Language switcher

RIA tegevused küberturvalisuse parandamisel

 

Automatiseeritud seirelahendus S4a valvab sinu võrke meie toega

Selleks, et vähendada küberintsidentide tuvastamise ja neile reageerimise aega Eestis, oleme Euroopa Liidu toel välja töötanud ja hakanud ettevõtetele pakkuma automatiseeritud võrguseirelahendust Suricata-4-all (S4a). Selle süsteemi abil saame võimalikult kiiresti jagada oma klientidele meile teadaolevaid ründeindikaatoreid ja toetada asutusi pahaloomulise võrguliikluse avastamisel.

S4a on vabavaral põhinev võrguliikluse analüüsi süsteem, mis võimaldab avastada ründeid ja pahavara ning mõningatel juhtudel ka haavatavusi ja konfiguratsiooniprobleeme. Reegleid – ehk sisuliselt neid indikaatoreid, mida süsteem peaks tuvastama – uuendame regulaarselt vastavalt ohupildile maailmas.

S4a nimi tuleneb selle põhikomponendi, vabavaralise sissetungituvastussüsteemi Suricata nimest, mis kasutab rünnete tuvastuseks reegli-/signatuuripõhist meetodit. Suricata on küll vabalt kättesaadav ja võimalik oma võrgus ise püsti panna, kuid selle monitoorimine ja sissetungi tuvastamise indikaatorite uuendamine võib võtta ülemäära palju raha ja aega.

See ongi koht, kus tuleme lähtuvalt tuvastatud riskidest oma teadmistega Eesti ettevõtetele ja teenusepakkujatele appi. S4a lahendus koosneb CERT-EE juures asuvast kesksest süsteemist ja sensoritest, mida võrkude omanikud saavad paigaldada oma ettevõtte või asutuse juurde. Kesksüsteem jagab sensoritele reegleid (mille põhjal toimub rünnete tuvastus) ning sensorid saadavad omakorda kesksüsteemile teated, kui nad on tuvastanud pahaloomulist liiklust.

Lisaks sissetungi tuvastusele annab süsteem võimaluse võrguliiklust salvestada, indekseerida ja analüüsida. See annab sensori paigaldanud asutusele võimaluse probleemide korral võrguliiklust analüüsida või küsida selle jaoks meie tuge.

Nelja tööriista ekraanipilt.

Sissetungi tuvastuse süsteem tuvastab esialgse ründevektori ning talletab pahaloomulise võrguliikluse kohta fragmente, mis vastavad reeglites kirjeldatule. Võrguliikluse täiendava analüüsi abil on aga võimalik detailsemalt näha ründajate tegevust, mida pelgalt sissetungi tuvastuse süsteem tavapärasest võrguliiklusest ei erista.

Turvalisus algab vastutuse võtmisest

Küberturvalisus algab alati iga organisatsiooni vastutusest oma riskide väljaselgitamise ja maandamise suhtes. Eestis olulisi teenuseid pakkuvatel asutustel lasub tulenevalt küberturvalisuse seadusest riskide maandamise ja intsidentidest raporteerimise kohustus. S4a annab asutustele täiendava turvalisuse kihi ja parandab pilti olukorrast Eesti küberruumis.

Süsteemiga liitumiseks tuleb soovijal hankida nõuetele vastav riistvara ning küsida sensori paigaldustarkvara cert@cert.ee käest. Kirjuta ja küsi nõu, kas S4a automatiseeritud võrguseire on sinu ettevõtte jaoks kasulik lahendus.

 

Valimiste küberturvalisus tähendab enamat kui vaid e-hääletuse turvalisus

2019 on Eestis valimiste aasta – valiti nii riigikogu kui valitakse Euroopa Parlamenti. Mullune valimistevaheline aasta andis võimaluse vaadata natuke süsteemsemalt otsa valimistel kasutatavate tehnoloogiliste lahenduste turvalisusele. Nii valmis 2018. aasta juunis Euroopa NIS direktiivi koostöögrupi egiidi all, eestlaste ja Tšehhi NUKIB analüütikute juhtimisel Euroopa valimisteks mõeldud valimisturvalisuse käsiraamat, mis koosneb praktilistest soovitustest ja näidetest, kuidas seni on hääletamist turvatud.

Eesti valimisteenistuse ja RIA jaoks on valimiste küberturvalisus seni tähendanud suuresti diskussiooni e-valimiste turvalisuse üle. Avalikult on diskuteeritud selle üle, kui läbipaistev see protsess on tavalisele valijale; kuidas saaks kindlustada, et sinu hääl ikka kindlasti registreeritakse; kuidas tagada vaatlejatele võimalust kogu protsessi jälgida.

Kuid e-hääletusega valimiste turvalisus ei piirdu. USA ja Prantsusmaa kogemused 2016. ja 2017. aasta presidendivalimistel näitasid, et rünnaku alla sattusid pigem kandidaadid. Bulgaaria ja Tšehhi nägid 2015. ja 2017. aastal teenustõkestusrünnakuid oma valimisteenistuste kodulehekülgedele. Lisaks on haavatavad igasugused meediaväljaanded ja -platvormid, mille kaudu üritatakse levitada valesid ja millel on kriitiline roll valimistulemuste avalikustamisel.

Eelmainitud valimistehnoloogiate turvalisuse käsiraamat vaatas metoodiliselt kõiki valimiste etappe alates kandidaatide registreerimisest ja valijate nimekirjadest (mis tuginevad samuti elektroonilistele kanalitele) kuni valimistulemuste teatavakstegemise platvormide kaitsmiseni välja. 2019. aasta valimiste turvalisusele lähenesime lähtuvalt Euroopa parimast praktikast ehk oma partnerasutuste kogemustest.

Näiteks eraldas valitsus ligi 304 000 eurot valimiste infosüsteemide info- ja küberturvalisuse taseme tõstmiseks. Selle hulgas telliti riigivõrgule teenustõkestusrünnete kaitsemeetmed, suurendati testimiste mahtu ja soetati riistvara, et suurenenud koormuse tingimustes e-hääletus sujuks.

Sülearvuti koos ID-kaardiga

Koostöös valimisteenistusega pakkus RIA küberhügieeni koolitusi kandidaatidele ja kampaania meeskondadele. Neljal korral (kolm korda Tallinnas ja üks kord Tartus) käisime rääkimas, kuidas valimisi võidakse ohustada ja kuidas kaitsta oma meili- ja sotsiaalmeediakontosid.

Koostöös valimisteenistusega pakkusime Eesti erakondadele võimalust kontrollida oma kodulehekülgede ja meiliserverite turvapilti ehk kuidas paistavad serverid võimalikele ründajatele. Kõik parlamendis esindatud erakonnad otsustasid võimalusest kinni haarata. Igaühele saatsime kinnise ümbriku, kus pöörasime vajadusel tähelepanu turvastandardite kasutamisele, näiteks meiliserveri võltsimiskindlust parandavate protokollide nagu SPF seadistamisele, HTTPS kasutamisele ja teistele võimalustele rünnete ennetamiseks.

2019. aasta jooksul on meie roll olla valimisteenistusele partner, kes ei hoia püsti ainult e-hääletust, vaid kes on võimeline vaatama valimiste küberturvalisust laiemalt. Järgmisteks plaanideks on uuendada valimiste tulemuste sisestamise rakendust ehk valimiste infosüsteemi, mille uus versioon peaks olema valmis ja testitud 2021. aasta kohalike omavalitsuste valimisteks.

 

Küberturvalisuse baasstandard muutub paremini rakendatavaks

Küberturvalisuse nõuded, mis on kohustuslikud kõigile riigiasutustele ja kohalikele omavalitsustele, on ajale jalgu jäänud ega pruugi päriselulistes olukordades küberturvalisuse tagamisele kaasa aidata. Selleks, et kaitsta väärtuslikke andmeid ja infosüsteeme, kirjutame Eestis kasutatava turvastandardi ISKE ümber selliselt, et seda oleks lihtsam ja praktilisem igapäevaselt kasutada.

ISKE on 2008. aastast valitsuse määruse alusel kohustuslik andmekogusid kasutavatele riigi- ja kohaliku omavalitsuse asutustele. ISKEs kirjeldatud turvameetmed on grupeeritud liikide kaupa (organisatoorsed, füüsilised ja infotehnoloogilised) ja nende rakendamise vajadus sõltub andmekogu turbeastmest (madal, keskmine, kõrge). Kuna ohte ja riske on palju, on ka meetmeid palju ning see muudab standardi üsna mahukaks ja kohmakaks.

Nii on jõutud olukorrani, kus ISKE rakendamine on pigem formaalsus kui igapäevase turvalisuse tagamise alus. Tartu linna IT-pealik Rein Lindmäe nendib, et tema jaoks on ISKE oluline eelkõige nendel hetkedel, kui on vaja taas tellida ISKE audit. „ISKE ei ole üks sellistest raamatutest, mis oleks iga päev laual,“ ütleb ta. „Kui see oleks inimkeelsem või kui sellega oleks lihtsam igapäevaselt seostuda, oleks see palju mugavam ja paremini kasutatav.“

Ta rõhutab, et ei ole põhimõtteliselt niisuguse baasstandardi vastu. „ISKE põhitõed on õiged, kuid praegu tunnistan, et enamasti hindame oma riske veidi teistsugustele audititele tuginedes.“ Näiteks tellib ta oma organisatsiooni küberturvalisuse hindamiseks pigem ründeauditeid, mitte ISKE-le vastavuse kontrollimist. Tartu linnal on Lindmäe arvates ressursse ja võimalusi oma riske ise piisavalt hinnata, väiksemates asutustes ja omavalitsustes ei pruugi seda võimalust olla. Seetõttu kulub ISKE Lindmäe hinnangul neile kindlasti ära.

„ISKE võiks lihtsamaks muuta, et see oleks elavam dokument,“ ütleb ta, „niimoodi saaks sellest päriselt kasu. Ei saa öelda, et me ISKEt pidevalt „kasutame“. Jah, me tellime auditi, aga igapäevaste tegemiste puhul ei kontrolli me küberturvalisust ISKE vastu.“

Illustratsioon

Riskianalüüs olgu kõige alus

ISKE nõue on kehtinud kümme aastat. Selle aja jooksul on seda regulaarselt uuendatud ja täiendatud. IT valdkonna kiire areng on endaga kaasa toonud uusi ohte ja riske, mis vajavad uusi meetmeid ja lähenemisi ning neid on ISKEsse pidevalt sisse viidud. Lisaks IT valdkonna kiirele arengule on aga ka organisatsioonid arenenud, paljud neist on muutunud küpsemaks ja võimekamaks. See tähendab, et Eestis on juba hulk organisatsioone, kes oleksid võimelised rakendama rohkem riskipõhist lähenemist ning ise täpsemini hindama oma kaitsevajadusi ja -võimalusi.

Seetõttu oleme alustanud uue infoturbestandardi väljatöötamist, mis arvestab rohkem asutuste suuruse, eripärade, võimekuste ja võimalustega. Pöörame selles rohkem tähelepanu riskianalüüsile, mis erinevalt senisest etalonturbe põhimõttest võimaldab suuremat paindlikkust. Uue standardi aluseks on taas Saksamaa vastav standard, mis on põhjaliku uuenduskuuri juba läbinud ja mida juba rakendatakse. Kuigi uues standardis on palju struktuurilisi uuendusi ja sisulisi muudatusi, ei ole infoturbe põhimõtetes väga palju fundamentaalseid muudatusi: lukus tuleb ikka hoida nii uks kui arvuti.

 

Turvatestimine pole must maagia

Küberturvalisuse hetkeolukorrast igas organisatsioonis annab väga hea pildi turvatestimine, mis ei tohiks uute teenuste turule toomise jooksul ära ununeda.

Juba kuus aastat oleme Eesti küberturvalisuse tagamiseks korraldanud oluliste teenuste osutajatele turvatestimisi. Teste viivad läbi riigihanke võitnud eraettevõtted, mullu tellisime turvatestid niimoodi kuuele asutusele. Tänavu on kavas testida seitsme ettevõtte või asutuse infosüsteeme.

Näiteks pakub Eestis juba kaheksa aastat niisugust teenust Clarified Security, mida juhib Mehis Hakkaja. „Oluline on arvestada, et kui tellida infosüsteem ja sellele läbistustest ehk pen(etration) test, peaks see olema tellija, mitte hanke võitnud arendaja otsene kulu. Turvalisuse valideerimine peab olema erapooletu hindaja tehtud,“ annab Hakkaja soovituse turvalise IT-projekti edukalt läbiviimiseks. „See on just nagu ehitusjärelevalve hoone ehitamisel – klient peab selle eraldi tellima.“

Hakkaja sõnul liiguvad Eesti avaliku sektori infosüsteemide tellijad õiges suunas, aga vaadelda tuleb kogu arenduse elutsüklit ja mis seda mõjutab. „Vahel on nii, et väga mahuka arendusprojekti lõpus tehtava turvatesti tulemiks on pikk raport, kus on enne toodangusse minekut ka suurem hulk kiiret lahendamist vajavaid leide. Tähtajad ning äripool aga nõuavad juba järgmise suure osa funktsionaalsuse valmimist,“ toob ta tüüpilise näite, et turvalisuse valideerimine on vaid väike osa kogu ahelast.

Manuaalse turvatestimise kõrval on oluline ka ründaja jäljendamine ehk red-teaming. Eesmärgiks pole siin mitte kõikide vigade, vaid just lihtsaima vastupanutee leidmine ründaja peamiste eesmärkide saavutamiseks.

„Ühe suure välismaa kliendi puhul esitasime näiteks tõestusena edukast ründevõimalusest ettevõtte veel avaldamata börsiaruande. See ning meie raportid, kuidas me märkamatult sellisel tasemel juurdepääsu saavutasime, aitasid sel börsiettevõttel teadvustada oma turvalisuse tõsiseid puudujääke,“ selgitab Hakkaja red-teaming’u mõtet. „Aasta hiljem üle kontrollides oli selle ettevõtte kaitsevõime ning eelkõige just monitooring juba oluliselt parem.“

Mehis Hakkaja

Ohud muutuvad

Hakkaja hoiatab, et ohud muutuvad maailmas üha keerulisemaks ja globaalsemaks. „Võtame kasvõi meie e-residentsuse programmi, millega igaüks üle maailma võib saada ligipääsu meie infosüsteemidele. Paljud süsteemid on üles ehitatud eeldusega, et kiipkaardiga sisselogija on meie kodanik, kes saab kasutada mingit e-teenust. Infosüsteemides kasutatakse pahatihti „kombelõdvalt“ ka isikukoodi – päringud toimuvad isikukoodi põhjal ja mõnikord on unustatud lisakontrollid, kas päringu tegija tohiks selle isikukoodi kohta andmeid saada,“ toob Hakkaja näiteid leitud vigadest, mis muudavad meie infoühiskonna sihitud rünnetele haavatavamaks. „Piltlikult öeldes jagame võtmeid oma imelahendustesse üle maailma, aga kas me suudame neid lahendusi ka suurema huviliste ringi eest kaitsta?“ viitab ta laienenud horisondile.

 

Euroopa Liit saatis eestlased Aasiasse ja Aafrikasse küberturvalisust arendama

Euroopa Liidu tellimusel oleme 2018. aasta algusest koos partnerasutustega Ühendkuningriigist ja Hollandist toetanud nelja Aafrika ja Aasia riigi küberarengut. Projekt „Cyber Resilience for Development“ (Cyber4Dev) kestab 2021. aasta juunini.

Missiooni eesmärk on suurendada riikide küberturvalisuse teadlikkust, aidata välja töötada küberstrateegiad ja tegevuskavad, tõsta intsidentide käsitlemise meeskondade võimekust ning jagada kogemusi elutähtsate teenuste pakkujate ja riigiasutustega. Tegevust on alustatud neljas riigis: Mauritiuses, Sri Lankas, Ghanas ja Botswanas.

Riikide küberturvalisuse tase on erinev: kui Sri Lankas ja Mauritiuses on CSIRT meeskonnad juba mõnda aega tegutsenud, siis näiteks Botswanas CSIRT alles loodi. Neljast riigist sarnaneb Eestiga kõige rohkem Mauritius. Väikese, 1,3 miljoni elanikuga saareriigi ambitsioon on olla selles India ookeani piirkonnas kübervaldkonna eestvedaja.

Koolitame ja nõustame

Kõigis neljas riigis on IT ja küberturvalisuse valdkonnas inimeste puudus – oskustöötajaid on vähe ja minnakse sinna, kus makstakse rohkem. Samuti on elanikkonna teadlikkus küberohtudest madal, riigi ja erasektori koostöö elutähtsate teenuste kaitsel vajab parandamist ning CSIRTide võimekuse kasvatamine toetamist.

Projekti käigus hindasime kõigi riikide küberturvalisuse taset – iga riigi kohta koostati raport, milles soovitati, mida võiks parandada. Sri Lankas ja Mauritiuses kohtusime ka CSIRTidega ning analüüsisime, milliseid koolitusi oleks seal edaspidi vaja. Koolitusi ja töötubasid oleme nendes riikides juba ka korraldanud.

Projektis osalejad lumises Tallinnas

Sel aastal jätkame koolitustega kõigis riikides. Suuremat tähelepanu pöörame CSIRTide ülesehitusele, kriitilise informatsiooni infrastruktuuri kaitsele ja regulatsioonile, riskihaldusele ja kriisiõppustele, küberseadustele ja -strateegiatele, küberhügieenile ja -teadlikkusele. Samuti tutvustame erinevaid lahendusi, mis aitavad Eestis küberturvalisust tagada ja mis on valminud koostöös Eesti ettevõtetega. Sri Lanka ja Mauritius on tundnud huvi Eesti e-riigi kogemuste vastu, sealhulgas elektroonilise identiteedi kasutamise vastu – nende riikide eksperdid ja poliitikud on külastanud ka Eestit, et meie kogemusega lähemalt tutvuda.

 

KüberSIIL tuleb tagasi

​2018. aasta mais mängiti Eesti kaitsejõudude suurõppusel Siil Eesti metsades ja lagendikel läbi sõjalist konflikti Murinuse ja tema vasallriikidega, kes üritasid Läänemere idakaldal oma mõjusfääri laiendada. Sellega ühel ajal, 7. ja 8. mail toimus küberturvalisuse tagajate õppus KüberSIIL, millel mängiti läbi olukord, kus Eesti territooriumil toimuva sõjategevusega samaaegselt tabasid küberründed ka mitmeid Eesti olulisi asutusi ja teenusepakkujaid.

Tulenevalt laiapindse riigikaitse põhimõtetest ja Eesti julgeolekupoliitika alustest peab küberjulgeolekut korraldama samade struktuursete lahendustega nii rahuajal kui ka sõjaolukorras. Seega on küberturvalisuse tagajate tööd sõjaolukorras ja koostööd Eesti sõjalist kaitset korraldavate üksustega vaja ka regulaarselt harjutada. Just seda kaitseväe suurõppuse raames tehti.

Näiteks said õppuse käigus rünnakutega pihta Ida-Viru keskhaigla, Pärnu haigla, maksu- ja tolliamet, Pärnu sadam ja Alexela, kes kõik said lahendada tulnud olukordadega hästi hakkama.

Intsidentidele reageerimist harjutatakse pea igal küberõppusel. KüberSIILi muutis eriliseks aga see, et harjutati infovahetuse toimimist Eesti territooriumil toimuva sõjalise operatsiooni juhtimise ja küberruumis toimuva vahel. Eesti sõjalist kaitset juhtiva staabi jaoks on kriitiliselt oluline olla reaalajas teadlik, milliseid Eesti olulisi teenuseid on parajasti tabanud küberründed ja mis on nende mõju.

Pikas perspektiivis on ülimalt oluline küberjulgeoleku nõukogus heakskiidu saanud otsus, et üleriigilised küberõppused peavad hakkama toimuma ühel ajal iga-aastaste kaitseväe suurõppustega. Seda rõhutas ka riigikogu riigikaitsekomisjon.

 

Küberõppused teevad tugevamaks

Lauri Luht, NATO 
küberkaitsekeskuse õppuste juht

Küberkriiside lahendamise võti on valmisolek, ja valmisolek tuleb ainult harjutades.

NATO küberkaitsekoostöökeskus (CCDCOE) on oma loomisest alates korraldanud küberõppusi võimalikult realistlikes tingimustes. Iga-aastaselt Tallinnas toimuv maailma suurim rahvusvaheline õppus Locked Shields on suure tähelepanu all. Vähem on räägitud keerukast, kuid madala profiiliga tehnilisest õppusest Crossed Swords (ee ristatud mõõgad, lühendiga XS), mis eelneb Locked Shieldsile.

XS on üks kõige suurema väljakutsega küberõppusi mitte oma suuruse, vaid selle tõttu, kui palju erinevaid keerukaid ja interdistsiplinaarseid tegevusi on vaja teha. Õppus viib osalejad pidevalt muutuvasse keskkonda, kus neil on vaja reageerida vaenulikele vastastele ja hulgale samal ajal juhtuvatele intsidentidele, püüdes samas vastase võrkudesse sisse tungida.

XSil osalejad peavad suutma täita ülesandeid ühtse meeskonnana, tegema koostööd erinevate agentuuridega ning suutma aimata vastase mõttemaailma. Et lahendada missioone, peavad nad hakkama saama kõikvõimalike küberoperatsioonide läbiviimisega, ning seda kõike koostöös eriüksuste ja luurajatega. Muu hulgas peavad osalejad kübervahenditega takistama kineetilisi rünnakuid.

Küberõppus

XS õppuse eesmärk on olla võimalikult realistlik ja pakkuda tervet hulka ründevektoreid, mis võivad tänapäeval maailmas esineda. Sõjaline vastus ei ole ainus viis, kuidas küberrünnakutega hakkama saada, sest küberkriisid võivad mõjutada sõjaliste objektide kõrval ka tsiviilisikuid või mõlemaid. Niisuguse kõikehõlmava ja päevakajalise õppuse väljatöötamine on väljakutse, mis nõuab koostööd CERT.LV, Tallinna tehnikaülikooli ja Eesti küberväejuhatuse ekspertidega.

Viimati muudetud: 04.04.2019

Kas said vastuse oma küsimusele?


Täname tagasiside eest!