- Jätkusid teenusetõkestusründed ja 16. veebruaril ei olnud lühiajaliselt võimalik teha kõnesid hädaabinumbrile.
- Aitasime tagada tagada valimiste, sh e-hääletamise turvalisust ja pakkusime tehnilist tuge.
- Veebruaris möödus aasta Venemaa täiemahulisest invasioonist Ukrainasse ja küberründed jätkusid.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele.
Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke.
Õngitsuslehed moodustavad jätkuvalt kõige suurema osa CERT-EE registreeritud intsidentidest.
Olukord Eesti küberruumis
Samal päeval, kui algas 2022. aasta tulude deklareerimine ehk 15.veebruaril, sooritati teenusetõkestusrünne Maksu- ja Tolliameti kodulehe emta.ee vastu. Rünnak kestis ligi 4 tundi ja mõjutas ka teiste riigiasutuste veebilehtede tööd. Samal ajal toimus katkestusi valitsus.ee, envir.ee, fin.ee, transpordiamet.ee, vm.ee, ttja.ee, siseministeerium.ee, harno.ee, ria.ee, hm.ee, emta.ee, cert.ee, kul.ee, agri.ee, mkm.ee, riigikantselei.ee ja kriis.ee töös.
16. veebruaril ajavahemikul 14.13 kuni 18.30 olid rivist väljas paljud Siseministeeriumi infotehnoloogia- ja arenduskeskuse (SMIT) teenused. Mõjutatud olid mitmed Siseministeeriumi haldusala asutuste teenused, nende hulgas ka kõned Häirekeskuse numbrile 112. Katkestuse põhjustas viga võrguseadme seadistamisel.
Veebruaris oli kokku kolmel korral probleeme tervise infosüsteemi töös. 6.veebruaril ajavahemikul 12.47 kuni 13.10 ei olnud võimalik kasutada Haigekassa põhiteenuseid. 21. veebruaril olid katkestused ajavahemikul 11.03 kuni 13.53 ja 15.46 kuni 16.44, mil esines häireid tervise infosüsteemi päringute teenindamisel. Intsidentide põhjust ei ole hetkel teada.
Ühe IT teenusepakkuja vastu toimus lunavararünnak, mille käigus krüpteeriti serverites ja töökohaarvutites olnud andmed ning varukoopiad. Ründe tõttu katkes töö kahes ettevõttes, kellele rünnaku alla sattunud IT-firma teenuseid osutab. Endiselt soovitame hoida varukoopiaid eraldi serveris või välisel andmekandjal, et lunavararünde puhul oleks võimalik andmeid taastada.
Taas levisid näiliselt Tallinna Ülikooli nimel saadetud pahavaraga kirjad. Kirjadele oli lisatud manusena troojan-tüüpi pahavaraga nakatunud DOCX-failid, mille avamisel oli ründajal võimalik saada ligipääs kasutaja seadmele. Kirjade pealkirjaks oli „Kiireloomuline: päring (projekti eelarve 2023)“ ja neis kutsuti üles tutvuma tellimusega ning esitama enda hinnapakkumine. See on juba mitmes kord, kui pahavara levitatakse ülikoolide andmeid võltsivate õngitsuskampaaniate kaudu. Sellised kirjad tuleks edastada CERT-EE meeskonnale uurimiseks ning seejärel kiri kustutada. Kõige olulisem on manust mitte avada.
Endiselt näeme palju kasutajakontode ülevõtmisi. Enamasti on need kas e-posti või sotsiaalmeedia kontod, mis satuvad kurjategijate küüsi. Üldjuhul ei saa kasutaja enam ise enda kontole ligi, kuna seotud e-posti aadress ja parool on ära vahetatud ning ligipääsu taastamine on küllalt keeruline. Tihti on e-posti kontoga seotud paljude teiste keskkondade paroolide taastamine, mis annab ründajale võimaluse ka need salasõnad ära muuta. Soovitame taolise olukorra vältimiseks kasutada alati kui võimalik kaheastmelist autentimist.
Tegevused küberturvalisuse parandamisel Eestis
Alates 26. veebruarist kuni 6. märtsini oli RIA kõrgendatud valmisolekus. Valmisoleku tõstmine oli vajalik selleks, et tagada valimiste, sh e-hääletamise turvalisus ja tehniline tugi. 27.veebruaril algas valimisnädal e-hääletamise ning eelhääletamisega omavalitsuste ja Tallinna linnaosade keskuste jaoskondades. Elektrooniliselt sai hääletada kuni 4. märtsini. Riigikogu valimiste päev oli 5. märtsil.
Veebruaris külastasid RIA-t Ukraina koostööpartnerid, kes on loonud DIIA nimelise mobiiliäpi ning aitavad arendada ka mRiiki. Koostöö RIA ja Ukraina ettevõtte vahel algas juba 2022. aasta kevadel, kui Eestis oli mRiigi arendus juba hoo sisse saanud. Ukraina ettevõttega jagati äpi arendamise know how-d ja teadmisi toimivatest praktikatest. Siiani on koostöö olnud virtuaalne ja seekordse kohtumise eesmärk oli tugevdada sidemeid, viia kokku ekraani taga olevate inimeste näod ja nimed ning teha koos erinevaid töötubasid.
RIA esitas 15. veebruaril ID-kaartide sertifitseerimise eest vastutavale SK ID Solutions AS-ile ettekirjutuse, millega kohustas ettevõtet peatama ID-kaartide sertifikaatide väljastamise Selverite infolettidest ja tunnistama kehtetuks Selveris juba välja antud kaartide sertifikaadid. Seoses RIA ettekirjutusega peatas PPA 16. veebruarist Selverite infolettides ID-kaartide, elamisloakaartide ja digitaalsete isikutunnistuste väljastamise ning Selveritesse dokumendi tellinud inimestele väljastatakse dokument PPA teenindustest. Peatatud sertifikaatidega dokumendid vahetatakse samuti välja PPA teenindustes. PPA sõnul kehtib Selveris kätte saadud ID-kaart isikut tõendava dokumendina edasi ja seda saab kasutada nii reisimisel kui ka näiteks retseptiravimite ostmisel. Passide väljastamine Selverites jätkub, kuna seda teenust RIA ettekirjutus ei puudutanud.
Juhtisime RIA blogis tähelepanu Apple´i seadmete uuendamise vajadusele. Sellest, ja teistest olulistest turvanõrkustest saad täpsemalt lugeda RIA blogist.
RIA riigi infoturbe meetmete osakonnajuhataja Rain Ojastu ja juhtiv küberturbeekspert Mari Seeba andsid taskuhäälingus “Kriitiline intsident” ülevaate sellest, miks on GDPRi vaktsiiniks kutsutav E-ITS oluline. Kuula 27. jaanuari episoodi Apple Podcastist, SoundCloud´ist või Spotifyst. Alates 1. jaanuarist jõustus valitsuse määrus, millega kehtestati uus Eesti infoturbestandard, mis põhineb riskijuhtimisel ja aitab määrata parimad infosüsteemide kaitsemeetmed.
Rahvusvaheline keskkond
Veebruaris möödus aasta Venemaa täiemahulisest invasioonist Ukrainasse ja küberründed jätkusid. Näiteks olevat Ukraina nn IT-armee pääsenud ligi Gazpromile ja nende 1,5 GB arhiivile, mis sisaldavat infot ettevõtte majandustegevuse, puurimiste ja automaatsüsteemide kasutamise kohta Irkutski oblastis. Samuti oli Ukraina IT-armee häirinud mitme Vene meediasaidi tööd Vladimir Putini kõne ajal ning invasiooni aastapäeval näotustati vähemalt 32 Vene veebilehte, kus kuvati pilti põlevast kremlist.
Lisaks IT-armeele toimetasid ka Anonymouse rühmitusega seotud häkkerid, kes lekitasid väidetavalt Vene telekomi Convexi andmed. Varastatud dokumentides olevat tõendusmaterjali Vene julgeolekuteenistuse FSB luuramisest Vene kodanike ja eraorganisatsioonide järele.
Aktiivsed olid ka Vene häkkerid. Näiteks saadeti Ukraina organisatsioonide pihta uut tüüpi infot varastavat pahavara. Korraldati ka teenustõkestusründeid mitme Euroopa üksuse pihta. Muuhulgas väideti ründavat kommunikatsioonikanaleid NATO ja sõjaväelennukite vahel, mis tegelesid Türgi-Süüria maavärina ohvrite abistamisega. Sihtmärkide seas oli kuu jooksul ka näiteks Saksa lennujaamade veebilehed, Rootsi meediaväljaanded ning Euroopa ja USA haiglate veebilehed.
Veebruaris oli päevakajaline ka Hiina küberoht, mille osas jagasid hoiatusi ELi küberturvalisuse agentuur ENISA ja CERT-EU. Ühise raporti teatel sihivad mitmed Hiina riiklike sidemetega küberrühmitused ELi valitsusorganisatsioone ja ettevõtteid, et sealt andmeid varastada. Lisaks teatas Austraalia kaitseministeerium, et oma hoonetes kõik Hiina ettevõtete turvakaamerad.
Venemaa nn internetivalvur Roskomnadzor keelas tundliku info kaitseks alates 1. märtsist osades riigiasutustes välismaiste sõnumirakenduste kasutamise. Nende seas on näiteks USA ettevõtete rakendused Discord, MS Teams, Skype for Business, Snapchat, WhatsApp, aga ka näiteks Dubais baseeruv Telegram, Šveitsis asuv Threema, Hiina ettevõttele kuuluv WeChat ja Jaapani ettevõttele kuuluv Viber.
Oli ka mõjukaid lunavararündeid. Näiteks sai haigla Floridas pihta küberrünnakuga ja seetõttu peatati tegevused, mis ei puuduta erakorralist meditsiini. Ka rahvusvahelise haardega puuviljade ja juurviljade tootja Dole Food Company pidi lunavara tõttu lülitama välja oma süsteemid, mis mõjutas kaupade tarnet mitmesse USA osariiki. Lunavaraga sai pihta ka Portugali vee-ettevõte Aquas do Porto, mille osad teenused olid rivist väljas, kuid mitte veevarustus ja kanalisatsioon.
