Language switcher

Olukord Eesti küberruumis

 

2018. aastal jõustunud uued küberturvalisuse ja andmekaitse regulatsioonid andsid meile süsteemsema pildi olukorrast Eesti küberruumis. Võrreldes aasta varasemaga saime pea kaks korda enam teavitusi (17 440 teavitust), mille hulgas registreerisime 3390 andmeid või infosüsteeme mõjutanud intsidenti.

RIA poole pöördumiste kolme aasta graafik

2018. aastal registreeritud intsidentide graafik

2018. aastal registreeritud intsidentide arvu graafik

 

Küberturvalisus tähendab igapäevast tööd

Mullu kirjutasime: Turvanõrkused laialdaselt kasutatavas tehnoloogias ei ole ühekordne šokk, vaid keskkonnale iseloomulik, ja selge on, et ilmnenud nõrkusi püütakse ära kasutada. Turvalisus ei lõpe infosüsteemi valmimise või seadme soetamisega, selle hoidmine tähendab järjepidevat tööd ning esmavastutus oma seadme või süsteemi turvalisuse eest on omanikul endal.

Olukord 2018. aastal: 2018. aastal jätkus trend, et kui seadmed on haavatavad, siis seda haavatavust kasutatakse ära. Mullu suvel avastati, et teatud väikeettevõtetele ja kodukasutajatele mõeldud internetiruutereid saab kasutada pahatahtlike tegevuste peitmiseks, informatsiooni varastamiseks ja samamoodi näiteks krüptoraha kaevandamiseks. Andsime välja sellesisulise hoiatuse eesmärgiga teavitada kasutajaid vajadusest uuendada tarkvara. Suvel välja antud hoiatustest hoolimata oleme korduvalt näinud era- ja avalikes võrkudes seadmeid, mis kasutavad sama haavatavat, uuendamata tarkvara.

Samuti nägime, et suurt osa Eesti ettevõtete ja asutuste meilikontosid on jätkuvalt võimalik lihtsasti võltsida ning niimoodi pahavara levitada või paluda valedele kontodele raha saata. Mõned e-postiserverite turvalisuse jaoks mõeldud turvalisusprotokollid ja tehnoloogiad on aastaid vanad, kuid jätkuvalt rakendamata.

Samamoodi kompromiteeritakse veebiservereid ja -lehekülgi, millel pole tarkvara uuendatud või turvastandardeid rakendatud.

Trükiplaat

Kuidas edasi: Küberturvalisuse hoidmine Eestis nõuab pidevat tööd ja juhtide tähelepanu. Uuendused on olulised, standardid samuti, nagu on ka vaja investeerida uuendustesse ja standarditesse aega ja raha. Selleks, et suudaksime Eestis ka edaspidi vältida suure mõjuga küberintsidente, tuleb see töö ära teha. Kui välja töötatakse uus tarkvaraversioon või kui uuendatakse turvastandardit, on vanema versiooni kasutusele jätmine pigem vastutustundetu ning seab ohtu kogu organisatsiooni. See kehtib nii meilikontode, veebiserverite kui ka operatsioonisüsteemide ja sidekanalite kohta.

 

Nõrkust otsitakse kõikjalt

Mullu kirjutasime: Küberründe oht ei sõltu sellest, kas sinu andmed on väärtuslikud kurjategijale, vaid sellest, kas need on väärtuslikud sinule. Enamik küberründeid ei pööra mingit tähelepanu kasutaja isikule, vaid sihivad valimatult kõiki kaitsmata seadmeid ja kasutajakontosid.

Olukord 2018. aastal: 2018. aastal Eestis meilikontode kaaperdamise tagajärjel majanduslikku kahju saanud ettevõtted ei olnud ühe kindla valdkonna ettevõtted või kuidagiviisi omavahel seotud: kui ettevõtte meilikontode hulgas oli üks eriti nõrga parooliga kasutaja, saadi just tema kaudu serverisse.

Samuti ei näinud me kindlat mustrit nende lunavaraohvrite seas, kes olid oma serverisse jätnud kaugtöölauaprotokolli kaudu ligipääsu avatuks – kui niisugune võimalus serverist avastati ja leiti üks nõrga parooliga konto, sai just see organisatsioon pihta.

Laiemalt levinud pahavarakampaaniate puhul ei paistnud kurjategijatel samuti väga palju vahet olevat, millise ettevõtte töötaja õngitsuskirjas lingile vajutab ja pahavara endale arvutisse tõmbab. Veelgi suurema võrgu viskasid välja need kurjategijad, kes lootsid lihtsalt hirmutada kasutajaid jutuga, et nende veebikaamerast on neid jälgitud.

Palju monitore ja neid jälgiv inimene

Kuidas edasi: Ka praegu hakkab keskmine Eesti ettevõte küberturvalisusele, oma andmete kaitsmisele ja süsteemide toimepidevusele mõtlema enamasti siis, kui intsident on juba toimunud. Riigile oluliste ja elutähtsate teenuste puhul sunnib nüüd regulatsioon juba ennetavaid meetmeid kasutusele võtma. Suurte ettevõtete puhul sunnib neid selleks risk mainele või sissetulekule. Neil on tihtipeale ka ressursse riskide maandamiseks.

Väiksemate ettevõtete ja kodukasutajate jaoks on aga internetti ühendatavad seadmed ja süsteemid muutunud üha taskukohasemaks. IT-võrgu haldamine ja turvamine (ehk inimressurss) muutub aga järjest nõutumaks ja seetõttu kallimaks. Selline olukord võib tekitada lähiajal palju uusi nõrku kohti, mida kurjategijad hakkavad avastama ja ära kasutama.

 

Küberintsidendid teevad jätkuvalt haiget

Mullu kirjutasime: [Wannacry ja NotPetya] pahavarakampaaniad põhjustasid maailmas miljarditesse ulatuvat majanduskahju ning kätkesid endas ka vahetut ohtu inimeste elule ja tervisele. Eestis oli kahju minimaalne; olime ohust sammu ees nii tänu turvapaigatud süsteemidele kui operatiivseirele ja kiirele infoedastusele. Viidatud kampaaniad ei jää aga viimaseks.

Olukord 2018. aastal: Pahavarakampaaniad ei ole ainsad, mis inimestele ja ettevõtetele kahju teevad. Väikese viitajaga jõudis Eesti kasutajateni maailmas palju kahju teinud ettevõtete meilikontode kaaperdamise kampaania (Office 365 meilikontode kompromiteerimine), niinimetatud sextortion-kampaania, kaugtöölaua (Remote Desktop Protocol) kaudu lunavara paigaldamise kampaania, aga ka Loki-Bot pahavarakampaania.

Tegevjuhi petuskeemi kaudu ja meilivestluste kaaperdamisest alanud finantspettuste tagajärjel said Eesti väike- ja keskmise suurusega ettevõtted 2018. aastal vähemalt 600 000 eurot kahju. Kogusummast olulisem on see, et väikesele Eesti ettevõttele on ka 10 000- või 20 000-eurone väljaminek kurjategijatele märkimisväärne kaotus – selliseid kahjusummasid nägime keskmiselt korra nädalas. Ettevõtted kaotasid eelmisel aastal ka kliente ja käivet nendel päevadel, kui nad parasjagu lunavaraintsidentide tõttu oma andmeid taastasid.

Võime olla kindlad, et eelmainitud summad ei peegelda kogu kahju Eesti majandusele, sest kindlasti oli kannatanuid, kes teavitasid ainult õiguskaitseorganeid. Koostöös politsei- ja piirivalveametiga saatsime eelmise aasta lõpus kõigile Eesti ettevõtetele välja ka kirja, mis küberpettuste eest hoiatas. Täname kõiki ettevõtjaid, kes meid juhtunud küberintsidentidest mullu teavitasid, sest vaid nii on võimalik saada tõepärane pilt ohtudest ja kahjudest Eesti küberruumis.

Kaubasadam

Kuidas edasi: Me ei kavatse sellise olukorraga leppida. Kurjategijate elu saab teha kas väga lihtsaks või keerulisemaks kui see praegu on. Ka küberturvalisusele palju tähelepanu pöörav ettevõte võib saada kahju oma äripartneri tõttu, kes seda teinud ei ole. Kurjategijad otsivad kõige nõrgemat lüli ning selle leidnud, püüavad kõiki andmeid enda jaoks rahaks teha.

Jätkame igapäevast teavitustööd, kus pöörame tähelepanu elementaarsele küberhügieenile. Selle kõrval vaatame tänavu eraldi, kuidas on võimalik meil kõige paremini Eesti ettevõtete küberturvalisust arendada. Ootame ka ettevõtete juhtidelt ja IT-personalilt tagasisidet, kuidas saame neid paremini aidata.

 

Kriitilised andmed vajavad kriitilist tähelepanu

Mullu kirjutasime: Iseäranis tervishoiuvaldkonna küberturvalisus vajab tõhusamat tuge. Olukorras, kus haiglad ja perearstikeskused töötlevad meie kõigi delikaatseid isikuandmeid ja nende töö sõltub suurel määral digitaalsete süsteemide toimimisest, ei tohi neid jätta olukorda, kus küberturvalisus konkureerib ressursi pärast tervishoiuteenuse osutamisega.

Olukord 2018. aastal: Nägime ka mullu küberintsidente tervishoiuvaldkonnas ja terviseandmete lekkeid. Näiteks ühe perearstikeskuse infosüsteemid krüpteeriti lunavaraga, mis häiris oluliselt patsientide vastuvõtmist. Riigi enda dokumendihaldussüsteemides olid valesti märgitud ja seetõttu avalikult nähtaval kaitseväelaste terviseandmed ja koolilaste terviseandmed. See ei ole ainult Eesti küsimus – tervise- ja delikaatsete isikuandmete lekkeid nägime igal pool üle maailma.

Samas tegime pidevalt tööd selle nimel, et tervishoiuvaldkond suudaks informatsiooniga turvalisemalt ümber käia. Korraldasime tervishoiutöötajatele kümneid koolitusi, millel on osalenud sadu tervishoiutöötajaid üle Eesti. Perearstid said eelmisel aastal oma oskuste arendamiseks küberhügieeni digitesti, mida nad on ka tublisti kasutanud. Tellisime eraldi analüüsi perearstide kasutatavatele üleriigilistele infosüsteemidele, mille kaudu terviseandmeid töödeldakse ja tööd korraldatakse.

Arst, patsient ja meditsiiniseadmed

Kuidas edasi: Isikuandmete lekkimise vältimise juures on esimene oluline samm küberturvalisuse tagamine. See tähendab selleks vajalike meetmete süsteemset rakendamist, millele peavad taas kord tähelepanu pöörama organisatsioonide juhid. Isikuandmete talletamise ja käitlemise süsteemid vajavad järjepidevat riskide maandamist, tarkvarauuendusi ja uutele turvalisematele standarditele üleminekut organisatsiooni suurusest hoolimata.

Näiteks tervishoiusektoris peavad lisaks haiglatele 2022. aastaks ka väikse meeskonnaga perearstikeskused enda küberriskid välja selgitama ja oskama neid maandada – seda nõuab küberturvalisuse seadus. Selle jaoks pakume perearstikeskustele koolitusi, kus saame neid toetada vajalike ja sobivate meetmete väljatöötamisel. Samuti jätkame tervishoiutöötajate küberhügieenikoolitustega.

 

Selgem regulatsioon seab selgemad kohustused

Mullu kirjutasime: Küberturvalisuse seadus toob suurema õigusselguse, ent seadus ei lahenda kõiki haavatavate valdkondade muresid. Uus küberturvalisuse seadus korrastab rollid, mõisted ja vastutuse Eesti küberturvalisuse korraldamisel, ent seaduse rakendamise kõrval jääb oluliseks tihe partnerlus riigi- ja erasektori asutustega.

Olukord 2018. aastal: 2018. aasta keskel võttis riigikogu vastu küberturvalisuse seaduse, millega kehtestati tugevamad nõuded ettevõtjatele ja riigiasutustele nii küberohtudeks valmistumiseks, infosüsteemide ja andmebaaside haldamiseks kui ka küberintsidentidest teavitamiseks. Kõige otsesemalt mõjutas seadus teenusepakkujaid, kes osutavad elutähtsaid teenuseid, nagu näiteks elektriga varustamine, arstiabi või ID-kaardi isikutuvastuse tagamine.

Oma klientide andmete küberturvalisuse tagamist peavad pingsamalt hakkama järgima ka kõik digitaalse teenuse osutajad, olgu selleks siis e-poed või ka otsingumootorid, kes meie küberruumis tegutseda soovivad. Seaduse rakendamiseks valmis mullu suvel ka määrus, mis pani paika riskide väljaselgitamise ja turvameetmete täpsemad nõuded.

2018. aasta lõpus kiitis valitsus heaks ka küberturvalisuse strateegia aastateks 2019–2022, mis sõnastas eesmärgid nii meile kui teistele riigiasutustele ja valitsusega seotud sihtasutustele. Strateegiat tutvustame täpsemalt veel siin aastaraamatus.

Raudtee

Kuidas edasi: Küberturvalisuse seadus pani konkreetselt paika, kes milliseid nõudeid täitma peavad. Eelmisel aastal pidid selle seaduse kohuslased oma riskid ära hindama ja kirja panema, kuidas nad neid riske maandavad. Need tegevused on nüüd vaja ellu viia. Tänu senisest paremale ja selgemale süsteemile võime eeldada, et oluliste ja digitaalsete teenuste osutajad on tänavu paremini kaitstud. See uus süsteem täiustab meie teadmist selle kohta, mis Eestis toimub, mistõttu võime oodata sel aastal veelgi suuremat hulka registreeritud intsidente.

 

Tähelepanekud 2018. aasta intsidentidest

Suurim osa intsidentidest

 

Pahavara ja robotvõrgustikud

Kõige enam on mõjutatud infosüsteemide terviklikkus (mis tähendab, et infot või infosüsteemi on keegi loata muutnud). Enamik neist on robotvõrgustikuga nakatunud seadmed, millest oleme kirjutanud ka varasemates aastaraamatutes. Hoolimata regulaarsetest teadetest nakatunud seadmete omanikele, nägime siiski, kuidas 2018. aastal võtsid tuhandetelt IP-aadressidelt seadmed korduvalt robotvõrgustikuga ühendust.

Kuidas robotvõrgustikke kuritegevuses ära kasutatakse

Robotvõrgustikku kuuluvat liiget võib ära kasutada nt teenustõkestusrünnakutes, pahavara levitamiseks (nt pangaandmete varastamiseks). Samuti renditakse robotvõrgustikku välja kurjategijatele, kes soovivad laiendada oma pahavara saajate ringi (pahavara platvormi kui teenuse kasutamine ehk crimeware-as-a-service infrastructure.)

Avalikus sektoris tuvastatakse pahavaraga nakatumine kiiresti. Enamikul juhtudel on robotvõrgustiku liige (ehk nakatunud seade), mis tuvastatakse avaliku sektori haldusalas, tegelikult eraisiku nakatunud arvuti, mida ta on otsustanud tol hetkel kasutada mõnes avalikus wifi-võrgus, mis annab talle siis avaliku sektori IP-aadressi.

Erasektori võrkudes avastatud, robotvõrgustikuga nakatunud seadme puhul teavitatakse esmalt internetiteenuse pakkujat, kuid see informatsioon ei pruugi alati jõuda lõpptarbijani, ning isegi kui jõuab, ei pruugi lõppkasutaja aru saada, mida see mõjutab ja kuidas oma arvutit kaitsta.

Enim rahalist kahju toonud intsidendid

 

Tegevjuhi petuskeem

Finantspettus, kus ettevõtte tippjuhi nimelt saadetakse raamatupidajale lühike ja lakooniline küsimus, kas on võimalik kiiresti saata mingi summa võõrale arveldusarvele. Enamasti kasutatakse võõrast meiliaadressi, mille omanikuks on lihtsalt lisatud tippjuhi nimi.

Ettevõtete meilikontode kompromiteerumisest alguse saanud finantspettused

Mullu sügisel hakkasime taas saama teateid mõne aasta vanusest petuskeemist, kus kurjategijad püüavad ettevõtetelt raha välja petta, kasutades ära kompromiteeritud meilikontode ja meilivestluste sisu. Pikema meilivestluse ühes etapis palub kompromiteeritud partner muuta ettevõtete omavahelise ülekande jaoks pangakonto andmeid. See tähendab aga, et ühe lühikese perioodi jooksul ei tea kumbki osapool, et meilivestlused on kaaperdatud.

 

Märgatud, kuid enamasti ei jõudnud kahju tekitada

 

Sekspressimiskirjad (sextortion)

2018. aasta suvel levis üle maailma väljapressimiskirjade laine, kus kurjategijate eesmärk on hirmutada kirja saajat väitega, et neil on ligipääs ohvri IT-seadmetele ning ülevaade veebilehtedest, mida inimene on külastanud. Selleks, et väljapressimiskiri oleks usutav ja tõsiseltvõetav, on kurjategijad kasutanud aastate jooksul lekkinud paroole ning lisanud kirjale ohvri kunagise parooli, e-posti aadressi või telefoninumbri. Suurem osa paroolidest, mida kurjategijad kasutavad, on lekkinud mitu aastat tagasi.

Enamasti märkamatult kahju tekitanud

 

Arvutiressursi kasutamine krüptoraha kaevandamiseks

Krüptoraha populaarsuse (ja hinna) kasvuga 2017. aasta lõpus püüdsid kurjategijad leida üha paremaid viise, kuidas seda koguda – enamasti nõuab selle „kaevandamine“ elektrit ja protsessorite ressursse. Avalikult teadaolevate haavatavustega seadmed (näiteks kodukasutuses olevad ruuterid), millel ei ole uuendatud tarkvara, andsid ründajatele lihtsaid viise teiste inimeste arvutiressursside kasutamiseks. 2018. aasta esimeses pooles erakordselt silma jäänud trend.

 

Kust intsidendid tihtipeale alguse said

 

Õngitsus- ja pahavara levitavad kirjad

Nägime mitmeid kampaaniaid, kus tuntud ettevõtete nimede alt saadeti pahavara sisaldavaid kirju või õngitsuskirju. Meile on teada vaid üksikud nakatumised – kasutajate teadlikkus võõrastest kirjadest leitud failide avamisel on tõusnud ja pahavarakaitsed tihtipeale ei lubagi selliseid kirju läbi. Samas langevad kasutajad jätkuvalt tihti õngitsuskirjade kaudu kasutajaandmete varguse ohvriks. Valesse kohta sisestatud paroolid viisid tihtipeale uute küberintsidentideni, nagu järgmiste õngitsuskirjade väljasaatmine, finantspettused ja pahavara levitamine.

Millel oli mõju kõige suuremale hulgale inimestele

 

Teenusekatkestused

Eesti ühiskond on digitaalsetest teenustest üsna tugevasti sõltuvuses – alates autentimisest kuni tervishoiuteenusteni. Seetõttu mõjutasid kõige suuremat hulka inimesi lühikesed teenusekatkestused just avalikus sektoris, mis omakorda olid tihtipeale põhjustatud administratiivsetest vigadest.

 

Tehniline näpuviga katkestas ühenduse häirekeskusega

2018. aasta kõige suurema mõjuga intsident juhtus kohe aasta alguses, kui 24. jaanuaril ei olnud suurel hulgal Elisa Eesti klientidel võimalik helistada hädaabinumbrile 112. Kaheksa ja poole tunni jooksul püüdsid 151 abivajajat teha kokku umbes 600 kõnet ega saanud häirekeskusega ühendust. Õnneks lõppes juhtum tõsiste tagajärgedeta.

Kuigi esimene ebaõnnestunud kõne Elisa võrgust tehti häirekeskusele hommikul kell 10.40 (112-le helistanud kuulsid vastuseks teadet „Number ei ole kasutusel“), tuvastati rike alles kaheksa tundi hiljem. Siseministeeriumi infotehnoloogia- ja arenduskeskuse (SMIT) töötajad said rikkest teada kella 18 paiku, kui üks politsei infotelefonile helistanud Elisa klient andis neile teada, et tal ei ole võimalik hädaabinumbrile helistada.

SMITi tehnikud teavitasid Elisat ning alles paar tundi hiljem sai veast teada häirekeskus. Veerand tundi pärast rikkeinfo saamist muutis Elisa tehnik võrgu konfiguratsiooni, mille tulemusel õnnestus viga kella 19ks parandada.

Rikke põhjustas samal hommikul tehtud võrgu konfiguratsiooni muudatus. Ühe varasema vea parandamise käigus aga ei märgatud, et see mõjutab ka helistamist numbrile 112. Viga ei mõjutanud kõiki Elisa kliente, vaid ühe keskjaamaga ühendust võtvaid mobiilikasutajaid, sealhulgas välismaa operaatorite kliente, kes kasutasid Elisa roaming-teenust. Samas ei ole teada, kui palju hätta jäänud klientidest leidis abi saamiseks alternatiivseid võimalusi – kõne tegemist teise telefoni kaudu, SIM-kaardi eemaldamist või pöördumist politsei poole, helistades numbrile 110.

Juhtum näitas ilmekalt, kuidas ühest väikesest administreerimisveast võib tekkida olukord, mis mõjutab otseselt inimeste elu ja tervist. Elisa ise päeva jooksul probleemi ei märganud ja sai intsidendist teada vaid tänu SMITile.

Häirekeskus

Kriitiline intsident oli proovikivi Elisale, kuidas tõsta asutuse sees rikete tuvastamise ja teavitamise võimekust ning töötada välja need meetmed, mis välistaksid tulevikus sarnaste olukordade tekkimise. 2018. aastal nägime selgelt, kuidas Elisas teadlikkus erinevatest riskidest kasvas ja astuti samme sarnaste olukordade vältimiseks tulevikus.

Elisa Eesti ASi kommunikatsioonijuht Marika Raiski:

2018. aasta alguse juhtum tekkis inimliku vea tõttu ning kahetsusväärselt on ettevõttel end nende vastu kõige keerulisem ja raskem kaitsta. Selliste juhtumite valguses vaatame alati üle ettevõttesisese rikketeavituse ja info liikumise protsessi ning õpime vigadest, koolitades ja õpetades Elisa töötajaid lähtuvalt kogetust.

Vältimaks sama olukorra kordumist, oleme parendanud muudatuste planeerimist. Näiteks testime nüüdsest muudatused, mis võivad mõjutada häirekeskusesse või teistesse prioriteetsesse kohtadesse helistamist, alati eelnevalt läbi. Samuti planeerime enne muudatuse tegemist süsteemi taastetegevused, mis võimaldab probleemi tekkimisel kiiresti taastada muudatuseelse olukorra.

 

Kuidas toimub finantspettus

Eelmisel aastal tekitasid kõige enam majanduslikku kahju erinevad finantspettused. Osa neist olid lihtsasti võltsitud meilid palvega, kas raamatupidaja võiks tundmatule arvele raha saata. Teistel puhkudel sai finantspettus alguse lihtsast õngitsuskirjast, mille kaudu sai kurjategija ligi töötaja meilikontole.

Selle ettevõtte töötajale saabus 9. juulil kiri, kus paluti „kinnitada” oma meilikontoandmed, vajutades meilis olevale lingile. Töötaja selle lingi ka avas, mis viis ta pealtnäha Microsoft Office 365 sisselogimislehele ning sisestas sinna oma kasutajanime ja parooli. Töötaja sai seejärel teate, mis kinnitas, et andmed on korras.

Pea kolm nädalat hiljem, 25. juuli tööpäeva lõpus paljastasid kurjategijad oma tegevuse ja saatsid sellelt kompromiteeritud meilikontolt 18 minuti jooksul välja ligikaudu 600 õngitsuskirja. Ettevõtte IT-juht blokeeris töötaja meilikonto, muutis parooli, kontrollis arvutist pahavara ning seda leidmata avas meilikonto uuesti. Tegu oli siiski vaid kurjategijate pettemanöövriga.

Alles kaks kuud hiljem teatas ettevõtte äripartner neile, et nad on alates 17. juulist suhelnud võõra isikuga, kes esines ettevõtte töötajana. Selgus, et kurjategijad salvestasid juulis kompromiteeritud meilikonto vestlused ning asusid äripartneriga meilivestlusesse, esinedes just nimelt selle ettevõtte töötajana. Sealjuures eksitati äripartnerit tegema (märkimisväärse suurusega) ülekanne kurjategija antud arvelduskontole.

Ekraanipilt

Sarnaseid juhtumeid, kus meilivestluseid on pikemalt jälgitud ning vestlusesse vahele segatud just ülekannete tegemise hetkel, et anda ülekandeks uued pangakonto andmed, nägime mullu sügisel pidevalt. Ohvriteks olid nii Eesti ettevõtted kui ka nende äripartnerid teistes riikides. Seetõttu saatsime koos politsei- ja piirivalveametiga aasta lõpus kõigile Eesti ettevõtetele välja sellesisulise hoiatuskirja.

 

Lunavararünnakud häirisid ettevõtteid ka mullu

 

Finantspettuste kõrval mõjutasid Eesti ettevõtteid ka lunavararünnakud, mille tagajärjel kaotasid asutused eelkõige võimalikke kliente, aga ka väärtuslikke töötunde. Lunavararünnakud on saanud viimastel aastatel palju tähelepanu, mullu nägime ka olukordi, kus ettevõtete turvameetmed aitasid võimalikku kahju vältida.

Näiteks Eesti suurim bürootarvete, -tehnika ja -mööbli müüja Büroomaailm sai mullu taas kord lunavararünnakuga pihta, kuid oli selleks valmis. „Meid rünnati üle kaughalduseks kasutatava RDP protokolli ja saadi ligipääs terminalserverile. Läbi selle pandi käima krüptoviirus,“ rääkis Büroomaailma IT-juht Sebastian Sõeruer.

„Probleem oli tegelikult ühes meie vanas terminalserveris, millele ei rakendatud enam meie ettevõtte turvapoliitikat, kuid see oli jäänud veel tööle. Seetõttu oli võimalik seda serverit ka kergelt rünnata ja ligipääs saada,“ ütles ta. „See on viimase kolme aasta jooksul kolmas sarnane juhtum, kus oleme krüptoviirusega pihta saanud.“

Just varasemad kogemused on loonud valmisoleku, nii et sellised intsidendid ettevõtte IT-süsteemidele tõsisemat kahju teha ei saa. Sõeruer ütleb, et seekordse rünnaku põhjustatud kahjuks oli ligi kuus tema enda töötundi ja paar puuduvat rida Excelis.

Esimene abinõu end igasuguste intsidentide vastu kindlustada on Sõerueri sõnul varukoopiate tegemine, ja seda soovitavalt mitmesse asukohta. Sõeruer on loonud mitmeastmelise varundamise süsteemi – virtualiseeritud serverite kopeerimine, regulaarne varundamine füüsiliselt teises asukohas olevatele välistele kõvaketastele, pilvekeskkonna kasutamine jne. „Varundamise tähtsust on raske ülehinnata,“ ütles ta. Teiseks on tema sõnul oluline range kontroll kasutajate õiguste üle – ühe kasutaja vale otsus ei tohi halvata kogu süsteemi.

 

Mida teha, kui sinu ettevõtte meilikontodele ligi pääseti

 

Arvestades meilikontode ärakasutamise trende, soovitab RIA ettevõtetel ja asutustel väga tõsiselt pöörata tähelepanu kõikidele juhtumitele, kus töötajate meilikontodele on ligi pääsetud.

Teavita oma koostööpartnereid

Kurjategijad võivad oodata mitu kuud, enne kui hakkavad uuesti sinu asutuse nime ära kasutades sinu partneritelt raha välja petma. Kui sinu asutuse töötaja meilikonto kompromiteeritakse, anna kohe oma koostööpartneritele märku, et oled langenud kuriteo ohvriks, mis võib partnereid hiljem mõjutama hakata – näiteks hoiata neid selle eest, kui teie poolt hakkab keegi rääkima pangakonto detailide muutmisest. Selline põhimõtteline muutus tuleks kindlasti mitme kanali kaudu üle kinnitada. Nii näitad sa ka oma partneritele, et pöörad turvalisusele tähelepanu.

Hoolitse oma nime eest

Isegi kui SPF poliitika, DKIM tempel ja DMARC protokoll tunduvad liiga tehniliste kontseptsioonidena, on need ekspertide jaoks lihtsad ja odavad viisid, kuidas vähendada võimalust, et kurikaelad püüavad just sinu nime kasutades õngitsuskirju või pahavara laiali saata.

Tee kurjategijatel elu oluliselt keerulisemaks!

Otsi võimalusi rakendada mitmefaktorilist autentimist

Mõtle läbi, kuidas oleks sinu ettevõttes võimalik kasutada mitmefaktorilist autentimist, nii et võõrast arvutist meilidele ligi pääsemine oleks võimalikult keeruline. Suurte pakkujate kõrval on ka mitmed Eesti teenusepakkujad kaheastmelise autentimise võimalikuks teinud.

 

Tänu küberkogukonnale parandasime aastaid riigiportaalis peitunud autentimisnõrkuse

29. juunil teavitasid ühe Eesti asutuse küberturvalisuse eksperdid meid riigiportaali eesti.ee turvanõrkusest, mille ärakasutamisel oli võimalik pangalingi abil portaali sisse logida teise kasutajana. Saades aru olukorra tõsidusest, sulgesime riigiportaali sisenemise pangalingi kaudu ning asusime tuvastatud viga parandama ja riski maandama, mis võttis meil aega neli päeva.

Turvanõrkus seisnes selles, et eesti.ee portaal ei kontrollinud pangalingi kaudu saadud autoriseerimispäringu puhul, kas see oli allkirjastatud panga antud võtmega ning kas see vastas pangalingi tehnilisele kirjeldusele. Leitud viga võimaldas portaali sisenemist teise inimese nimel juhul, kui sisselogija lõi pangalingi tehnilise kirjelduse järgi ebakorrektse pangapoolse kinnituse ise ja suutis selle saata eesti.ee portaalile sisselogimise kinnituseks. Teisisõnu – rünnak oleks eeldanud korralikke tehnilisi teadmisi ja oskusi.

Viga tulenes eesti.ee aegunud platvormist ega olnud seotud ühegi panga ega teise e-teenusega. Hilisemal uurimisel selgitasime välja, et kirjeldatud viga tekkis ilmselt 2015. aasta oktoobris portaali baastarkvaras tehtud muudatuste ja uue pangalingi kasutuselevõtmise käigus. Tegemist ei olnud pahatahtliku veaga, vaid arendaja ja RIA kui tellija hooletusega.

Võimalike kahjude või pahatahtliku tegevuse väljaselgitamiseks kontrollisime üle riigiportaali sisenemise logid alates kirjeldatud muudatuse tegemisest. Mitu päeva kestnud logide kontrollimise tulemusel ei tuvastanud me midagi, mis viitaks sellele, et turvanõrkust oleks ära kasutatud. Kellegi andmed ei olnud kättesaadavad ning kellegi teise nimel sisselogimisi ei fikseeritud. Pärast mitmepäevast intensiivset tööd ja ka välisekspertide läbiviidud turvateste taastasime 4. juulil uuesti riigiportaali sisenemise pangalingi kaudu.

Riigiportaal eesti.ee mobiiltelefonis

Juhtum näitas, et vigu infosüsteemide arendamisel teeme ka me ise ja intsidendist saadud õppetundide põhjal viisime oma arendusprotsessi sisse mitu muudatust, et samasuguseid olukordi ei saaks enam tekkida. Nimetatud turvaviga tuvastati ainult tänu Eesti küberturvalisuse ekspertide kogukonnale väljaspool RIAt, kes hoiab valvsalt pilku peal, et ehitaksime jätkuvalt turvalist digitaalset riiki. Me täname!

Viimati muudetud: 04.04.2019

Kas said vastuse oma küsimusele?


Täname tagasiside eest!