Language switcher

Sa oled siin

Olukord küberruumis – jaanuar 2022

Jaanuaris registreerisime 205 mõjuga intsidenti, mis on aasta keskmisel tasemel. 

  • Esines tõrkeid nii riiklikult olulistes infosüsteemides kui ka kaardimaksete tegemisel. Nelja Eesti ettevõtet tabas lunavararünnak ja taas õnnestus tegevjuhi petuskeemi kasutada.
  • Koostasime ohuhinnangu Ukraina vastastest küberrünnetest ja nende võimalikust mõjust Eestis.
  • Jaanuari keskpaigas tabas Ukrainat küberrünnak, mille käigus näotustati üle 70 valitsusasutuse veebilehed ja kuvati seal sõnum ukrainlaste lekkinud andmete kohta. 

CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele. 

Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke.

Õngitsuslehed moodustavad jätkuvalt kõige suurema osa CERT-EE registreeritud intsidentidest.
​​​​​

 

Olukord Eesti küberruumis

Mitmetes Eesti riigile olulistes infosüsteemides esines tõrkeid. 8.jaanuaril vahemikus 19.40 kuni 20.17 ei olnud võimalik sisse logida Häirekeskuse infosüsteemi HKSOS. Jaanuaris esines kolmel korral häireid tervise infosüsteemi kesksüsteemi töös. Lisaks toimus teenusekatkestus Haigekassa x-tee teenustes. Nii Häirekeskuse kui ka tervise infosüsteemi tõrked võivad olla potentsiaalseks ohuks inimese tervisele juhul, kui nende tõttu ei jõua kiirabi õigeaegselt kohale või puudub võimalus apteegist retseptiravimeid osta.

Jaanuaris jätkusid teenustõkestusrünnakud (DDoS) koolide ja haridusteenuste vastu. 12.jaanuaril rünnati vahemikus 10.35 kuni 13.45 õppeinfosüsteemi Tahvel, mille kasutamine ei olnud ent ründe ajal häiritud. 13.jaanuaril toimus DDoS rünnak ühe Kesk-Eesti kooli vastu, millel kooli IT juhi sõnul mõju ei olnud. 14.jaanuaril toimus kaks rünnet erinevate koolide pihta. Kuna rünnakud toimusid peale koolivaheaja lõppu, siis on RIA hinnangul nende taga suure tõenäosusega just samade koolide õpilased.

Logistikaettevõtet tabas 12.jaanuaril lunavararünnak. Harjumaal tegutseva logistikaettevõtte mõned arvutid, 10 serverit ja võrguliikluse logisüsteemid olid krüpteeritud. Ettevõtte töö oli tugevalt häiritud, kuna rünnaku tõttu puudus ligipääs infosüsteemidele. Õnneks olid ettevõttel olemas tagavarakoopiad, millega õnnestus suurem osa tööprotsessidest ja andmetest taastada.
 

Jaanuari viimasel nädalal tabas veel kahte Eesti ettevõtet lunavararünnak. Ühel neist olid tagavara-koopiaid hoiustatud selles samas serveris, mis rünnaku käigus ära krüpteeriti. Mitmel korral kasutati, nagu ka varemalt näinud oleme, rünnaku läbiviimiseks kaugtöölaua protokolli (RDP). Seetõttu soovitame jätkuvalt kaugtööks kasutada mitmikautentimist (MFA) võimaldavaid VPN lahendusi.

Probleeme esines nii kaardimaksete tegemisel kui ka internetipankade kasutamisel. 17.jaanuaril olid häired Nets Estonia võrgus, mistõttu oli maksekaartidega tasumine häiritud üle Eesti. 21. ja 22.jaanuaril esines tõrkeid LHV kaardimaksetega. Luminor internetipanga töös oli katkestus 20.jaanuari hommikul, mis taastus peale paranduste paigaldamist ja serverite taas-käivitamist.

Jätkuvalt levivad küberruumis nii õngitsus- kui ka pahavaraga kirjad. Taaskord ilmusid näiliselt SEB panga poolt saadetud kirjad pealkirjaga „Tähtis“, milles prooviti teada saada kasutaja pangakonto andmed. Kirjas lubati tagasimakset ja suunati kasutaja Vene domeeniga veebi-lehele andmeid sisestama. Lisaks saadeti ka õngitsust sisaldavaid SMS sõnumeid. Samuti teavitati meid tegevjuhi petuskeemidest, kus näiliselt asutuse tegev- või finantsjuhilt saadetakse kiri raamatupidajale palvega arve kiirelt tasuda. Vähemalt ühel korral see ka õnnestus – Eesti suurettevõtte finantsosakonna töötaja langes pettuse ohvriks ja kahju suurusjärk oli 15 000 eurot.

 

Tegevused küberturvalisuse parandamisel Eestis 

Kirjutasime koostöös NATO Küberkaitsekoostöö Keskusega artikli 13. jaanuari hilisõhtul Ukraina valitsuse veebilehti tabanud ulatuslikust küberrünnakust ning sellest, milliseid järeldusi võiks sellest teha oma küberruumi kaitseks Eesti. Koostasime samal teemal ka ohuhinnangu, mis keskendub Ukraina vastastele küberrünnakutele ning selle võimalikule mõjule Eestis. Ohuhinnangus andsime 8 soovitust asutuste ja ettevõtete infoturbejuhtidele, kuidas end rünnete vastu efektiivselt kaitsta.

Jätkusid koolitused tulevastele Eesti infoturbestandardi rakendajatele, mille eesmärgiks on anda oskused ja teadmised uue E-ITS standardi rakendamiseks. Toimusid ka erineva sisuga infoturbe teadlikkuse tõstmise koolitused: ühel koolitusel anti algteadmised küberhügieenist, teisel koolitati juhte ennast ja oma asutust/ettevõtet küberrünnakute eest kaitsma. Taolisi koolitusi oleme erinevatele sihtgruppidele (infoturbejuhid, asutuste/ettevõtete juhid, IT spetsialistid ja ka tervisehoiuteenuste osutajad) korraldanud juba aastaid.

Tõlkisime Eesti infoturbestandardi ehk E-ITSi uue versiooni inglise keelde ja peagi saavad nii uus kui ka ingliskeelne versioon avaldatud E-ITS portaalis

Külastasime järelevalvemenetluste raames viit asutust ja kontrollisime kohapeal küberturvalisuse seaduse nõuete täitmist.

Avaldasime RIA veebilehel juhendi (PDF), kuidas turvaliselt ja jätkusuutlikult kasutusele võtta Microsoft 365 pilveteenused. Juhendi loomisel ja soovituste kujundamisel on silmas peetud eelkõige elutähtsa teenuse osutajaid.

Eelmise aasta neljandas kvartaliülevaates kirjutasime detsembrikuus tuvastatud kriitilisest Log4j turvanõrkusest, valimiste küberturvalisusest, ummistusrünnetest koolide ja õppekeskkondade vastu ning Eesti inimeste küberhügieeni harjumustest. Kvartaliülevaate täistekst on leitav RIA kodulehelt.

Rahvusvaheline keskkond 

Paljude USA koolide veebilehed ei olnud jaanuari alguses lunavararünnaku tõttu kättesaadavad. Üks suurimaid USA koolide veebilehtede arendajaid Finalsite langes lunavararünnaku ohvriks. Mõjutatud oli umbes 5000 klienti, nende seas paljud koolid. Probleem oli seda tõsisem, et õpilastel on muutliku COVID-19 olukorra tõttu vaja haridusasutustelt jooksvat infot õppetöö korralduse kohta.

Põhja-Korea häkkerid ründasid Vene diplomaate, saates neile uusaastatervitusega e-kirju, millega oli kaasas pahavara sisaldav manus. Rünnakuid tehti alates 20.detsembrist ja sihtmärkidena on tuvastatud Indoneesias asuva Venemaa saatkonna töötajad. Pahavara oli peidetud manuses olnud .zip-faili, mille nimeks „õnnitlused“. Manuse avamisel paigaldas see seadmesse kaugligipääsu võimaldava troojalase ning ründajad said kontrolli nakatunud süsteemide üle.

Ukraina valitsusasutusi tabas küberrünnak, mille käigus rünnati Ukraina valitsusasutuste veebilehti. Ligi 70 valitsusasutuse veebilehe avalehele pandi ukraina, vene ja poola keeles avaldus, mis ähvardas et kõigi isikuandmed saavad avalikuks. Lisaks näotustatud veebilehtedele avastas Microsoft, et paljudesse Ukraina valitsusasutuste ja infotehnoloogia ettevõtete seadmetesse on paigaldatud hävituslik pahavara WhisperGate, mis ootab aktiveerimist tundmatute häkkerite poolt. 

Pahavara on disainitud nii, et see muudab seadmed kasutuskõlbmatuks, hävitab seal olevad andmed ja tõenäoliselt ei ole eesmärgiks lunaraha saamine. Ukraina võimude sõnul on neil tõendeid, et rünnaku taga on Venemaa.

Vene meedia teatel tabati REvil häkkerite grupeeringu liikmed. Teavitus tuli samal päeval, kui avalikustati Ukraina küberrünnakud. Venemaa Föderaalse Julgeolekuteenistuse (FSB) väitel viisid nad USA palvel läbi erioperatsiooni häkkerirühmituse REvil liikmete vahistamiseks, mille käigus peeti kinni 14 rühmitusega seotud isikut. FSB andmetel konfiskeeriti pea kuus miljonit eurot, 20 luksusautot, arvutitehnikat ja krüptovaluuta rahakotid. Rühmituse liikmetele esitati süüdistus ning neid võib oodata kuni seitsmeaastane vangistus, kuid Venemaa meediakanalite sõnul Venemaa kodakondsusega süüdistatavaid USA-le välja ei anta.

Ülemaailmne humanitaarorganisatsioon Punane Rist langes küberrünnaku ohvriks, mille tagajärjel said ründajad kätte tundlikku infot vähemalt 515 000 inimese kohta. Lekkisid info kadunud isikute kohta, konfliktide või katastroofide tõttu peredest eraldatud inimeste andmed ning kinnipidamisasutustes viibivate inimeste info. Pole veel teada, kes on rünnaku taga. Häkkerid pole organisatsiooniga ühendust võtnud ega raha küsinud. Punane Rist palus avalikult ründajatel varastatud infot mitte müüa, lekitada või teistmoodi kasutada. 

 

Olukord küberruumis jaanuaris 2022 failina (227.6 KB, PDF)

Veel uudiseid samal teemal

20.09.2022

RIA: küberrünnakud meediamajade vastu kasvasid

21.09.2022 Riigi infosüsteemi amet (RIA) koostas neile teatatud andmete põhjalt ülevaate Eesti meediaportaale tabanud küberrünnakutest. Võrreldes kahe eelmise aastaga on mõjuga küberrünnakute arv tõusnud.

08.09.2022

Olukord küberruumis – august 2022

Augustis registreerisime 252 mõjuga intsidenti, mis on viimase poole aasta kõige kõrgem näitaja.