Uudised

Kui domeen muutub relvaks: miks peame oma digitaalse identiteedi eest seisma

2024. aastal registreeriti CERT-EE andmetel Eestis lausa 624 mõjuga pettust, mille rahaline kahju ulatus ligi 7 miljoni euroni. Selliseid lugusid lugedes tekib sageli mõte: “minuga seda kindlasti ei juhtuks” või isegi etteheide: “kuidas on võimalik sellisesse lõksu üldse langeda?”. Pettuse ohvriks langemine ei küsi paraku aga vanust, sugu ega elukohta. Petuskeemide olemus on kasutada inimpsühholoogiat, mängides usalduse, hirmu või surve tunnetel.

Kui ühelt poolt varastatakse raha telefonikõnede või arvutisse paigaldatava pahavara kaudu, siis on olemas ka teine ning oluliselt salakavalam viis – domeenid. Mis kahju saab ühe domeeniga teha? Vastus on lihtne: erinevatel viisidel ettearvamatult palju. Teades, et petturid on ohvritest sageli vähemalt ühe sammu võrra ees, tasub teemale tõsiselt mõelda ja võimalikke ohte ennetada.

Domeen on piltlikult öeldes justkui internetis kasutatav “majanumber”, mille uks juhatab meid ettevõtte või eraisiku digitaalsesse kodusse. Nagu ilma majanumbrita ei leiaks sind tõenäoliselt üles kuller, ei ole sa internetis nähtav ilma domeenita. Mis juhtub aga siis, kui sinu digitaalne majanumber kaaperdatakse ning registreeritakse pahatahtlikult kellegi teise nimele? Või suunatakse selle liiklus andmete õngitsemiseks võltslehele?

Tulemus on ebameeldiv - see toob kaasa nii mainekahju, kuid avab ukse ka veebilehte külastavate kasutajate andmete ja info kogumiseks. Usalduse kuritarvitamisega on lihtne püsti panna lisaks erinevaid petuskeeme. Seejuures puudutab enda identiteedi kaitsmine mitte ainult ettevõtteid ja kaubamärke, vaid aina enam tavalist inimest otse tänavalt.

Elulised näited: kellele kuulub nimi internetis?

Domeeni saab endale registreerida sisuliselt igaüks, peamine tingimus on, et soovitav nimi peab olema saadaval. Domeeni registreerijal on seejuures kohustus veenduda, et ta ei riku valitud nimega teiste õigusi, näiteks registreeritud kaubamärke. Siiski on mitmed juhtumid näidanud, et see ei ole ilmtingimata piirav, sest domeeni-maailmas kehtib “kes ees, see mees” põhimõte.

Kui palju on räägitud, et kahtlase e-kirja puhul tuleb alati veenduda saatja e-posti aadressi korrektsuses: näiteks on väär Eesti Maksuameti puhul <info@maksuametkond.ee>, kuid tagaplaanile on jäänud juhtumid, mil domeeninimi on justkui õige.

Kujutame näiteks ette olukorda, kus sinuni jõuab kiri, mille saatjaks on endine Eesti Vabariigi President <kerstikaljulaid.ee>. Sõnumiks on pidulik kutse mõnele tähtsündmusele, mille tarbeks kogutakse sümboolselt piletiraha ühise annetuse tegemiseks. Esmapilgul ei ilmne kahtlusi ei sõnumi ega saatja meiliaadressi osas - on ju domeen grammatiliselt igati korrektne ja usaldust tekitav.

Probleem seisneb selles, et kuigi domeen näib õige, sisaldades tuntud nime ning olles keeleliselt laitmatu, ei tähenda see veel, et domeen kuulub tegelikult vastavale isikule. Seda pole vaid kuvatud nime põhjal võimalik kindlaks teha. Petturid saavad registreerida peaaegu iga grammatilises mõttes vaba nimekombinatsiooniga domeeni ning kasutada seda oma petuskeemides. See tähendab, et kui lähtuda vaid domeeni välisest vormist, võib ekslikult arvata, et tegemist on ehtsa saatjaga. Selle alusel langetada ka otsuse (nt makse tegemine või andmete edastamine), mis võib kaasa tuua rahalise kahju või koguni isikuandmete lekkimise.

Just kerstikaljulaid.ee on täiesti eluline näide võimalikust pahatahtlikust tegevusest, sest domeenide puhul kehtiv “kes ees, see mees” põhimõte tagas selle kättesaadavuse kolmandale isikule. Nii jõudis sellega seotud vaidlus Eesti Interneti SA juurde loodud Domeenivaidluste Komisjoni (DVK) endise Eesti Vabariigi Presidendi enda poolt.

Kuigi vaidluse esitamise hetkeks ei toimunud domeeni taga veel midagi halba, oleks see võinud sisuliselt ilma ühegi takistusteta juhtuda. Tuleb siiski mainida, et domeeni registreeringu taga olnud isik soovis kerstikaljulaid.ee nime müümisega tulu teenida. Seega piisas juba riskist, et domeeni ja sellega seotud kodulehte oleks saanud kasutada libauudisteks või muud moodi presidendi maine kahjustamiseks.

Sama teravalt on kerkinud DVK päevakorda ka erikorgu.ee juhtum, kus tugeva persoonibrändiga isiku nimi oli suunatud reklaamide kuvamisele. Nii oli tema nime kombinatsiooniga domeeninime identiteet muudetud justkui turuplatsil müügikaupluseks.

Eeltoodud juhtumite puhul leiti DVKs, et eraisiku nimi kuulub eelkõige talle endale ja registreerijal puudub õiguslik alus vastava nimekombinatsiooni kasutamiseks. Sarnane põhimõte kehtib DVKs lisaks eraisikute nimedele ka kaubamärkidele ja juriidilistele isikute, riigi, kohalike omavalitsuste ja nende asutuste nimedele, lisaks rahvusvaheliste ja valitsusvaheliste organisatsioonide nimedele. Vaidluste sisu võib olla erinev, kuid üldjuhul rahuldatakse avaldus, kui domeeninimi on identne või eksitavalt sarnane vaidlustaja varasema õigusega ning registreerijal puudub õigustatud huvi või on domeeninimi registreeritud või kasutusel pahauskselt.

Lisaks on oluline mõista, et küberpettuste eest ei kaitse ei eraisikut ega ettevõtet pelgalt ühe domeenilaiendi kasutamine. Kui registreerida ettevõtte nimi või kaubamärk vaid .com laiendiga, jääb sama nimega .ee aadress vabaks, mis annab otseselt võimaluse selle registreerimiseks kolmandatele isikutele. Nii juhtus näiteks tuntud blogija Mallukaga, kes kasutab oma tööks domeeni mallukas.com, kuid jättis mallukas.ee registreerimata. Seda tegi tema eest kolmas isik, kes kogus seeläbi lehele ekslikult jõudnud kasutajate andmeid ning soovis domeeni müügiga selle õiguslikule omanikule tulu teenida. Seega tähendab domeeninime strateegiline kaitse eri laiendite läbimõeldud registreerimist, vastasel juhul võib kaasneda nii maine- kui rahaline kahju. Enda interneti nime kaitsmine on kriitiline osa enda või ettevõtte küberturvalisuses.

Igaüks, olgu kas avaliku elu tegelane, ettevõtte juht või eraisik, peaks aegsasti läbi mõtlema, kuidas kaitsta enda nime ja mainet internetis. Domeenidega seotud riskid ei väljendu küll alati küberpettuste näol, kuid kui seda tehakse, võib kahju olla mõõtmatu. Üks lihtne ja kiire samm aitab tagada, et domeeninime ei registreeri pahatahtlikke kavatsustega isik. DVK kaudu on loodud küll tõhus võimalus enda õiguste kaitsmiseks, kuid nagu ikka, on kõige tõhusam kaitse probleemide ennetamine.

.ee domeeniga seotud õiguskaitse kättesaadavus

On selge, et enda identiteedi kaitsmine peab olema kõigile kättesaadav. Eelnevalt kirjeldatud näited olid oma olemuselt tsiviilõiguslikud, kuna tegemist oli vaid domeeni registreerimise vaidlustega, mitte küberpettusega (nime registreerimine ei ole oma olemuselt kuritegelik) ning seetõttu Politsei- ja Piirivalveamet neid ei menetle. Need kaasused piltlikustavad hästi aga võimalikke olukordi, kust võib ennast leida igaüks. Aina sagedamini ka eraisikud, kelle töö on tugevalt seotud persoonibrändiga, näiteks ettevõtjad, poliitikud ja avaliku elu tegelased.

Eesti Interneti Sihtasutuse igapäevasest töös on aga sageli ilmnenud, et nii mõnelgi juhul on .ee domeeniga seotud vaidluse esitamisel saanud takistuseks kehtiv lõivumäär, mis on olnud kõrge eraisikutele ja asutustele, kes ei teeni enda tegevusega tulu. Sel põhjusel tehti Sihtasutuse poolt Eesti interneti ajaloos märgiline samm enda digitaalsete õiguste kaitsmise kättesaadavuse parendamise suunas. Nimelt langetati eraisikutele ja tulu mitte teenivatele asutustele lõivumäära 44%.

Seega on tuhandetele eestlastele .ee domeeniga seotud õiguskaitse kättesaadavam kui kunagi varem. Uus hinnastamismudel panustab seeläbi interneti kogukonda ning kujundab puhtamat ja turvalisemat internetiruumi Eestis.

Kuid ärgem unustagem, et domeen võib olla sama võimas küberpettuse tööriist kui telefonikõne. Kaitske end targalt ja olge valvsad!