- Septembris vähenesid teenusetõkestusründed Eesti riigiasutuste ja ettevõtete vastu, kuid nägime taas mitmeid teenuste katkestusi.
- Alustasime RIA blogis regulaarselt turvanõrkuste kajastamist ja korraldasime elektroonilise identiteedi infopäeva.
- Möödunud kuul toimus mitu märkimisväärset küberrünnet ettevõtete pihta. Jätkusid ka sõjaga seotud küberründed.
Olukord Eesti küberruumis
Taas toimus mitmeid teenusekatkestusi, mille põhjuseks oli enamasti kas tarkvara või riistvara rike. 6. septembril ajavahemikul 9.51 kuni 11.50 ei olnud Pärnu Haigla veretalituse osakonnal internetiühendust, kuna teenusepakkuja oli ära muutnud välise IP aadressi. Intsidendi ajal ei saanud veretalitus oma tavapäraseid tööprotsesse jätkata. 7. septembril ajavahemikul 14.10 kuni 14.38 ei olnud võimalik kasutada Haigekassa põhiteenuseid (digiretsept, kindlustatuse kontroll jt) üle x-tee.
Neljal korral katkes Pärnu Sadama veebilehe parnusadam.eu töö ja nende põhjust ei ole teada. Viimase kolme kuu jooksul on Pärnu Sadama veebilehe töös esinenud häireid vähemalt kaheteistkümnel korral. 21. septembril ajavahemikul 20.20 kuni 22.41 ei toiminud Riigi IKT Keskuse (RIT) halduses olevate veebilehed riigiteataja.ee, hm.ee, oiguskantsler.ee, just.ee, riigikohus.ee, rik.ee, vangla.ee, epa.ee ja konkurentsiamet.ee. Intsidendi põhjustas andmekeskuses läbi viidud toimepidevuse test, mille käigus katkes serveriruumi jahutusseadmete töö.
Septembris toimus kordades vähem ummistusründeid, kui neid oli augustis. Enamus DDoS rünnetest ei avaldanud tänu kaitsemeetmetele mõju. 6. septembril ajavahemikul 12.40 kuni 14.36 toimus DDoS rünnak EAS-i hallatavate veebilehtede vastu. Meile teadaolevalt olid mõjutatud estonia.ee, eas.ee, e-resident.gov.ee, ekredex.ee ja investinestonia.com, mis ei olnud kättesaadavad ligi tunni vältel. Septembrikuu jooksul rünnati ka Riigikogu, Keskkonnaministeeriumi, Tallinna Lennujaama, Siseministeeriumi, Vabariigi Valitsuse, Politsei- ja Piirivalveameti ning eesti.ee veebilehti. Olulist mõju neil rünnakutel polnud.
Lõuna-Eesti ettevõtet tabas lunavararünnak, mille tagajärjel oli tootmisjuhtimistarkvara töö häiritud ja ladude andmed kadunud. Hetkel ei ole teada, kuidas täpselt nakatumine toimus, aga enamus lunavararünnakuid sooritatakse kaugtöölaua protokolli (RDP) kaudu. Kui see ühendus jätta turvaliselt seadistamata, siis on kurjategijatel lihtne seadmele ligipääs saada ja see pahavaraga nakatada.
Septembri lõpus hakkasid massiliselt levima näiliselt Omniva nimel saadetud õngitsuskirjad, milles väideti, et saadetise kohaletoimetamine on ootel kuni pakisaaja maksab lisatasu. Kirjale oli lisatud link, mis suunas kasutaja õngitsuslehele enda pangakaardi andmeid sisestama. Soovitame selliseid kirju eirata, kiri kas lihtsalt kustutada või saata edasi CERT-EE aadressile cert(at)cert.ee uurimiseks.
Tegevused küberturvalisuse parandamisel Eestis
Alustasime RIA blogis regulaarselt turvanõrkuste, millel on suur mõju nii maailmas kui ka Eestis, kajastamist. Kirjutame blogis eelmise nädala jooksul avaldatud olulisematest turvanõrkustest, mis tooteid need mõjutavad ja millised tagajärjed võivad kaasneda kui tarkvara jätta uuendamata.
Hoiatasime kahest olulisest turvanõrkusest. Esimene neist on seotud Apple seadmetega ja võimaldab ründajal pääseda kasutaja seadmesse ning saada muuhulgas ligipääs nii kaamerale kui mikrofonile. Haavatavusele on olemas parandus ja Apple seade tuleks uuendada esimesel võimalusel. iPhone telefonid tuleks uuendada kas versioonile iOS 16 või iOS 15.7. iPad tahvelarvutid tuleks uuendada versioonile iPadOS 15.7 ning macOSi kasutavate seadmete puhul on turvaviga paigatud nii versioonis macOS Big Sur 11.7 kui ka macOS Monterey 12.6.
Nullpäeva turvanõrkused avastati ka Microsoft Exchange Server versioonides 2013, 2016 ja 2019 ning ka neist kirjutasime täpsemalt meie blogis.
Korraldasime elektroonilise identiteedi infopäeva, kus rääkisime koostööpartneritele eID arengusuundadest ning mida uut on oodata elektroonilise identiteedi valdkonnas Euroopas. Fookuses olid Web eID (uue arhitektuuriga lahendus veebis autentimiseks ja allkirjastamiseks), GovSSO (RIA poolt pakutav keskse seansihaldusega autentimisteenus), EBSI (Euroopa plokiahela infrastruktuur) ja Digikukkur (Euroopa Liidu järgmine suurprojekt kodanike elektroonilise identiteedi hoiustamiseks).
Septembris jätkusid Tallinna Tehnikaülikooli poolt läbi viidud infoturbe halduse baaskoolitused. Koolituse eesmärk on anda tulevastele Eesti infoturbestandardi (E-ITS) rakendajatele teadmised ja oskused standardi rakendamiseks. Kokku toimub sügisel 30 koolitust, mitmed koolitused on tulemas oktoobris ja novembris. Täpsem info ja koolituste kuupäevad on leitavad E-ITS portaalis. Lisaks alustame kaasamisseminaridega, kus räägime E-ITSi ja infoturbe seadusandluse seisust, erinevate õigusaktide nõuete ühendamisest ning jagame praktikute kogemusi ja nõuandeid neile, kes alles plaanivad uut infoturbe standardit rakendama hakata.
Septembris toimusid peamiselt jätkutegevused varem alustatud järelevalvemenetlustega, kuid lisaks algatasime ühe menetluse, lõpetasime ühe menetluse ja tegime ühe ettekirjutuse.
Avaldasime RIA veebilehel eelmiste aastate jõustunud ettekirjutused, mis on tehtud asutustele ja ettevõtetele. Avaldamise eesmärgiks on praktika läbipaistvus ning ühiskonna infoturbealase teadlikkuse tõstmine.
Rahvusvaheline keskkond
Septembris jätkus aktiivne elu küberruumis seoses Venemaa invasiooniga Ukrainasse. Näiteks Vene sõjaväeluure häkkerid imiteerisid Ukraina telekome, et sealsetele sihtmärkidele ligi pääseda. Lisaks teatas Google, et endise kuritegeliku küberrühmituse Conti liikmed ründavad aktiivselt Ukraina ja Euroopa organisatsioone. Ligipääsude saamiseks esitletakse end näiteks Ukraina küberpolitseina või Elon Muski ja Starlinki esindajatena.
Ukrainal õnnestus aga maha võtta kaks Vene valeinfot levitavat robotvõrgustikku. Näiteks kasutati SSU teatel 7000 võltskasutajaga võrgustikku Ukraina kaitsejõudude diskrediteerimiseks, Venemaa agressiooni õigustamiseks ja Ukraina sotsiaalse ja poliitilise olukorra destabiliseerimiseks.
Möödunud kuu tõi teateid ka mitmetest märkimisväärsetest küberrünnetest eraettevõtete pihta. Näiteks tabas Uberit küberrünne, kus ründajal õnnestus ligi pääseda Uberi sisesüsteemidele ja seal olevatele dokumentidele, sh turvanõrkuste raportitele. Samas ei saanud Uberi väitel häkker ligi tundlikele kliendiandmetele (nt sõitude ajalugu).
Lisaks teatas Austraalia telekomiettevõte Optus, et küberründega varastati neilt ligi 10 miljoni kliendi andmed. Nende seas näiteks klientide nimed, sünnikuupäevad, passinumbrid, koduaadressid, telefoninumbrid jm. Juhtumi järel teatas Austraalia valitsus, et kaalub rangemate küberturvalisuse reeglite kehtestamist telekomidele.
Möödunud kuul ilmusid tumeveebi müüki (väidetavalt) NATO konfidentsiaalsed ja salastatud dokumendid, mis olevat varastatud Portugali relvajõudude juhtivagentuurilt. Dokumendid tuvastas tumeveebist USA infoagentuur, mis koheselt Portugali võime teavitas.
Küberruumis väljendusid ka protestid Iraanis, mis said alguse pärast iraanlase Mahsa Amini surma politseijaoskonnas. Kuna protestide tõttu hakkas Iraan riigis internetiliiklust piirama, siis hakkasid rühmitus Anonymous ja mitmed teised häkkerid Iraani veebilehti ja asutusi ründama ning andmeid lekitama. Lisaks antakse Telegramis, Signalis ja tumeveebis iraanlastele infot, kuidas internetitsensuurist mööda pääseda.
