 hulgas olid. "Nii võib ju keegi tulla, visata riigisaladuse tänavale ja hiljem väita, et meie seda riigisaladust välja ei käinud."
Kaitseministeerium ei korraldanud juhtumi suhtes ametkondlikku juurdlust. Ministeeriumi julgeolekuosakonna teabeturbebüroo kuulis asjast üldse ajakirjandusest üheksa kuud pärast kompromiteerivat leidu Tammsaare pargis. "Teabeturbe büroo juhataja Margus Kukkur kuulis minu käest esimest korda, et on mingi probleem olnud ja et see oli laupäeval peauudis "Reporteris"," ütleb ajakirjanik ja IT-asjatundja Peeter Marvet.
"Kuskil on midagi väga valesti," leiab Kukk, kelle sõnul pidanuks ministeeriumil juba enne skandaali avalikuks tulekut olema süüdlane selge ja "tribunali all". "Neil peaks endal selgus olema, miks see juhtus, et see tulevikus ei juhtuks," selgitab Kukk.
Ministeerium kaitseb meeleheitlikult oma õigust toimida toimimata. "Meil pole kaitseministeeriumis juriidilist hooba, et süüdistust esitada," pareerib Mikko.
Ametlik versioon ründe all
Ekspressi küsitletud andmeturbeasjatundjad on juhtumi ametliku versiooni suhtes pehmelt öelda skeptilised ja kinnitavad, et kaitseministeerium ei saa end süüst puhtaks pesta. "Selles "ametlikus versioonis" on vale kindlasti sees," usub IT-spetsialist ja endine häkker Tõnu Samuel.
"Avalikkusele esitatud versioon on kahtlane nii ehk naa," nõustub ka Peeter Marvet. "Asi ei ole nii lihtne, kui lastakse paista," möönab ka Andmekaitse Inspektsiooni juht, kes ei saa oma sõnul enne menetluse lõppu rohkem rääkida.
Faabula kirjeldus tundub IT-asjatundjatele ebaloogiline. "Andmebaasi ei projekteerita koos andmetega. Kui nii tehakse, siis see on farss," nendib ühe panga andmekaitsespetsialist. Tema sõnul kontrollitakse tarkvara tööd õigete ja tundlike andmetega alles viimases faasis. "Sa tuled kohale ja proovid oma tarkvara seal," kinnitab ka Samuel. "See on puhas lohakus, et nende andmetega sai üldse kõndima minna. See asi on mäda."
Andmekaitse Inspektsioonil kulus viis kuud, et välja nõuda afääris võtmekohal olev leping kaitseministeeriumi ja salajasel konkursil valitud tarkvarafirma vahel. "Kuna me seda lepingut ei saanud ega saanud, siis täna saatis meie ametnik meili, et "ma tulen tunni aja pärast järele" ja nüüd on meil see olemas," kirjeldab Kukk esmaspäeval.
Üks venimise põhjusi oli Kuke sõnul kaitseministeeriumi allasutustes toimunud struktuurimuudatus. Noori sõjaväkke arvele võtvatest riigikaitseosakondadest sai Kaitseressursside Amet – nende tarvis relvakandmisvõimeliste meeste andmebaasi koostatigi.
Kuigi ministeerium lükkab süüd endast eemale, pole neil tegelikult midagi karta peale avaliku häbi. Neile saab teha ettekirjutuse võimalikud puudused turvasüsteemis kõrvaldada.
Madis Mikko kinnitusel tellis riigikaitseosakond andmebaaside ümberkorraldamise käigus tarkvaralahendused ja selleks kuulutati välja salajane riigihange. Leping sõlmiti mullu veebruaris ja töö lõpetati aasta lõpus. Mikko sõnul olid sõlmitud lepingus muu hulgas kirjas isikuandmete hoidmise ja transportimisega seotud nõuded, mistõttu vastutust peab kandma firma, kelle töötaja mälupulga kaotas.
Süüdlaseks tehtud firmalt Ekspress aga kommentaari küsida ei saa, sest lausa partisani visadusega kaitseb kaitseministeerium teavet, kellelt kutsealuste andmete haldamise tarkvara telliti.
Ehkki ametkonnad kinnitavad, et see nimi ei ole saladus, keelduvad nii ministeerium, kaitsepolitsei kui ka juhtumit uuriv Andmekaitse Inspektsioon seda nimetamast. Inspektsioon soovitab lahkelt esitada teabenõue Kaitseressursside Ametile. Samuti jääb vastuseta, kas sellel firmal oli riigisaladustega ümber käimise luba ja kas tehti vastav taustakontroll.
Eriti kummastav on Mikko väide, et eraldi pole nimetatud salapärase programmi komponendid riigisaladus, ent andmebaasi lõplik versioon on salajane. Salatsemisega loodud vaakumi täidavad kuulujutud. Neist mahlaseim ringles selle nädala algul Riigikogus ja väitis, et materjali kaotas tegelikult eelmine minister Jaak Jõerüüt.
Oravate häda andmetega
Kaitseminister Jürgen Ligi on poolteise aasta jooksul juba neljas Reformierakonna minister, kes seoses infolekkega löögi alla sattunud.
· Kevad 2004. Kaitsepolitseisse pöördub suhtekorraldusfirma Corpore juht ja teatab, et majandus- ja kommunikatsiooniminister Meelis Atonen olevat lekitanud salajasi andmeid – näidanud ühele ärimehele riigisaladust sisaldavat kirja. Selleks ajaks oli Atonen juba mõnda aega võidelnud Saaremaa Laevakompanii (SLK) monopoolse seisundi vastu praamiliikluses. Juhtumisi on SLK üks Corpore klientidest.
Kapo alustab kriminaalmenetlust, Atonen kuulatakse tunnistajana üle, tema suhtes kaalutakse umbusaldushääletust. Ajalehtedes ilmuvad ministrit manavad juhtkirjad. Kriminaalmenetlus lõpetatakse kesksuvel, ent septembris paneb Atonen ministriameti maha.
· Sügis 2004. Kaitseminister Margus Hansoni Tartu eramut külastavad vargad. Juhtumisi satub neile näppu ministri portfell, milles muuhulgas riigisaladust sisaldavad dokumendid. Minister paneb ameti maha, Kaitsepolitsei esitab talle süüdistuse riigisaladust sisaldavate dokumentide kadumamineku võimaldamises, Hanson antakse kohtu alla. Portfellivargaid Tartu politsei ei leia.
· Talv 2005. Kaitsepolitsei teostatud kontrolli käigus avastatakse välisministeeriumist juhtumisi 91 riigisaladust sisaldava dokumendi kadumine. Minister Kristiina Ojuland vallandatakse.
· Talv 2006. Kanal 2 avalikustab fakti, et Andmekaitse Inspektsioon uurib 300 000 kaitseväekohuslase isikuandmete väljumist andmete töötleja valdusest. Selgub, et 2005. aasta juunis kaotas keegi Tallinnas Tammsaare pargis sadade tuhandete meesterahvaste nimesid ja aadresse sisaldava mälupulga. Juhtumisi osutub leidjaks äärmiselt pedantne inimene, kes pärast mälupulga sisuga tutvumist toimetab selle, täpselt nagu seadus ette näeb, Kaitsepolitseisse.
Andmete kadumamineku ajal oli kaitseminister Jaak Jõerüüt. Meenub, et Jõerüüt pani 2005. aasta septembris ameti maha üsna kummastaval põhjusel – üks tema haldusalas töötav inimene kandis avalikus kohas kommuniste ahju ajama kutsuvat särki.
