Language switcher

Sa oled siin

Trendid ja tähelepanekud küberruumis – I kvartal 2020

Riigi Infosüsteemi Ameti küberturvalisuse teenistus koostab iga kuu küberturvalisuse ülevaadet ja kord kvartalis kvartaliülevaadet, mis on igakuisest kirjeldusest analüüsivam ja ettevaatavam.  

Kurjategijad kasutavad ära globaalset eriolukorda

Olukord

Esimese kvartali lõpuks on koroonaviiruse pandeemia mõjutamas kõigi igapäevaelu. Muuhulgas tähendab see oluliselt kasvanud e-teenuste kasutamist nii töötamiseks, õppimiseks kui ka ostlemiseks ja vaba aja veetmiseks. See on tekitanud väga suure nõudluse info vastu, mis on seotud näiteks COVID-19 viiruse leviku või olukorra lahendamisega. Samuti on kasvanud elektrooniline infovahetus töökohaga, kooliga ja e-teenuste pakkujatega. See kõik loob soodsa pinnase küberintsidentide jaoks.

Märtsis jõudis Eestisse globaalne trend üritada nii pahavara levitamiseks kui õngitsusteks COVID-19 paanikat ära kasutada – nägime Terviseameti käitumisjuhist matkivat libakirja ning samuti teavitati meid petukõnedest, kus kurjategijad püüdsid arvuti turvasätete kontrollimise ettekäändel saada kaugligipääsu kasutaja arvutisse. Samuti püütakse pahavara levitamiseks ära kasutada paljude jaoks harjumatut kaugtöö olukorda – nägime kampaaniat, kus meili teel kutsuti üles kaugtöö rakenduste aktiveerimiseks avama linke, mis tegelikult hoopis käivitasid arvutis pahavara. CERT-EE on globaalsete teavitusvõrgustike kaudu teada saanud ja oma tööriistade kaudu näinud suurel hulgal igasugust pahavara, õngitsuskirju ja rämpsposti, mis kõik kasutavad klikkima meelitamiseks COVID-19 temaatikat. Eesti (sealhulgas eesti keel) on veel jäänud suuresti puutumata.

RIA hinnang

Me oleme varem näinud, et globaalsed trendid jõuavad mõnenädalase, vahel ka mõnekuise hilinemisega Eestisse, seega võime oodata veel lähiajal suurt hulka intsidente, mille algpunktiks on mõni COVID-19-söödaga meil või rakendus. See ei sõltu tõenäoliselt ka eriolukorra pikkusest, sest infovajadus viiruse levimise, tõkestamise, tagajärgede likvideerimise kohta jääb kestma pikemalt. 

Eraldi tuleks tähelepanu pöörata viirusega seotud huvi ja hirmu ära kasutavatele skeemidele, mis võivad muutuda kurjategijatele üha ahvatlevamaks. Iga päev registreeritakse tuhandeid uusi koroonaviirusega seotud domeeninimesid ning osalt on nende taga kurjategijad, kes kasutavad neid õngitsusteks või muudeks pettusteks. Juba praegu on üles seatud hulk uusi veebipoode (küll inglise keeles), mis müüvad võltsvaktsiine ja viiruse eest kaitsevaid vahendeid. Samuti oleme teadlikud kampaaniatest mujal maailmas, mis lubavad kasutajale paljastada nende ümbruses elavaid koroonaviirusesse nakatunuid, aga ainult teatud summa eest. 

Kõige operatiivsemat infot libameilidest, petukõnedest ja muust jagame RIA Facebooki lehel, kus anname ühtlasi soovitusi nende vältimiseks ja ära tundmiseks.

Suuremad ja väiksemad intsidendid kaugtöö tõttu

Olukord

Kodust töötamine ja õppimine on kiirendanud ettevõtete, koolide ja ka avaliku võimu teostavate asutuste üleminekut kaugtöövõimalustele. Esimeste nädalatega on tõenäoliselt asutuste sees uued videokonverentsivõimalused ja suhtluskanalid paika loksunud, kuid asutuste/ettevõtete omavahelise suhtluse puhul, sh osapooltega välisriikides, lepitakse jätkuvalt jooksvalt kokku uusi suhtlus-, failivahetus- ja muid koostööplatvorme, mille andmete käitlemise protseduurid ei ole kõigile osapooltele teada. Nii võidakse jagada asutusesiseseks kasutamiseks mõeldud või ettevõtte tundlikku infot kogemata teenusepakkujatega, kes võivad seda heal juhul kasutada vaid reklaamide isikustamiseks, halvemal juhul aga salvestada kohta, mille üle pole info omanikul piisavalt kontrolli. Aeg-ajalt lekivad teatavasti ka suurte teenusepakkujate andmebaasid. 

Teenusepakkujate kõrval oleme teadlikud ka andmete ja seadmete ebaturvalisest kasutusest üksikisiku tasandil. Näiteks videokõne ajal asutuse palgaandmete ja paroolide jätmine tahvlile, mis asub kõneleja selja taga; ekraanide jagamine videokõnes nii, et teistel on näha ka jagaja teised failid või brauseri sakid; andmebaaside ja töö jaoks mõeldud tarkvara paigaldamine isiklikesse (loe: asutuse jaoks teadmata turvalisuse tasemega) arvutitesse. 
Samuti on aktiveerunud need kurjategijad, kes kasutavad kompromiteeritud kontosid või nõrku meiliprotokolle selleks, et välja petta tööandjatelt töötasusid hoopis kolmandatele pangakontodele. Töökohas näost-näkku suhtluse puudumisel on selliseid pettusekatseid tavapärasest raskem tabada.

RIA hinnang

On selge, et praeguses olukorras on esmatähtis see, et tööd saaks üldse edasi teha; turvalisuse ja andmekaitse peale mõtlemine on kohati jäänud teisejärguliseks. Kui olukord on veidi stabiliseerunud, tuleb aga sellele tähelepanu pöörata, sest mida enam me töötame, õpime ja suhtleme interneti vahendusel, seda olulisem on küberturvalisus. Seda nii suhtluses õpetajatega, klientidega, tööandjaga või töötajatega.

Kuna kaugtöö vajadus kestab nii Eestis kui mujal maailmas veel mõnda aega, on tõenäoliselt oodata veel kampaaniaid, kus kurjategijad püüavad erinevaid kaugtöö rakendusi matkides levitada pahavara või varastada andmeid. Juba näeme, et pahavara levitamiseks kasutatakse ära videokonverentsitarkvara Zoom populaarsust, jättes mulje justkui on ohvrile saadetud just Zoomi programm või jagades näiliselt Zoomiga seotud lehekülgi, kust korjatakse kokku kasutajaandmeid. 

Oleme kokku kirjutanud kodust töötamise ja õppimise küberturvalisuse põhitõed RIA blogis, Eesti Infotehnoloogia ja Telekommunikatsiooni Liit (ITL) on teinud üleskutse ettevõtetele mitte leevendada infoturbe nõuded ainuüksi eriolukorra tõttu. ISKE standard ja küberturvalisuse seadus kehtivad jätkuvalt. Meilipettuseid saab jätkuvalt (suuremas osas) ennetada SPF, DMARC, DKIM protokollide rakendamise ja mitmeastmelise autentimisega. Olukorras, kus mure oma ettevõtte, rahavoogude ja töösuhete pärast on niigi suur, aitab küberturvalisuse põhimõtete järgimine öösel natukenegi rahulikumalt magada.

Intsidente ennetav info jääb toppama    

Olukord

2019. aasta suvest oleme hakanud Eesti telekommunikatsiooniettevõtetele, veebiteenuste majutajatele ja oma võrke haldavatele asutustele välja saatma automatiseeritud teateid kuritarvituste ja erinevate haavatavate seadmete/seadistuse kohta nende võrkudes. Selliseid teavitusi saadame vähemalt kord ööpäevas, kui oleme tuvastanud nakatunud seadmeid, turvanõrkusi või seadistamisel tehtud vigu, mis võivad lõppeda küberintsidendiga. Lihtsustatult: kui on tuvastatud, et mingi IP-aadress pöördub pahavara kontrolliva serveri poole juhiste saamiseks, siis teavitame teenusepakkujat IP-aadressi järgi kliendist, kelle seade on nakatunud pahavaraga.

Samas oleme jätkuvalt saanud teavitusi küberintsidentide kohta Eestis, mille juurpõhjuse kohta on sarnased teated juba varem laiali saadetud. Näiteks märtsis kuritarvitati ühe ettevõtte serverit haavatavuse kaudu, mis oli ettevõtte teenusepakkujale teada tänu meie seiretegevusele. See näitab, et CERT-EE edastatud info ei liigu tihtipeale teenusepakkujatelt klientideni edasi, mis omakorda tähendab, et klient ei saa midagi ka ette võtta, et ohtu kõrvaldada, seda vältida või viga parandada. 

RIA hinnang

Mida enam ettevõtted kasutavad oma e-teenuste majutamiseks väliseid teenusepakkujaid – kes küll pakuvad oma taristut, kuid jätavad vastutuse ja kontrolli kliendile – seda enam on oluline, et teated võimalikest ohtudest ja turvanõrkustest ei jääks tähelepanuta. 

CERT-EE-l on küberturvalisuse seadusest tulenev kohustus seirata Eesti internetiruumi ning tuvastada seal küberohte, samuti ülesanne edastada küberintsidentide ennetamiseks ja lahendamiseks ohuteateid. Kuna CERT-EE-l ei ole ligipääsu interneti- või majutusteenuste kliendiandmetele, pole meil võimalik IP-aadressi järgi puudutatud isikut otse teavitada. See vastutus jääb teenusepakkujale. Mitmed intsidendid oleks aga võinud jääda olemata, kui meie saadetud hoiatusi oleks õigesti kasutatud ning klientidele edastatud. 

CERT-EE jälgib küberruumi ööpäevaringselt ning paneme interneti- või veebimajutusteenuse pakkujatele südamele, et nad neile saadetavat infot operatiivsemalt edastaksid – teenuse klientidel on õigustatud ootus olla informeeritud ja hoiatatud. Samuti kutsume üles suure digitaalse jalajäljega ettevõtteid oma teenusepakkujatelt küsima, millised on protseduurid selleks, et CERT-EE-lt nendeni jõudnud ohuteated kliendini jõuaks või kes lõpuks nende turvanõrkuste ärakasutamise puhul vastutab.

Läheb hästi

Vaatamata kriisiolukorras oluliselt suurenenud koormusele on Eesti e-teenused üldiselt hästi vastu pidanud. On olnud üksikuid lühiajalisi teenusekatkestusi ülekoormuse tõttu nii õppekeskkondades kui tervishoiuvaldkonnas, aga enamjaolt hindame e-riigi toimepidavust heaks. Samuti on paljude ettevõtete üleminek kaugtööle õnnestunud siiani suuremate küberintsidentideta.

Saaks paremini

Eriolukorrast sõltumata on siiski oluline ära märkida, et regulaarselt esinevad teenusekatkestused on Eestis laiaulatusliku mõjuga. Eriolukorras eriti. Enamasti tulenevad teenusekatkestused aegunud tarkvarast ja riistvarast, mis omakorda viitab ebapiisavatele investeeringutele infrastruktuuri. Juhid peavad teadvustama, et nendest ressursimahukatest otsustest sõltub otseselt teenuste turvalisus ja töökindlus ning süsteemide õigeaegse hoolduse ja uuendamise pealt ei tasu kokku hoida – seda enam, et teenuse kriitilisus ühiskonna jaoks võib muutuda ka üleöö. Olulisema mõjuga teenusekatkestusest anname jooksvalt teada igakuistes ülevaadetes olukorrast küberruumis.

RIA poole pöördumiste hulk ja mõjuga intsidentide hulk viimase kolme aasta jooksul

 

Mõju all mõistame seda, kus teabe või süsteemide konfidentsiaalsus, terviklus või kättesaadavus oli häiritud. Pöördumiseks loetakse kõiki teavitusi mõjuga ja mõjuta intsidentidest, nähtud teenusekatkestustest, rämpspostist teavitamistest, küsimustest CERT-EE-le, partnerasutuste koondraportitest jne.

Käesoleva kokkuvõtte koostas RIA küberturvalisuse teenistus eesmärgiga selgitada küberohtude trende võimalikult laiale auditooriumile, sealhulgas lugejatele väljaspool Eestit. Olukorda küberruumis analüüsib RIA küberturvalisuse teenistus detailsemalt igakuistes kokkuvõtetes. Tehnilisemaid soovitusi jagab CERT-EE koolitustel ja RIA kodulehekülje kaudu.

Veel uudiseid samal teemal

28.09.2020

Emoteti pahavaraga kaasneb ka andmevargus

28.09.2020 – Maailmas aktiivselt leviv ja augustis taas Eestisse jõudnud Emoteti pahavaravõrgustik võib kaasa tuua ka andmelekke ning Euroopa Liidu andmekaitseseaduse (GDPR) tahtmatu rikkumise.

18.09.2020

August möödus Eesti küberruumis pahavara sisaldavate dokumentide ja e-kirjade tähe all

18.09.2020 – Suve viimasel kuul saime teada, et vähemalt sadakond Eesti meilikontot nakatus pahavaraga, mis teeb ukse lahti teistele ohtlikele viirustele ja pahavaradele. Saime ka teateid terviseametit matkivatest ja koroonapandeemiat ära kasutavatest võltskirjadest, mis olid loomulikult pahavaraga varustatud.