Töösuhetes on tööandja tugevam pool, kes kehtestab reegleid ja valib töökorralduseks sobivaid vahendeid. Kuigi tööandja kohustuseks tagada töötajatele ohutu töökeskkond ja sobivad tingimused tööülesannete täitmiseks, tuleb tal igal juhul arvestada ka isikuandmete kaitse põhimõtete ja reeglitega.

Tööandjal võib tekkida soov ja vajadus oma ruumides töötegemist kontrollida ning tehnoloogia pakub selleks häid lahendusi. "Kui tööandja otsustab tööruumides kasutada video või heli salvestusseadmeid, tuleb tal arvestada isikuandmete kaitse põhimõtetega, sest inimese kujutise ja hääle salvestamine tähendab tema isikuandmete töötlemist. See omakorda tähendab, et eelnevalt peab olema täpselt paigas, milleks salvestisi kasutatakse," selgitas advokaadibüroo Hedman Partners isikuandmete kaitse ekspert Andres Ojaver.

1. Kaamerate kasutamisel tuleb valida kohane tehnoloogia

Tehnoloogia võimaldab kaamerate abil näotuvastust, helisalvestust, liikuvate kaamerate kasutamist, kõrge resolutsiooniga suurendamist jm tehnilist võimekust. Isikuandmete kaitse eksperdi sõnul peab aga tööandja eelkõige selgeks mõtlema, mille tarbeks ta kaameraid soovib kasutada ja valima vastavalt sellele ka kohase tehnoloogia.

"Kui kaamerate kasutamisega soovitakse kaitsta tööandja vara või tagada töötajate ohutus, siis piisab ehk statsionaarsetest turvakaameratest, mida kaugjuhtida ei saa või koguni reaalajas pilti edastavast ja mittesalvestavatest kaameratest," tõi Ojaver näite.

2. Kaamerate kasutamise põhimõtted tuleb fikseerida kirjalikult ja töötajaid nendest kindlasti ka teavitada

Kui kaamera kasutamise eesmärgid on selged, tuleb need kirja panna töökorraldust reguleerivasse dokumenti ning töötajatele seda tutvustada. See tagab, et töötaja on teadlik tehnoloogia kasutamisest ning mõlemad pooled saavad eesmärkidest üheselt aru.

3. Alati pole põhjust isikuid tuvastada

Vahel on kaamerate kasutamise eesmärgiks üksnes statistiline analüütika - näiteks tootmishoonetes töötajate liikumistrajektooride analüüs, mis aitab tööruume paremini planeerida. Sellisel juhul ei ole tööandjal põhjust salvestada töötajaid äratuntavalt ja on mõistlik kasutada tehnoloogiat, mis võimaldab pildil olevad inimesed hägustada.

"Kui salvestada suudetakse anonüümselt, siis ei ole tegemist isikuandmetega ning tänu sellele saab vältida suurt hulka isikuandmete töötlemisele kehtivaid reegleid," soovitas isikuandmete kaitse ekspert.

4. Kaamerad tuleb tööruumides suunata vaid põhjendatud kohtadesse

Töötajatel peaks säilima puhkeala, kus on võimalik kaamerate vaateväljast lahkuda. Samuti ei ole aktsepteeritav tualett-, riietus- või pesemisruumide filmimine.

Kui eesmärgiks on näiteks sularaha seifi turvakaameraga valve, siis ei ole alati põhjendatud kogu ruumi jäädvustamine ning tuleks mõelda, kas sama eesmärki on võimalik saavutada ainult seifi jäädvustamisega.

5. Salvestiste kasutusala tagantjärele laiendamine ei ole lubatud

Turvakaamera ja töötaja töölepingu täitmise jälgimine kaameraga on kaks erinevat asja, rõhutas isikuandmete kaitse ekspert Andres Ojaver. "Ei ole aktsepteeritav, kui töökorralduse reeglites on juttu vaid turvalisuse ja ohutuse eesmärgil kaamerate kasutamisest, kuid tegelikkuses mõõdetakse nendega ka töötajate töökohal viibitud aega," ütles Ojaver.

Sellised eesmärgid tuleb kehtestada ja teavitada neist töötajaid enne, kui vastava tegevusega algust tehakse. Töölepingulistes vaidlustes jääb vastasel korral suure tõenäosusega õigus töötajale.

6. Salvestisi tuleb säilitada minimaalselt ja turvaliselt

Sageli võetakse kaamerad kasutusele nii, et salvestiste säilitusajad tulenevad kasutusele võetud tarkvara vaikimisi seadetest. See ei pruugi aga sobida sõnastatud eesmärkidega. Mõistlik on seadistada salvestiste säilitamise aeg põhimõttel, et eesmärke on võimalik täita, kuna kauem hoidmine on liigne risk (andmelekked, päringud oma andmete kohta jms).

"Turvakaamerate puhul võiks kaaluda ühe kuu pikkust tähtaega. Selle ajaga tulevad suure tõenäosusega turvalisust puudutavaid vahejuhtumeid ilmsiks ning seejärel on juhtumiga seotud väljavõtet võimalik pikemalt säilitada, kuna tegemist on tõendiga vaidluste lahendamiseks," soovitas Ojaver.

7. Salvestistele juurdepääs peab olema läbimõeldud ja põhjendatud

Kindlasti peab olema paika pandud põhimõte, kes ja millistes olukordades salvestistega tutvub. Uudishimu ei ole põhjendus ja võib lõppeda töötaja nõuetega tööandja vastu.

Juurdepääs võiks olla võimalikult vähestel või käia ainult läbi ühe isiku, kes peab fikseerima ka põhjenduse.

8. Salvestistel olevatel isikutel on õigus küsida enda kohta käivaid andmeid

Kogu salvestusperioodi vältel on salvestistel olevatel isikutel õigus küsida enda kohta käivaid andmeid. Kui töötajad, aga näiteks ka poekülastajad on jäädvustatud äratuntavalt, on neil õigus tutvuda nende osadega salvestistest, kus nad on jäädvustatud. Tööandjal tuleb arvestada, et mida pikem on salvestusperiood, seda suurem on koormus sellistele päringutele vastamisel.

Äri- ja ühinguõigusele spetsialiseerunud advokaadibüroo Hedman Partners nõustab teenus- ja tootmissektorit digitaliseerimise protsessides ning toetab oma kliente investeeringute kaasamisel, osanike- ja aktsionärisuhete korraldamises, tehnoloogiaõiguses, ühinemistel ja ülevõtmistel, äriühingute piiriülestel liikumistel, IT-õiguses ning andmekaitse ja intellektuaalomandi küsimustes.

Riigi infosüsteemi ameti (RIA) monitooring ja partneritelt tulnud info näitavad, et e-kirja dokumentidesse, failidesse või linkide taha peidetud Emoteti pahavara nakatas Eestis veel suure hulga arvuteid.

RIA CERT-EE infoturbe eksperdi Joosep Sander Juhansoni sõnul sai kolmas suurem laine alguse neljapäeval. „Viimased e-kirjad, millel on Emoteti pahavaraga manus, tulevad kirja saaja või ettevõtte nime sisaldava pealkirjaga. Varasemalt oleme kokku puutunud selliste pahavara peitvate e-kirjadega, mis üritavad jätta mulje, nagu need tuleksid kolleegilt või koostööpartnerilt,“ ütles Juhanson.

Ta lisas, et kui kirja saatja aadress üle kontrollida, saab libakirja võrdlemisi lihtsalt avastada. „Samas on võimalik, et ettevõte meilikonto on kurjategijate kätte langenud. See tähendab, et e-kirjad tulevadki päris aadressilt ja tuttava töödokumendiga, kuid sellesse on lisatud ka pahavara. Igal juhul teavitame kõiki kasutajaid, kelle nakatumisest oleme teadlikud,“ lisas Juhanson.

Esialgsel hinnangul tundub, et kolmandat lainet viiakse ellu varasematest lainetest saadud andmete abil.

Pahavaraga nakatunud arvutist varastatakse e-postkasti aadressiraamat ja saadetakse kurjategijatele. Samuti võetakse postkastist juhuslikud reaalsed meilivestlused ning robotvõrgustik edastab need uuesti nii vestluse osapooltele kui ka sadadele teistele kontaktidele, kaasas pahavara sisaldav manus või link. Lisaks seadme nakatumisest tekkinud otsestele probleemidele võib Emotetiga nakatunud ettevõte sattuda olukorda, kus tema valduses olevad isikuandmed ja meilivestlused hakkavad küberruumis kontrollimatult levima.

Emotet saab levida Windowsi operatsioonisüsteemiga arvutites ja seda levitatakse peamiselt e-kirjadele lisatud dokumentide, harvemini ka linkide kaudu. Kirja sisu on tihti lakooniline ingliskeelne teade „Please confirm“ või „I would like to seek your advice on this“. Mõnel juhul on e-kirja sisuks varem toimunud vestlus, mis lihtsalt koos manusega uuesti saadeti. 

Tegu on tüüpilise Wordi laiendiga failiga nagu .docx ja .doc, mille avamisel tuleb ette kiri, et dokumendi sisu ei ole võimalik näidata ning programm võib vajada uuendamist. Pahavara jõuab kasutaja arvutisse, kui ta teeb veel ühe kliki ja annab makrodele loa. Ingliskeelne Word küsib kasutajalt „Enable Editing“ ja „Enable Content“, eestikeelne  „Luba redigeerimine“ ja „Luba sisu“. Klikkides lubamise nupule, nakatub arvuti Emoteti pahavaraga, kusjuures seadme kasutaja nakatumist ei märka. Pahavara muudab ja täiendab ennast aga pidevalt – CERT-EE on saanud teateid ka parooliga kaitstud zip-failidest, mis tegelikult sisaldavad MS Wordi faili ja Emoteti.

"Kui saate tuttavalt inimeselt või asutuselt e-kirja, millega on kaasas ootamatu manus või link, siis ärge seda avage. Eriti ettevaatlik tuleb olla, kui kaasas olev fail nõuab avamiseks veel mõne täiendava kliki tegemist. Kui saate e-kirja, mille sisuks olev vestlus ei tundu päris päevakohane, võib olla tegu pahavaraga. Kahtluse tekkimisel informeerige kirja saatjat ning kui olete faili või lingi kogemata avanud, pöörduge kohe oma asutuse IT-toe poole ning teavitage juhtunust CERT-EE-d (See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.)," soovitab RIA. 

Kuna Emotet levib praegu väga aktiivselt, soovitab RIA ettevõtetel üle vaadata ja vajadusel karmistada oma infoturbemeetmed. Oma IT-partneri ja teenusepakkujaga tuleks läbi arutada, milliste meetmetega tõkestatakse pahavaraliiklust ettevõtte võrkudes; kuidas aru saada, et andmed on varastatud ning kuidas vältida ja tuvastada nakatumisi nende teenuste puhul, millele saavad töötajad ligi oma isiklikest seadmetest. 

Soovitusi, kuidas ennast ja oma ettevõtet kaitsta, saab vaadat ka veebilehelt www.itvaatlik.ee. CERT-EE pakub avalikkusele tasuta analüüsikeskkonda Cuckoo  aadressil https://cuckoo.cert.ee/ , mille abil saab kontrollida pahavarakahtlusega faile.