- Mais krüpteerisid ründajad Tallinnas tegutseva ettevõtte andmed. Saime mitmeid teavitusi võltsitud veebipoodidest ja Tervisekassa nimel tehtud petukõnedest.
- Osalesime rahvusvahelisel küberkaitseõppusel Locked Shields. Uuendasime ettevõtte küberturvalisuse lühijuhendit. Avaldasime infoturbe meetmete komplekti väikestele asutustele ja ettevõtetele.
- CISA, FBI ja energeetikaministeerium andsid välja hoiatuse, mille kohaselt on sagenenud ründed USA energiaettevõtete tööstusseadmete vastu. Uurijad avastasid mõnedes Hiina päritolu päikesepaneelide inverterites varjatud kommunikatsiooniseadmeid.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele.
Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke.
Õngitsuslehed moodustavad jätkuvalt suurema osa CERT-EE registreeritud intsidentidest. Alates selle aasta jaanuarist registreerime lisaks petulehti, mistõttu on õngitsuslehtede arv vähenenud.
Olukord Eesti küberruumis
12. mail krüpteerisid ründajad Tallinnas tegutseva ettevõtte andmed, mille tagajärjel polnud selle ärirakendused enam kasutatavad. Varukoopiaid hoiti samas võrgus ning seetõttu olid ka need krüpteeritud. Esialgse info kohaselt tungisid ründajad ettevõtte süsteemidesse uuendamata tarkvara turvanõrkuste kaudu ning tegid seda juba pool aastat tagasi. Lunavararünded saavadki tihti alguse kas paikamata tarkvarast või internetile avatud kaugtöölaua protokolli (RDP) ühendusest. Eelmisel kuul uuendasime ka ohuhinnangut, milles tõime välja soovitused lunavararünnete ennetamiseks.
17. mail ajavahemikul 3.15 kuni 5.20 ei toiminud Tallinna Lennujaama ABC väravad ehk automaatne piirikontroll. Intsidendist olid mõjutatud nelja lennu reisijad. Teenuse ja väravate taaskäivitamise järel nende töö taastus. Katkestuse põhjuseks oli ühenduse katkemine veebiserveri ja ABC väravate vahel.
29. mail umbes kella 15 paiku hakkasid tõrkuma Ida-Tallinna keskhaigla IT-teenused, sh sisevõrk, välisvõrk, WiFi, e-posti server ning ka patsientide raviks kasutatavad süsteemid. Haiglas kuulutati välja kriisiolukord: operatsioonid lükati edasi ning erakorralise meditsiini osakonda saabunud patsiendid suunati teistesse haiglatesse. Võrkude töö taastati umbes 2,5 tunni möödudes. Katkestuse põhjustas võrgu hooldustööde käigus tekkinud rike, mille tõttu ei saanud serverid vajalikele andmetele ligi.
Maikuus teavitati meid mitmel korral võltsitud veebipoodidest. Sotsiaalmeedia kaudu meelitatakse kasutaja veebipoodi väga soodsate pakkumiste kaudu – näiteks väidetakse, et majanduslike raskuste tõttu tuleb pood sulgeda ja toimub kaupluse lõpumüük. Tegelikult on e-pood loodudki vaid pangakaardiandmete või internetipanka sisenemiseks vajalike andmete õngitsemiseks. Soovitame alati enne e-poest ostu tegemist uurida selle kohta internetist ja lugeda teiste kasutajate tagasisidet. Kui otsides ei tule infot e-poe kohta, siis tõenäoliselt on tegemist libalehega. Soovitame ka lugeda IT-vaatliku portaalis olevaid nõuandeid, mida jälgida veebipoest ostes.
Nii nagu möödunud kuul, levisid taas Tervisekassa nimel tehtud petukõned. Näiteks väideti kõnedes, et isikul on jäänud kasutamata tervisehüvitis ja pakuti võimalus see uude aastasse üle kanda. Kõned muutuvad järjest usutavamateks ja neis räägitakse korrektses eesti keeles. Oma soovi palutakse kinnitada kas Smart-ID või Mobiil-ID PIN-koodide abil. See aga võib anda ligipääsu Sinu pangakontole ja võimaluse sealt ülekandeid sooritada. Soovitame jätkuvalt kõikvõimalikud petukõned koheselt katkestada ja kindlasti ei tohiks nende käigus jagada enda isikuandmeid ega sisestada PIN-koode.
RIA tegevused küberturvalisuse parandamisel Eestis
Osalesime 5. maist kuni 9. maini rahvusvahelisel küberkaitseõppusel Locked Shields. Õppusel osales kokku 4000 eksperti 41 riigist. Osalejad olid jagatud 17 rahvusvahelisse meeskonda, kelle ülesanne on kaitsta õppuse tarbeks loodud, kuid päris elule vastavaid IT-süsteeme ja kriitilise taristu komponente – näiteks elektrivõrgud ja 5G-sidevõrgud. Nagu ka varasemalt, olid õppusel punane meeskond ehk ründajad ja sinine meeskond ehk kaitsjad. Locked Shields toimus tänavu juba 15. korda.
Uuendasime ettevõtte küberturvalisuse lühijuhendit. Juhend on mõeldud selleks, et aidata ettevõtetel astuda esimesi samme küberturvalisemate äriprotsesside suunas. Lühijuhendist leiad näiteks info, kuidas kaitsta ettevõtte vara ja töötajaid, kuidas ära tunda rünnakuid ja valmistuda intsidentideks.
Avaldasime infoturbe meetmete komplekti väikestele asutustele ja ettevõtetele. Lisaks on E-ITSi portaalis nüüd võimalik kasutada tugirakendust. E-ITSi tugirakendus (tuntud ka kui „võlur“) on veebipõhine tööriist, mille eesmärk on toetada organisatsioone Eesti Infoturbestandardi nõuete rakendamisel. Tegu on abivahendiga, mis aitab läbida infoturbehalduse protsessi teatud samme ning annab võimaluse püsida kataloogi uuendustega pidevalt kursis. Mais toimus ka kaks E-ITSi kaasamisseminari, kus jagasime E-ITSi rakendajatele praktilisi nõuandeid ja soovitusi, mis lihtsustavad standardi sisust arusaamist ja standardi rakendamist. Toimunud seminaride ettekandeid on võimalik järele vaadata.
12. maist ootame taotlusi küberkiirendi uude vooru. Riigi Infosüsteemi Amet (RIA) ja Tehnopol Startup Inkubaator kutsuvad Küberkiirendi uues voorus osalema küberturvalisuse valdkonna idufirmasid, kel on võimalik saada oma ideede arendamiseks nõu valdkonna parimatelt mentoritelt ja 60 000 eurot toetust. Programmi raames toetatakse varajase faasi küberturvalisuse ettevõtteid seitsme kuu jooksul nii toote- kui ka äriarendusega. Rohkem infot leiad Tehnopoli kodulehelt.
15. mail toimus küberkogukonna kohtumine RIA CyberMeetUp. Seekord tegid ettekanded Palo Alto klubis Anni Aleksandrov RIAst, Heisi Kurig Tartu ülikoolist, Dan Bogdanov ja Maria Pibilota Murumaa Cyberneticast, Matthias Mehrtens Niederrheini rakenduskõrgkoolist ja Katarína Galanská Masaryki ülikoolist.
Rahvusvaheline olukord
Aprilli lõpus ja mai alguses sattus kolm Briti kaubandusketti küberrünnete sihtmärgiks. Luksustoodete kaubamaja Harrods kinnitas, et avastas oma võrgus sissetungi katsed ning võttis seetõttu tarvitusele ennetavad meetmed küberründe tõkestamiseks. Klientidele toimisid teenused nii kauplustes kui ka e-poes tavapäraselt. Nädalapäevad varem teatasid küberründest Marks and Spencer ning Co-op kaupluseketid, esimese puhul oli ka äritegevus tugevalt häiritud. Ligi 70 000 töötajale saadetud kirjas palus Co-op rakendada tavapärasest rangemaid turvameetmeid, näiteks hoida videokoosolekutel kaamera sees. Briti küberturvalisuse keskus nimetas ründelainet äratuskellaks ning kutsus üles jaekaubanduskettide juhte küberturvalisusega seonduvaid soovitusi tõsiselt võtma.
USA küberturbeagentuur CISA, FBI ja energeetikaministeerium andsid välja hoiatuse, mille kohaselt on sagenenud ründed USA energiaettevõtete tööstusseadmete vastu. Ründed on pigem lihtsakoelised, kasutades ära ICS/SCADA tööstusseadmete kohati väga nõrka küberturbe taset. Hoiatuse kohaselt võivad aga ka lihtsate häkkimiste tagajärjeks olla muudatused tööstusseadmete seadetes või halvimal juhul isegi nende füüsiline kasutuskõlbmatuks muutmine. CISA andis välja ka soovitused käidutehnoloogiate turvalisuse tõstmiseks.
Väljaande The Times teatel avastasid uurijad mõnedes USAs ja teistes lääneriikides kasutusel olevates Hiina päritolu päikesepaneelide inverterites varjatud kommunikatsiooniseadmeid. Ekspertide hinnangul on võimalus, et nende seadmete abil saaks kaugjuhtimise teel käivitada inverterite hädaabinupu ja nende töö seisata. Leid annab veelgi hoogu kahtlustele, et Hiina paigaldab läände tarnitavatesse kriitilise taristu seadmetesse oma tarkvara, mida konflikti korral on võimalik kurjasti ära kasutada.
Keskkriminaalpolitsei ja riigiprokuratuur kuulutasid rahvusvaheliselt tagaotsitavaks Maroko kuningriigi kodaniku, keda kahtlustatakse mullu ettevõtte Allium UPI hallatud kliendikaardisüsteemi ebaseaduslikult sisenemises ja andmete allalaadimises. Kriminaalmenetluses kogutud tõendite pinnalt on alust kuriteos kahtlustada 25-aastast Maroko kodanikku Adrar Khaliidi. Politsei ei ole tuvastanud, et alla laaditud Apotheka klientide andmeid oleks kuidagi kuritarvitatud.
Pikaajalise rahvusvahelise politseioperatsiooni Endgame raames võeti mais maha lunavararünnete korraldamisega seotud 300 serverit, 650 domeeni ja konfiskeeriti kurjategijatelt krüptovääringuid miljonite eurode väärtuses. Samuti anti välja 20 rahvusvahelist vahistamisorderit. Operatsioon toimub Europoli ja Eurojusti koordineerimisel ning sinna panustasid Kanada, Prantsusmaa, Saksamaa, Hollandi, UK ja USA uurijad.
Viimati uuendatud 09.06.2025
