- Oktoobris toimus järjekordne suurem ummistusrünnete laine Eesti riigiasutuste ja ettevõtete vastu.
- Algatasime üleriigilise küberturvalisuse teavitus- ja ennetuskampaania, mille eesmärgiks on juhtida tähelepanu küberohtudele. Lisaks toimus RIA aastaseminar koostööpartneritele.
- Austraalia tervisekindlustust pakkuv ettevõte ja USA üks suurimaid haiglakette said pihta lunavararünnakuga.
Olukord Eesti küberruumis
Oktoobris tabas Eesti küberruumi järjekordne ummistusrünnete laine. 8. ja 9. oktoobril registreerisime 17 teenusetõkestusrünnet Eesti asutuste ja ettevõtte vastu. Nende tõttu katkes ligikaudu 15 tunniks Eesti Raudtee veebilehe evr.ee ja e-residentide portaali e-resident.gov.ee töö, samuti mitmeks tunniks veebilehtede tpilet.ee ja pilet.ee töö. Lisaks neile sihtmärkidele püüti üle koormata ka veebilehtede president.ee, valitsus.ee, riigiteataja.ee, err.ee, id.ee, elron.ee, ts.ee, ee.tallink.com, talinn-airport.ee, kardla.tallinn-airport.ee, kuressaare.tallinn-airport.ee ning parnu.tallinn-airport.ee tööd, kuid tänu kaitsemeetmetele polnud neil rünnakutel mõju. Aktiivsem rünnete laine lõppes 10. oktoobri hommikul, kuid teenusetõkestusründeid nägime terve oktoobri jooksul.
Kolmel korral esines katkestusi tervise infosüsteemi töös. 18. oktoobril ajavahemikul 9.45 kuni 10.15 olid häired tervise infosüsteemi ja Digiretsepti töös, mille põhjustasid tõrked teenusepakkuja poolel. Tervise infosüsteemi päringute teenindamine ei õnnestunud ka 28. oktoobril ja 30. oktoobril. 25. oktoobril ajavahemikul 18.10 kuni 20.50 polnud kättesaadav lehekülg praamid.ee. Katkes praamipiletite ostmise võimalus veebis, praamide väljumisaegade kuvamine ja iseteenindusportaal. Katkestuse põhjustas tehniline tõrge.
Serveri rike katkestas Tallinnas asuva perearstikeskuse töö. Kadusid nii andmebaasis olevad andmed kui ka värsked varukoopiaid, mistõttu ei olnud perearstikeskusel võimalik oma tööd jätkata. Viimane toimiv varukoopia oli pool aastat vana ning vahepealset tööd taastada ei olnud võimalik. Meile teadaolevalt ei olnud tegemist rünnakuga, kuid see juhtum ilmestab kui oluline on töötava ja hiljuti loodud tagavarakoopia olemasolu.
Kahel korral said Eesti ettevõtted pihta lunavararünnakuga. Esimesel juhul oli häiritud ettevõtte kontorivõrk, pahavara krüpteeris serverites ja tööjaamades olnud andmed. Teisel juhul oli mõju väiksem, kuna kurjategijatel õnnestus krüpteerida vaid ühes arvutis olnud andmed. Vaatamata sellele, et juhtumitel ei olnud tõsiseid tagajärgi, soovitame ettevõtetes regulaarseid küberturbekoolitusi korraldada. Kõige sagedamini jõuab pahavara ettevõtte või asutuse võrku pahatahtliku e-kirja kaudu, mille on heausklik töötaja avanud.
Saime info umbes sajakonna lekkinud Eesti kasutajakonto kohta. Nende hulgas olid ka riigiasutuste ja ettevõtete töötajate kasutajanimed ja paroolid. CERT-EE teavitas mõjutatud asutusi ja ettevõtteid ning palus muuta vastavate kontode paroolid esimesel võimalusel.
RIA tegevused küberturvalisuse parandamisel Eestis.
3. oktoobril algasküberturvalisuse teavitus- ja ennetuskampaania „Kontrolli üle“, mille eesmärgiks on juhtida inimeste tähelepanu ohtudele, mis kaasnevad hooletu käitumisega arvutis või nutiseadmes. Teavituskampaania keskendub levinumate petu- ja kuriteoskeemidele, mille tagajärjel jäävad sajad ettevõtted ja inimesed ilma olulistest andmetest, kontodest ja rahast. Seekordne teadlikkuse tõstmise kampaania on üles ehitatud 2019. aastast tuttavale „Ole IT-vaatlik“ visuaalile, kampaania materjalid ning soovitused leiab IT-vaatliku kodulehelt.
Aasta kolmandas kvartaliülevaates kirjutasime augustikuisest ummistusrünnete lainest, politseid imiteerivatest petukirjadest ning tutvustasime kolme Eestis levinud pahavara ning nende levitamise viise. Samuti heitsime pilgu Euroopa Komisjoni ambitsioonikale ettepanekule uueks regulatsiooniks, mille tulemusel peaks Euroopas turule jõudvad nutividinad tulevikus olema turvalisemad. Kvartaliülevaate täistekst:
Trendid ja tähelepanekud küberruumis – III kvartal 2022
Korraldasime koostöös Põhja-Eesti Regionaalhaigla ning sihtasutusega CR14 10.–14. oktoobril väldanud ühise küberõppuse. Mängisime õppusel läbi stsenaariumi, kus lunavararünnak lõi haigla süsteemid rivist välja ning ei olnud võimalik oma tavapäraseid tööprotsesse jätkata. Õppuse üheks eesmärgiks oli läbi harjutada käesoleva aasta suvekuudel loodud riikliku küberreservi kaasamine. Küberreservi panustavad nii riiklikud IT-majad kui ka Kaitseliidu küberkaitseüksuse liikmed.
18. oktoobril toimus RIA aastaseminar koostööpartneritele, kus rääkisime nii RIA ees seisvatest väljakutsetest küberruumi kaitsmisel, kriitiliste teenuste kübervõimekusest ning kriisireservi kasutamisest ulatusliku küberintsidendi lahendamisel, küberturvalisuse tagamisest koostöös häkkeritega kui ka uutest arengutest elektroonilise identiteedi maailmas, eesti.ee portaalist ettevõtjatele ja millist lisaväärtust annab e-riigile artiklivaramu. Ettekandeid saab järele vaadata RIA Youtube’i kanalist.
Jätkasime RIA blogis suure mõjuga turvanõrkuste regulaarset kajastamist. Reeglina igal teisipäeval kirjutame blogis eelmise nädala jooksul avaldatud olulisematest turvanõrkustest, mis tooteid need mõjutavad ja millised tagajärjed võivad kaasneda kui tarkvara jätta uuendamata.
Avaldasime E-ITS portaalis uue 2022. aasta versiooni, mis sisaldab muuhulgas ka X-tee meetmeid. Oktoobris jätkusid Tallinna Tehnikaülikooli poolt läbi viidud infoturbe halduse baaskoolitused. Sel sügisel toimub 30 koolitust, mitmed neist on tulemas ka novembris. Täpsem info ja koolituste kuupäevad E-ITSi portaalis.
Rahvusvaheline keskkond
Möödunud kuul tekitasid küberründed tõsist muret Austraaliale. Sealne tervisekindlustust pakkuv ettevõte Medibank sai pihta lunavararünnakuga, mille käigus pääsesid häkkerid ligi nende 2,8 miljoni kliendi isiku- ja terviseandmetele. See on viimastel kuudel üks mitmetest Austraalia inimesi puudutanud andmeleketest. Lisaks paljastas andmeleke Kolumbia peaprokuratuurist 35 Austraalia föderaalse politsei (AFP) salaagenti.
Euroopa riike tabasid oktoobris mitmed teenusetõkestusründed (DDoS). Näiteks ujutasid kremlimeelsed häktivistid üle Bulgaaria presidendi administratsiooni veebilehe. Lisaks said ummistusrünnetega pihta ka Slovakkia parlament, mille arvutid ja telefoniliinid olid rünnete tõttu rivist väljas, ning Poola parlament, mis pidi rünnete tõttu hääletused edasi lükkama.
Venemeelsete häkkerite sihtmärgiks olid tavapärasest intensiivsemalt ka USA asutused. Näiteks tuli teateid rünnetest osariikide veebilehtede pihta ja lennujaamade veebilehtede pihta. Rünnetel polnud mõju lennuliiklusele, aga need tõkestasid reisijatel mõnda aega lennuinfot saada. Rünnete ajendiks olevat kasvanud pinged NATO ja Venemaa vahel. Osade saitide töö oli mõnda aega häiritud.
Ukraina CERT tuvastas uue laine õngitsuskirju, mida oktoobris nende relvajõudude personalile saadeti. Kirjad oleksid saadetud justkui pressiteenistuse poolt ja suunavad vajutama lingile ja faili vaatamiseks PDFi-tarkvara uuendama. Võltsitud uuenduse käivitamisel paigaldatakse seadmesse aga venekeelsele Cuba-nimelisele lunavararühmitusele omane pahavara.
Lunavararünded mõjutasid inimeste elu mitmel pool maailmas. Näiteks USA üks suurimaid haiglakette CommonSpirit Health sai pihta lunavararündega, mistõttu tuli edasi lükata operatsioone ja viibis patsientide ravi. Saksamaal jällegi jäid paljud inimesed ajaleheta, sest meediagrupi Stimme Mediengruppe trükikoda tabas lunavararünnak.
Inimeste elu mõjutasid ka intsidendid internetikaablitega. Näiteks Lõuna-Prantsusmaal lõigati internetikaabel läbi, mistõttu oli probleeme ühendusega Euroopasse, Aasiasse ja USAsse. Lisaks said kahjustada merekaablid Shetlandi ja Šotimaa vahel ning Shetlandi ja Fääri saarte vahel. Fääri telekomiettevõtte sõnul on kaablite kahjustused põhjustanud kalalaevad ja hetkel ei viitavat miski sabotaažile, kuid uurimine veel käib.
Iraani aatomiagentuur teatas, et võõra riigi heaks töötavad häkkerid murdsid sisse nende filiaali võrku ja said ligipääsu e-mailisüsteemile. Oma sõnul lekitasid häkkerid 50 GB andmeid, sh sisemisi kirjavahetusi, lepingud ja ehituskavandeid Iraani Bushehris asuva tuumajaama kohta.
