VIDEO JA FOTOD | Lekkinud terviseandmed, informatsiooni vargused, finantspettused ja katkenud ühendus häirekeskusega — 2018. aasta pakkus küberruumis rohkelt väljakutseid
Eesti väike- ja keskmise suurusega ettevõtted kandsid 2018. aastal vähemalt 600 000 eurot kahju, selgub täna avaldatud riigi infosüsteemi ameti (RIA) küberturvalisuse aastaraamatust.
RIA küberturvalisuse teenistuse juhi Uku Särekanno sõnul on erasektori puhul põhjust muretsemiseks. “Mitte kõik ettevõtete juhid ei taju küberturvalisusega seotud riske, ei investeeri sellesse. Need intsidendid, millest meile raporteeritakse, annavadki tunnistust sellest, et pilt kõige kenam ei ole. Aastate jooksul on asi paremaks läinud, eelkõige kriitilise infrastruktuuri osas ja elutähtsate teenuste osutajate osas, aga ei saa kindlasti öelda, et see tööpõld oleks küntud ja kõik oleks korras,” rääkis Särekanno Delfile.
Ettevõtjad kannatasid kahju peamiselt tegevjuhi petuskeemi ja meilivestluste kaaperdamisest alanud finantspettuste tagajärjel.
Nn tegevjuhi petuskeem seisneb selles, et ettevõtte tippjuhi nimelt saadetakse raamatupidajale lühike ja lakooniline küsimus, kas on võimalik kiiresti saata mingi summa võõrale arveldusarvele. Enamasti kasutatakse võõrast meiliaadressi, mille omanikuks on lihtsalt lisatud tippjuhi nimi.
Meilikontode kompromiteerimine seisneb selles, et kurjategijad püüavad ettevõtetelt raha välja petta, kasutades ära kompromiteeritud meilikontode ja meilivestluste sisu. “Pikema meilivestluse ühes etapis palub kompromiteeritud partner muuta ettevõtete omavahelise ülekande jaoks pangakonto andmeid. See tähendab aga, et ühe lühikese perioodi jooksul ei tea kumbki osapool, et meilivestlused on kaaperdatud,” märgitakse aastaraamatus.
“Kahju kogusummast olulisem on see, et väikesele Eesti ettevõttele on ka 10 000- või 20 000-eurone väljaminek kurjategijatele märkimisväärne kaotus — selliseid kahjusummasid nägime keskmiselt korra nädalas. Ettevõtted kaotasid eelmisel aastal ka kliente ja käivet nendel päevadel, kui nad parasjagu lunavaraintsidentide tõttu oma andmeid taastasid,” märgitakse aastaraamatus.
Väärib rõhutamist, et need summad ei peegelda kogu kahju Eesti majandusele.
“See 600 000 oli ainult see info, mis laekus CERT-i (RIA intsidentide lahendamise osakond) erinevate finantspettuste kohta. Tervikpilti, kui palju keegi on kahju kannatanud, ei ole. Selge on see, et mida me näeme selle 600 000 näol, on lihtsalt jäämäe tipp. Kui võtta üksikud intsidendid, kus lunavaraga on halvatud kogu suure ettevõtte töö, siis see kahju, mida nad näiteks müügist saamata jäänud tulu pealt või uute investeeringute tõttu on pidanud kannatama, on kindlasti oluliselt märkimisväärsem, kui see 600 000, millest meile raporteeriti,” sõnas Särekanno.
Särekanno märkis, et RIA on oma tähelepanu üha enam tavakasutajatele ja erinevate ettevõtete poole suunanud. “Kahjuks see nii on, et andmemahtude kasvades, asjade interneti saabumisega ründevektorite arv on kasvanud ja lõppkasutaja roll on oluliselt suurem. Küberruum on täpselt nii turvaline, kui on kõige ebaturvalisem kasutaja seal.”
Uuendamata tarkvara ja nõrk parool tekitavad suure ohu
Küberkurjategijad püüavad endiselt ära kasutada väikeettevõtetele ja kodukasutajatele mõeldud internetiruutereid, et varastada informatsiooni, peita pahatahtlikke tegevusi ja kaevandada krüptoraha.
Haavatavuse peamine põhjus on uuendamata tarkvara.
Samuti nägi RIA, et suurt osa Eesti ettevõtete ja asutuste meilikontosid on jätkuvalt võimalik lihtsasti võltsida ning niimoodi pahavara levitada või paluda valedele kontodele raha saata.
“Mõned e-postiserverite turvalisuse jaoks mõeldud turvalisusprotokollid ja tehnoloogiad on aastaid vanad. Samamoodi kompromiteeritakse veebiservereid ja -lehekülgi, millel pole tarkvara uuendatud või turvastandardeid rakendatud,” lisatakse aastaraamatus.
Nõrkusi otsitakse kõikjalt ja nii piisab vaid ühest nõrga parooliga kasutajast, kui tema kaudu pääsetakse ettevõtte serverisse.
“Samuti ei näinud me kindlat mustrit nende lunavaraohvrite seas, kes olid oma serverisse jätnud kaugtöölauaprotokolli kaudu ligipääsu avatuks — kui niisugune võimalus serverist avastati ja leiti üks nõrga parooliga konto, sai just see organisatsioon pihta,” sedastatakse aastaraamatus.
“Laiemalt levinud pahavarakampaaniate puhul ei paistnud kurjategijatel samuti väga palju vahet olevat, millise ettevõtte töötaja õngitsuskirjas lingile vajutab ja pahavara endale arvutisse tõmbab,” kirjeldab RIA.
Küberintsidendid tervishoius ja kaitseväes
Kuigi Särekanno rõhutas eelkõige ettevõtete ja eraisikute küberhügieeni probleemi, esines möödunud aastal tõsised intsidente ka riigisektoris. Ühe märgilise sündmusena tõi Särekanno välja maa-ameti serveriruumi põlengu.
Teise konkreetse näitena tuuakse küberturvalisuse aastaraamatus välja, et ühe perearstikeskuse infosüsteemid krüpteeriti lunavaraga, mis häiris oluliselt patsientide vastuvõtmist. “Riigi enda dokumendihaldussüsteemides olid valesti märgitud ja seetõttu avalikult nähtaval kaitseväelaste terviseandmed ja koolilaste terviseandmed. See ei ole ainult Eesti küsimus — tervise- ja delikaatsete isikuandmete lekkeid nägime igal pool üle maailma,” rõhutatakse aastaraamatus.
RIA kinnitab, et pidevalt tehti tööd selle nimel, et tervishoiuvaldkond suudaks informatsiooniga turvalisemalt ümber käia. “Korraldasime tervishoiutöötajatele kümneid koolitusi, millel on osalenud sadu tervishoiutöötajaid üle Eesti. Perearstid said eelmisel aastal oma oskuste arendamiseks küberhügieeni digitesti, mida nad on ka tublisti kasutanud. Tellisime eraldi analüüsi perearstide kasutatavatele üleriigilistele infosüsteemidele, mille kaudu terviseandmeid töödeldakse ja tööd korraldatakse,” kirjeldab RIA.
Eesti.ee portaalis haigutas mitu aastat turvaauk, mis võimaldas sisse logida teise kasutajana
Küberturvalisuse raportis avaldatakse ka, et eesti.ee portaali sai läbi pangalingi sisse logida teise kasutajana. Tõenäoliselt juba 2015. aastal tekkinud turvaauk paigati alles eelmise aasta juunis.
“Turvanõrkus seisnes selles, et eesti.ee portaal ei kontrollinud pangalingi kaudu saadud autoriseerimispäringu puhul, kas see oli allkirjastatud panga antud võtmega ning kas see vastas pangalingi tehnilisele kirjeldusele,” selgitati probleemi olemust aastaraportis.
Tänu probleemile saanuks logija siseneda teise inimesena, kui oleks loonud pangalingi poolse valekinnituse ja saata see eesti.ee portaalile sisselogimise kinnituseks. RIA hinnangul oleks sellise rünnaku läbiviimine aga nõudnud põhjalikke tehnilisi teadmisi.
RIA sõnul võttis probleemi lahendamine aega neli päeva, mille vältel oli pangalingi abil eesti.ee portaalile ligipääs keelatud. Ameti hinnangul ei olnud tegemist pahatahtliku veaga, vaid arendaja ja RIA-poolse hooletusega. “Viga tulenes eesti.ee aegunud platvormist ega olnud seotud ühegi panga ega teise e-teenusega,” kirjutati raportis.
Pärast mitmepäevast logide kontrolli jõuti tulemusele, et tõenäoliselt keegi turvaauku ära kasutanud ei olnud.
Tehniline näpuviga katkestas ühenduse häirekeskusega
2018. aasta kõige suurema mõjuga intsident juhtus kohe aasta alguses, kui 24. jaanuaril ei olnud suurel hulgal Elisa Eesti klientidel võimalik helistada hädaabinumbrile 112. Kaheksa ja poole tunni jooksul püüdsid 151 abivajajat teha kokku umbes 600 kõnet ega saanud häirekeskusega ühendust. Õnneks lõppes juhtum tõsiste tagajärgedeta.
“Kuigi esimene ebaõnnestunud kõne Elisa võrgust tehti häirekeskusele hommikul kell 10.40 (112-le helistanud kuulsid vastuseks teadet “Number ei ole kasutusel”), tuvastati rike alles kaheksa tundi hiljem,” seisab aastaraamatus.
RIA on välja selgitanud, et rikke põhjustas samal hommikul tehtud võrgu konfiguratsiooni muudatus. Ühe varasema vea parandamise käigus aga ei märgatud, et see mõjutab ka helistamist numbrile 112.
Viga ei mõjutanud kõiki Elisa kliente, vaid ühe keskjaamaga ühendust võtvaid mobiilikasutajaid, sealhulgas välismaa operaatorite kliente, kes kasutasid Elisa roaming-teenust. Samas ei ole teada, kui palju hätta jäänud klientidest leidis abi saamiseks alternatiivseid võimalusi — kõne tegemist teise telefoni kaudu, SIM-kaardi eemaldamist või pöördumist politsei poole, helistades numbrile 110.
“Juhtum näitas ilmekalt, kuidas ühest väikesest administreerimisveast võib tekkida olukord, mis mõjutab otseselt inimeste elu ja tervist. Elisa ise päeva jooksul probleemi ei märganud ja sai intsidendist teada vaid tänu SMIT-ile,” seisab aastaraamatus.
Küberturvalisusega seotud intsidentide arv kasvas poole võrra
Möödunud aastal kasvas hüppeliselt küberturvalisusega seotud teavituste arv, kuid kriitilisi intsidente oli võrreldes üle-eelmise aastaga vähem.
CERT-i teavitati möödunud aastal küberturvalisusega seotud probleemidest 17 440 korral, mille hulgas registreeriti 3390 andmeid või infosüsteeme mõjutanud intsidenti. Kriitilisi intsidente, mis puudutasid näiteks elutähtsaid teenuseid, oli 76, mida oli 37 protsenti vähem kui 2017. aastal, selgub RIA küberturvalisuse aastaraamatust.
Võrdluseks, 2017. aastal küündis kogu teavituste arv 10 649-ni.
Särekanno hinnangul põhines intsidentidest teavitamise suur kasv eelkõige kolmele asjaolule. “Esiteks jõustus küberturvalisuse seadus, mis pani oluliselt laiemale ringile asutustest kohustuse CERT-i intsidentidest raporteerida. Teiseks, me viisime meediasse mitu erinevat juhtumit — nii finatspettuste kui ka lunavara kaasuste osa —, mis tõmbasid tähelepanu ja mille tulemusel tõenäoliselt kasvas ka teavituste arv. Kolmandaks on erinevad tehnilised lahendused, mida me oleme arendanud, võimaldanud meil endil panna tähele rohkem näiteks riigi võrgu puhul.”
Särekanno rõhutas, et kriitilisi intsidente, kus oleks olnud oht inimeste tervisele, elule või mõne elutähtsa teenuse osutamisele, oli möödunud aastal oluliselt vähem kui 2017. aastal. “Aga neid oli üksjagu ja need ei olnud väga kerged kaasused,” lisas ta siiski.
Samas tõdes Särekanno, et kriitiliste intsidentide arvu vähenemine oli kindlasti osalt ka juhuslik, ent ta usub, et küberturbesse on aastate jooksul ka üha enam investeeritud.
“Me ise oleme püüdnud elutähtsate teenuste osutajate juhtkondade teadlikkust tõsta, käia ja pakkuda neile teenuseid, mis aitaksid juhtkonnal tajuda riske ja teha investeeringuid. Näiteks me käime ja teeme läbistavusteste erinevate elutähtsate teenuste osutajatele, et tuua välja kõik turvaaugud, mis neil on, ja anda soovitused investereinguteks. Kuna me teeme neid tasuta, siis see on taganud selle, et juhtkondadel on huvi nende tegemise vastu. Ja teisalt, kui nad on saanud need raportid, on tehtud parandusi ja süsteemi üldine käideldavus ja turvalisus on paranenud,” lausus Särekanno.
Riskid on suured, kuid meil on hea võimekus
“Kõige suuremad riskid avalikus sektoris seonduvad peaasjalikult kahe asjaga. Esiteks vanad platvormid, erinevad süsteemid, mis meil on aastaid jooksnud ja mille arvelt kasvab aasta-aastalt turvariskide arv. Teine pool on see, et me oleme väga suures sõltuvuses muust maailmast. Tarneahelad, olgu see kasvõi ID-kaardi osas, on tegelikult sellised, kus me 100 protsenti kõiki komponente ei kontrolli. Isegi, kui meil on parimad lepingud, parimad sertfikaadid, on alati risk, et selles tarneahelas võib minna midagi valesti. Ja seda me nägime ka 2017. aastal ID-kaardiga. Need on Eesti e-valitsemise puhul kaks võtmemuret,” kirjeldas Särekanno.
Euroopa kontekstis peab Särekanno Eesti küberruumi suhteliselt turvaliseks.
“Kui vaadata organisatsioonilises plaanis, siis ma arvan, et meil on väga hea võimekus küberturvalisuse teemadega tegeleda. Meil on näiteks riigisektoris info- ja võrguturbe meetme kogum ISKE olnud kasutusel juba pea 15 aastat. Meil on olemas operatiivkeskus CERT juba aastast 2006. Meil on olnud süsteemne lähenemine küberturvalisuse strateegia kaudu juba aastast 2007. Meil on asjad läbi mõeldud ja kui vaadata seda, et kuidas näiteks Euroopas on reguleeritud info- ja võrguturbe korraldus, NIS-direktiiv, siis see peegeldab väga suures osas meie praktikat ja meie kogemust,” rõhutas Särekanno.
“Organisatoorselt ja seaduslikult, regulatsiooni mõttes oleme üsna heal järjel. Ma usun, et meie riigil on ka hea võimekus. Meie elektrooniline identiteedihaldus ja X-tee on heaks osaks vundamendist, mille peal on saanud pikka aega turvaliselt sõita,” lisas ta.