Üks viimatisi isikuandmetega seotud rikkumisi juhtus Citybee autojagamisäpiga, kus lekkisid 110 000 kasutajakonto üksikasjad. Too juhtum pani meid mõtlema, et ilmselt oleks hea hetk tuletada meie kasutajatele meelde, kuidas me teie andmeid kaitseme.
Meie EstateGurus suhtume andmekaitsesse kui tervikusse, mis tähendab, et me kindlustame seda mitme turvakihiga.
Pealmisel kihil tagame selle, et kõik kasutajanimed on unikaalsed. Sinu kasutajanimi on sama nagu sinu EstateGuru kood ning see ei sisalda su nime ega muid isiklikke andmeid. Peale selle julgustame kõiki kasutajaid võtma igal pool kus võimalik tarvitusele tugeva autentimise, näiteks Smart-ID, mobiil-ID, digitaalse isikutunnistuse vms.
Kõik meie kasutajate paroolid on krüpteeritud. Samuti pakume kaheastmelise autentimise võimalust kõigi oluliste tegevuste puhul, näiteks kui teed investeeringuid, kannad raha kontolt välja jms. Ehkki see võib su tegutsemise veidi aeglasemaks ja keerulisemaks muuta, tasub see hingerahu huvides igal juhul ära.
Küllap oled märganud ka seda, et me teavitame sind igast viimasest kui asjast, mis su kontol toimub. Mõnele võib see pisut spämmimise moodi tunduda, aga see on väga tõhus eesliinikaitse. Lõppude lõpuks märkad sina esimesena, kui juhtub midagi sellist, mida sina ei algatanud.
Meie tiim jälgib pidevalt kõiki kontosid, ega seal ei toimu tavalisest kõrvale kalduvaid liikumisi, näiteks ebaharilikke raha väljakandmisi või tavatu mustriga investeeringuid. Juhul kui märkame midagi kahtlast, siis tegutseme viivitamatult.
Kasutajate ja kontode tuvastamise osas on meie reeglid väga täpsed ja ranged ning kergema vastupanu teed kusagil ei lähe. Kuigi meile laekub kaebusi, et see olevat ebamugav, eelistame meie kiirustamise asemel pigem kaitsta oma kasutajaid ja nende varasid.
Kõiki kasutajate andmeid, näiteks isikut tõendavaid dokumente, pangakontode andmeid jms, hoitakse tegelikust kontost eraldi. See tähendab, et kasutajad ei pääse nendele dokumentidele ega infole ligi.
Ettevõtte sees on meil pilveserveritele juurdepääsu osas väga range poliitika ja meie tugiteenustele pääseb ligi äärmiselt kitsas kasutajate ring.
Kokkuvõttes on meil viieastmeline turvasüsteem:
1) Platvormiga liitumine – registreerumine ja isiku tuvastamine
2) Konto kasutamine – pidevad märguanded investeerimise, raha väljakandmise ja sissemaksmise puhul
3) Autentimine ja tegevuste kinnitamine
4) Tehnilised turvameetmed andmete kaitsmiseks
5) EG tegevuse turvalisus (kes pääseb andmetele ligi ja kuidas, ning millisele kliendiinfole nad ligi pääsevad) ja protseduurid (lekete vältimiseks)
Mis eristab EstateGuru ja Citybeed
Citybee lekke järel on võtnud paljud investorid meiega ühendust ja väljendanud muret selle üle, et midagi sarnast võiks juhtuda EstateGuru andmetega.
Esiteks: meie turvameetmete võrdlemine nendega, mida kasutab Citybee, on umbes sama nagu võrrelda õunu ja apelsine, aga me püüame seda siiski teha.
Kuid palun varu kannatust, sest see jutt võib minna pisut tehniliseks.
Citybee leke sai teoks põhjusel, et klientide andmebaasi hoiti Microsoft Azure’i julgestamata blobis. Häkker kasutas Rapid7 Open Data Forward DNS-tööriista, et viia läbi teistpidine DNS-otsing. Seejärel võttis ta blobi kataloogide loendamiseks ette jõurünnaku (brute force attack) ning pärast seda laadis failid alla. Kõige rohkem tuntakse muret selle üle, et ilmselt toimus see häkkimine juba 2018. aastal ning Citybee sai sellest teadlikuks alles veebruaris 2021, kui see info müügile pandi.
Meie andmeid hoitakse hoopis teisiti. EstateGuru IT-varasid säilitatakse täiesti teistsugustes asutustes, mida pole tehniliselt sama lihtne rünnata. Lisaks jälgime hoolikalt turvamehhanisme, mida teenusepakkujad võimaldavad.
Kõige olulisem erinevus seisneb andmete haldamises. Häkkerid ei kasuta enamasti tehnilisi nõrkusi. Selle asemel võtavad nad sihikule uksed, mis on viletsa andmehalduse tõttu lahti jäänud.
Citybee salasõnu kaitses aegunud ja nõrk SHA1 algoritm.
Meie turvasüsteemid vaadatakse pidevalt üle ja neid uuendatakse, kindlustamaks seda, et me rakendame ainult kõige ajakohasemaid meetmeid. Näiteks on meie salasõnade räsimise süsteem (password hashing system) mitme suurusjärgu võrra kindlam kui see, mida kasutas Citybee.
Lõppude lõpuks taandub kõik inimestele ja nende pingutustele. Andmete turvalisuse kaitse kõige olulisem osa on pidev jälgimine, mida Citybees ilmselt ei tehtud ja meie päris kindlasti teeme. Meil töötavad varajase hoiatamise süsteemid, et püüda kinni iga võimalik rünnak ja tõkestada see juba eos.
Me tegutseme jätkuvalt selle nimel, et kaitsta sinu andmeid ja pakkuda sulle turvalist investeerimiskeskkonda.