Language switcher

Sa oled siin

Trendid ja tähelepanekud küberruumis – II kvartal 2021

Lunavararünnakud jätkuvad

Olukord

Lunavara kimbutas viimastel kuudel nii Eesti ettevõtteid kui ka eraisikuid. Näiteks informeeriti meid juhtumist, kus LockBiti nimeline lunavara tabas IT-teenust pakkuvat ettevõtet ning laienes nende kaugtöölaua protokolli (RDP) kaudu veel nelja firmasse. Ka üks Tallinnas tegutsev hulgimüügiettevõte teatas intsidendist, mille käigus krüpteeriti serveris olevad andmed, sealhulgas raamatupidamisdokumendid ja varukoopiad.

Ehkki üldiselt sihivad kurjategijad lunavaraga pigem ettevõtteid, saavad aeg-ajalt pihta ka eraisikud. Üks video- ja fototöötlusega tegelev inimene andis teada, et kaks tema kõvaketast ja Synology server on krüpteeritud. Kuna ta ei olnud materjali varundanud, osutus taastamine keerukaks. Ka antud juhul toimus nakatumine ilmselt RDP kaudu.

Teises kvartalis oli maailmas taas mitu tõsist lunavarajuhtumit, mis said palju kõlapinda ning sunnivad ka laiemat elanikkonda teadvustama lunavara ohtlikkust ning sellega kaasnevat kahju. USA energiaettevõtte Colonial Pipeline vastane rünne mõjutas torujuhet, mille kaudu liigub ligi pool kogu riigi idarannikul kasutatavast kütusest. Torujuhtme töö oli tõkestatud pea nädalaks, mistõttu tekkis mitmes osariigis kütusepuudus. Palju kahju tekitas ka Conti-nimelise lunavaraga küberrünnak Iirimaa tervishoiusüsteemi vastu, mille käigus varastati ja avalikustati patsientide andmed ning meedikud ei saanud ligi diagnostikale ja meditsiinilistele dokumentidele. Tervishoiuteenuste osutamine riigis oli häiritud üle nädala.

RIA hinnang

Nii indiviidi kui ka organisatsiooni jaoks on lunavararünnakutega kaasnev kahju sageli suur ning võib kaasa tuua pikaajalisi tagajärgi. Ehkki absoluutset kaitset lunavara vastu ei ole kellelgi, on mõistlik teha kõik endast olenev, et isegi kui küberturvalisuse meetmed alt veavad, mööduks pihta saamine võimalikult valutult. See tähendab eelkõige, et andmed peavad olema hajutatud, varundatud ja taastatavad.

Eestis jääb meile teadaolevate lunavaraintsidentide arv kvartalis enamasti 5 ja 10 vahele ning ühiskonda tõsiselt halvavaid intsidente pole nende hulgas seni olnud. Tuleviku väljavaade on aga pigem muret tekitav, sest globaalselt on lunavararünnakud muutunud kurjategijatele väga tulusaks kuriteoliigiks. Lunavaraprobleemist räägitakse üha rohkem ka riikliku julgeoleku kontekstis, ehkki traditsiooniliselt on riigijuhid keskendunud pigem riiklike sidemetega küberrühmituste tegevusele. Lunavararünnak võib olla ettearvamatu ja laastava mõjuga, sest selle ajendiks on raha – erinevalt riikliku taustaga tegijatest ei lase need grupeeringud ennast häirida poliitilistest suunistest ning sihtmärkide valik ei ole kurjategijate jaoks kuidagi moraalselt piiratud (mitmeid kordi on ohvriks langenud ka näiteks haiglad).

Mida siis teha saab, lisaks enda ja oma ettevõtte või organisatsiooni kaitsmisele asjakohaste küberturbemeetmete abil? Riikide tasandil on siin erinevaid võimalusi: tõhustada õiguskaitseorganite tööd rahvusvaheliste grupeeringute vastutusele võtmisel, samuti muuta krüptorahaga opereerimine vähem anonüümseks, et rühmitustel ei oleks sedavõrd lihtne ohvritelt raha nõuda ja seejärel kaduda. Arutleda võiks ka selle üle, kas ja kuidas on lunavara maksmine (ka kindlustusettevõtete kaudu) seaduslik, arvestades, et nii rahastatakse kuritegevust. Lunavaraprobleem ei ole kaugeltki uus, ent selle mõju ühiskonnas on kasvamas ning kindlasti oleme sunnitud seda teemat ka tulevastes kvartaliülevaadetes kajastama.

Teenusepakkuja küberturvalisus on ka sinu risk

Olukord

Meile on sellest aastast teada juba neli juhtumit Eestis, kus mõne teenusepakkuja kompromiteerimise kaudu on õnnestunud rünnata ka selle teenuse kliente. Aasta alguses murti tarkvara turvanõrkust ära kasutades sisse ühe tehnoloogiaettevõtte majutusserverisse, mis pakub populaarset infohaldussüsteemi mitmetele era- ja avaliku sektori asutustele – õnneks ettevõte tuvastas intsidendi kiiresti ning teavitas ka kliente. Ka eelpool kirjeldatud lunavarajuhtumi puhul rünnati IT-teenuse pakkujat ning sealtkaudu õnnestus krüpteerida veel nelja ettevõtte andmed. Oli ka üks juhtum mais, kus rünnati raamatupidamistarkvara pakkuvat ettevõtet ning saadi seeläbi ligipääs ka ühe seda tarkvara kasutava kohaliku omavalitsuse süsteemidele.   

RIA Hinnang

Edukas rünne teenusepakkuja vastu võib olla kurjategijatele väga tulus – ründad ühte ja kui veel pisut vaeva näed, saad teised kauba peale. Eelnev ülevaade klientidest, kes antud teenust pakkuvast ettevõttest sõltuvad, teeb selle võimaluse eriti atraktiivseks. Sellised nimekirjad on aga sageli kergesti leitavad ettevõtte kodulehel, sisaldades nii eraettevõtteid kui riigiasutusi. Maine loomiseks igati arusaadav, ent klientide küberturvalisuse seisukohast mitte väga hea praktika. Mida rohkem infot kurjategijatel ettevõtte klientide kohta kiiresti koguda õnnestub, seda suurem võib olla motivatsioon rünnata ja edasisi samme kavandada. Seega soovitab RIA vähemalt riigiasutustel ja elutähtsate teenuste osutajatel kriitiliselt mõelda, kas tasub lubada kõigil koostööpartneritel end nende teenuse kasutajana välja reklaamida.

Põhjus, miks seda tüüpi intsidendid sagenevad, on ka see, et väliste teenusepakkujate küberturvalisuse tase on sageli madalam, kui neid teenuseid kasutavatel organisatsioonidel ning viimastel ei ole väga konkreetseid hoobasid, millega seda kontrollida. Teenusepakkujat valides ei pruukinud küberturvalisus olla üldse kõige olulisemate valikukriteeriumite seas. RIA soovitus on küberturvalisuse aspektid lepingutes teenusepakkujatega võimalikult täpselt paika panna, sealhulgas intsidentidest teavitamise kohustus ning toimivate kriisiplaanide olemasolu. Globaalset mõju omavate tarneahelarünnakute taustal, millest kirjutasime eelmises kvartaliülevaates, on üldine trend Euroopas ja Ameerika Ühendriikides liikumas sinnapoole, et vähemalt avalikule sektorile teenust pakkuvate ettevõtete küberturvalisusele kehtestatakse rangemad nõuded.

Valimised ei ole koht, kus eksperimenteerida näotuvastusega

Olukord

Äsja avalikustati Cybernetica küberekspertide koostatud analüüs biomeetria rakendamise kohta e-hääletamisel, mis tõdeb, et näotuvastuse lisamine valimistele on tehtav, kuid privaatsusriive ja tehnoloogilise keerukuse tõusuga kaasnevad riskid, mis ei pruugi kaaluda üles sellest saadavat kasu.

Analüüs jõuab põhiliste järeldusteni, et näotuvastus oleks tehniliselt keerukas ja nõuaks väga suuri tehnilisi muudatusi. Selle lisamine tõstaks e-hääletamise tõrkeohtu ja märkimisväärselt suureneks süsteemi jõudlusvajadus. Seejuures on võimatu viia veaprotsent nulli.

Samuti muutuks e-hääletamise teenus kasutajale ebamugavamaks, sest eeldab korraliku kaameraga seadme olemasolu ja selle kasutamisoskust. Lisandub ka privaatsusriive. Analüüsiga on võimalik tutvuda siin (541.95 KB, PDF).

RIA hinnang

RIA seisukoht on, et näotuvastuse kasutamine e-hääletamisel vajab pikaajalisemat testimist. See eeldaks põhimõttelisi muudatusi senises digitaalses isikutuvastuses, sealhulgas uut riskide ja kasude kaalumist ning õigusnormide kehtestamist. Enne e-hääletamise kasutuselevõttu olime nii avalikus kui ka erasektoris digitaalse identiteedi põhimõtteid katsetanud ja turvatestinud sadade teenuste abil. Kuna biomeetria kasutamine laiemalt ei ole praegu kuigi palju reguleeritud ning puudub ülevaade, millised oleksid kõige turvalisemad lahendused, ei tohiks  selle võimaluse lisamisega kiirustada. Lisaks tekib rida korralduslikke küsimusi, nagu korraliku kaamera ja muude vahendite olemasolu, mis võib mõjutada e-hääletamisel osalemist.

Näotuvastuse lisamine tulevikus eeldaks, et nii seadusandlikul tasandil kui ühiskonnas laiemalt on läbi arutatud privaatsusriive küsimus (kui kaamera võtab üles kodused tingimused), aktsepteeritav veamäär ning ligipääsetavuse küsimus (kui inimesel ei ole piisavalt head internetiühendust või kaamerat, et osaleda demokraatlikus protsessis). Alles seejärel tulevad mängu uue arenduse mahud, selle arenduse uued küberturvalisuse aspektid ja andmekaitseküsimused. RIA kavatseb kompetentsikeskusena selles diskussioonis aktiivselt kaasa rääkida.

Ühine küberüksus Euroopale?

Euroopa Komisjon on üheks küberturvalisuse valdkonna prioriteetseks teemaks võtnud solidaarsusprintsiibi rakendamise – kui siiani tegutsevad CSIRTide ja CyCLONe võrgustikud näevad ette tiheda teabevahetuse tehnilisel ning operatiivsel tasemel, siis komisjoni pakutud ühine küberüksus (Joint Cyber Unit) hakkaks konkreetselt ka laiaulatuslike intsidentide haldamisega tegelema.

Komisjoni teatisest loeb välja, et plaan on luua nii füüsiline kui virtuaalne platvorm, ilma uue juriidilise kehandita. Füüsiline platvorm hakkaks paiknema CERT-EU ja ENISA Brüsselisse loodava esinduskontori pindadel. Üksuse löögihaare oleks üsna lai, kuna komisjon on ette näinud, et sellest saab teabevahetus- ja operatiivkoostöö platvorm nii tsiviil-, militaar- kui luurekogukondade jaoks. Infovahetusse ja õppustele kaasataks ka teatud erasektori esindajad.

Ühise küberüksuse keskseks sambaks saaksid kiirreageerimisüksused, mis koosneksid liikmesriikide nimetatud ekspertidest ning mida oleks võimalik abi vajavasse liikmesriiki saata. Komisjon on samuti seadnud eesmärgiks leppida kokku ühtses EL-i küberturvalisuse kriisi halduse plaanis.

Kuna kõnealune komisjoni plaan ei ole seotud ühegi seadusandliku aktiga, saab selle rakendamine toimuma liikmesriikide ja EL-i ametite vaheliste koostöölepete toel. Ühise küberüksuse edukus sõltub juba suuresti sellest, kui palju oma ressurssi on liikmesriigid nõus ühistegevustesse panustama. Üksuse peamine rahastus peaks tulema Digitaalse Euroopa programmist.

Küberüksus peaks soovituse kohaselt olema töövõimeline järgmise aasta lõpuks, kuid esialgsed tegevused, nagu võimekuste kaardistamine, toimuvad juba selle aasta sees. Sügiseks saab aimdust ka sellest, millise vastuvõtu saab komisjoni ettepanek liikmesriikide ja Euroopa küberkogukonna poolt.

 

Läheb hästi

DigiTesti kasutajate arv kasvab jõudsalt

RIA pakub koostöös küberturbe-ettevõttega CybExer Technologies e-õppe lahendust DigiTest, mille eesmärk on tõsta avaliku sektori töötajate küberteadlikkust. Juuni keskpaiga seisuga oli DigiTesti läbinud üle 16 200 avaliku sektori töötaja. Seda on ligikaudu 70% rohkem kui kaks aastat varem. Juunis lisandus DigiTesti värske õppemoodul, mis keskendub kaugtööga seotud riskidele.

Saaks paremini

Koolid küberrünnakute all

Mais ja juunis – tasemetööde, eksamite ja kontrolltööde tippajal – sagenesid rünnakud koolide vastu. Enamasti püüti haridusasutuste tööd häirida teenusetõkestusrünnakutega, kuid mõnel juhul ka lunavaraga. Pahatihti on selliste rünnakute taga sama kooli õpilased, kes loodavad ekslikult, et pääsevad niimoodi eksamist või kontrolltööst. Soovitame rünnaku tellimiseks, ettevalmistamiseks ja läbiviimiseks kulutatud aja siiski tarvilikemate teadmiste hankimiseks pühendada.

 

Trendid ja tähelepanekud küberruumis – II kvartal 2021 failina (2.17 MB, PDF)

Veel uudiseid samal teemal

12.10.2021

Trendid ja tähelepanekud küberruumis – III kvartal 2021

12.10.2021 – Teemad: Confluence'i turvaaugu kaudu rünnati Eesti riigiasutuste siseveebe, taakvara on valupunkt nii avalikus kui ka erasektoris, krüptorahaga seotud petuskeemid tõusuteel, ööpäev Eesti küberruumis: nakatumised, rünnakud ja haavatavused.

06.10.2021

MKM: Riik võtab uuel aastal ette digiriigi taakvara probleemi

6.10.2021 – Ettevõtlus- ja infotehnoloogiaminister Andres Suti sõnul keskendub riik järgmisel aastal riigi oluliste infosüsteemide uuendamisele ja ülalhoiu tagamisele, et vähendada küberturbe riske ja tagada digiriigi jätkusuutlikkus. Selleks eraldati 2022. aasta riigieelarvest täiendavad 14,4 miljonit eurot.