Küberrünnakud Eestis: mis on viieteistkümne aastaga muutunud?

shape
shape
shape
shape
shape
shape
shape
shape
Küberrünnakud Eestis: mis on viieteistkümne aastaga muutunud?

Novembris 2022 rünnati Eesti Energia kodulehte ja infosüsteeme ning paljude klientide jaoks oli selle üliolulise teenusepakkuja töö häiritud.

See on vaid üks episood meie internetikogukonnale viimasel ajal osaks saanud küberrünnakute laines. Seoses intsidentide sagenemisega tasub meenutada, millised on olnud varasemad suuremad küberrünnakud Eestis ning mida igal ettevõtjal oleks neist õppida.

“Eesti ettevõtted loovutavad küberkurjategijatele aastas umbes 1 miljon eurot,” väidab Riigi Infosüsteemi Amet (RIA) oma laiale tarbijaskonnale suunatud küberturvalisuse teemalisel lehelIT-vaatlik.

Rünnakute arv on viimastel aastatel kasvanud nii Eestis kui rahvusvaheliselt. USA riikliku standardite ja tehnoloogia instituudi (NIST) haavatavuste andmebaasis NVD (National Vulnerability Database) registreeriti 2021. aastal 20 046 haavatavust (2020. aastal 18 351, 2019. aastal 17 382 ja 2018. aastal 17 252).

Erinevate finantspettuste (arvepettused, petukõned, krüptorahaga kauplevad libakeskkonnad jms) kahjude suurust hindas RIA 2021. aastal paari miljoni euro suuruseks.

Pronkssõduri teisaldamine vallandas massilise küberrünnaku

Aastal 2007 toimus pärast Nõukogude sõjamemoriaali teisaldamist Tallinna kesklinnast ehk nn pronkssõduri skandaali massiline rünnak Eesti internetisüsteemide vastu. Mitmete ministeeriumide, parteide, ajalehtede, pankade ja firmade koduleheküljed lakkasid toimimast. Uudisteagentuure, panku ja valitsusasutusi tabas rämpspostituse välkrünnak kohe pärast kuju ümberpaigutamist.

See oli arvatavasti esimene kord, kui laiema avalikkuseni jõudis arusaam, et küberrünnak ei olegi ainult seiklusfilmist tuttav süžee, vaid sihtmärgiks võib olla ka meie väike armas Eesti.

RIA küberintsidentide käsitlemise osakond CERT-EE kirjutab oma tolleaastases kokkuvõttes, et küberründed eesmärgiga häirida erinevate Eesti infotehnoloogiliste süsteemide käideldavust kestsid kokku 22 päeva. Ründed pärinesid valdavalt Botnet-võrgustiku vahendusel välismaistelt IP- aadressidelt Venemaal, aga ka USAs, Jaapanis, Vietnamis, Hiinas ja Egiptuses.

ELi ja NATO informaatikaeksperdid uurisid juhtumit, kuid järeldasid, et hoolimata ebaseaduslikke vahendeid kasutanud organiseeritud rünnakust puuduvad piisavad tõendeid Venemaa valitsuse süü tõestamiseks, kirjutas Välisministeerium oma ülevaates. Eksperdid avastasid enam kui kümme tuhat arvutizombit enam kui 50 riigist, Hiinast USAni, mis osalesid Eesti- vastases rünnakus.

IT-turvalisusega tegeleva ettevõtte F-Secure eksperdi Mikko Hyppöneni sõnul võis küberrünnak olla hoiatus, tekitamaks eestlastes hirmu. Oleks otsustatud korraldada tõeline rünnak, oleks tagajärjed võinud olla võrreldavad katastrooffilmiga.

Alates 2007. hakkas CERT-EE avaldama oma iga-aastaseid küberturvalisuse ülevaateid, kus on ära toodud iga-aastane statistika ja ülevaade olulisematest intsidentidest. Kui 15 aastat tagasi oli ülevaade paari A4 lehe pikkune, siis tänaseks on sellest kasvanud ligi 50 leheküljeline mahukas aastaraamat.

Dokumendifotode skandaal

2021 aastast on eestlastel küberturvalisusega seoses ilmselt kõige enam meeles juhtum, kus üks ründaja leidis turvanõrkuse RIA enda hallatavas süsteemis ning sai ligi sadade tuhandete inimeste dokumendifotodele. 21 juulil 2021 tuvastas CERT-EE, et isikut tõendavate dokumentide andmekogust laaditi ebaseaduslikult alla 286 438 dokumendifotot. Allalaadimine toimus kümne päeva jooksul ja selleks kasutati 9000 Eesti ja välismaa IP-aadressi. Seda võimaldas turvanõrkus pilte vahendavas teenuses (nn pilditeenuses), mida kasutatakse, kui inimene soovib alla laadida enda dokumendifoto.

RIA ja politsei koostöös avastati kahtlustatav juba 24 tundi pärast rünnaku avastamist. Turvanõrkus parandati. Riik algatas koostööprogrammi, kus nn head häkkerid saavad sarnaste turvanõrkuste avastamisel ja parandamisel ulatada ametiasutustele oma abikäe.

Sihikul väiksemad asutused

RIA iga-aastasest küberturbeülevaatest selgub, et lunavaraaintsidentides (pahavara, mis krüpteerib ära arvuti failid ja nõuab nende taastamise eest raha) saavad Eestis pihta väiksemad asutused, kelle puhul esitatakse tihti „vaid“ mõne(kümne) tuhande eurone lunarahanõue. RIA-d teavitati 2021. aastal kokku 30 lunavaraintsidendist (2020. aastal 33). Rünnatava süsteemidesse jõutakse sageli avatud kaugtöölauarakenduse kaudu (Windowsi keskkonnas Remote Desktop Protocol ehk RDP).

RIA soovitab eriti ettevaatlik olla ettevõtetel, kes pakuvad IT-teenuseid kolmandatele osapooltele. “2021. aasta mais pääseti ligi raamatupidamisettevõttele, mille kaudu jõuti ka ühe Läänemaa vallavalitsuse süsteemidesse, kus ebaõnnestunult üritati lunavara käivitada, kirjeldab RIA ühte sellist juhtumit.

Iga leht pole alati see, millena paistab

Õngitsuslehe aadressile klikkamine võib viia usaldusväärse ettevõtte näiteks panga või mõne suure teenusepakkuja äratundmatuseni sarnasele, kuid siiski võltsitud kodulehele. Õngitsuslehtede intsidentide hulk on Eestis viimastel aastatel väga suurel määral kasvanud. Näiteks oli neid RIA andmetel 2021. aastal kokku 755 ja 2020. aastal 711. Need arvud näitavad, mitme õngitsuslehe mahavõtmist on CERT-EE spetsialistid nõudnud.

Alati tasub kontrollida aadressi, kuhu andmeid sisestatakse ning valele lehele sisestatud parooli kuritarvitamisest päästab parooli omanikku ka mitmeastmelise autentimise kasutamine.

Meediamajad ja koolid rünnaku all

Olulise mõjuga teenustõkesturünnakute arv on RIA teatel viimastel aastatel kasvanud. Selliste rünnakute alla on sattunud pangad ja tehnoloogiaettevõtted, kellelt pressitakse rünnaku lõpetamise eest välja raha.

2021 aastal rünnati Tallinnas ka koole ja läbi nende linna haridusasutusi. “Tihti on rünnakute taga kooliõpilased, kes on tellinud need suhteliselt vabalt kättesaadavatest veebifoorumitest,” avaldab RIA oma aastaülevaates.

Kodukontoritesse minekul sagenesid rünnakud

Elisa Netivalvuri statistika järgi on eestlaste vastu suunatud küberrünnakute hulk järsult tõusnud 2022. aasta maikuust saadik. Hiliskevadel blokeeriti pahavara, õngitsuspettuseid ning teisi küberohte kuu jooksul vähem kui 20 000 korda, siis septembris pidi kliente kaitsev teenus sekkuma ligi 260 000 korda. Sügise hakul kasvas enim pahavara- ja õngitsusrünnakute hulk.

Rünnaud samaaegselt sõja algusega Ukrainas

24 veebruari varahommikul, kohe pärast Venemaa rünnakut Ukrainale, korraldati RIA teatel Eesti sotsiaalkindlustusameti vastu küberrünnak. Intsident ei toonud kaasa erilise mõjuga tagajärgi. Sama käekirja järgi on tuvastatud veel teinegi avaliku sektori vastu suunatud küberrünnak.

CERT-EE juhi Tõnu Tammeri sõnul ei olnud tegu teenustõkestusrünnetega (DDoS), kuid ameti kodulehe suunas tehti erinevatest maailma riikidest tavapärasest enam päringuid.

Uudisteväljaanded rünnaku all

2022 suvel muutusid rünnakud Eesti meediamajade veebilehtedele tavapärasest intensiivsemaks, kohati olid uudistelehed lugejatele üldse kättesaamatud. Tõenäoliselt olid küberrünnakud seotud tankimonumendi teisaldamisega Narvas.

“Küberrünnak toimub nii, et tekitatakse palju päringud meie serveritele välisriikidest, mis tähendab seda, et koormus tõuseb meeletult ja need lugejad, kes soovivad tavapäraselt tulla uudiste saitidele uudiseid lugema, ei pääse sinna. Enamiku nendest rünnakutest oleme suutnud tõrjuda, aga viimastel nädalatel on need läinud üliintensiivseks,” rääkis Ekspress Grupi juht Mari-Liis Rüütsalu ERR-ile.

Ta kirjeldas ka, kuidas tehniline tugi rünnakutega võitleb. Esmajärjekorras üritatakse aru saada, millistest riikidest küberrünnakud tulevad, et see piirkond võrgu välisliiklusest välja lülitada. Seejärel hakatakse riike liiklusesse tagasi lülitama ning lähtutakse eelkõige sellest, et ligi pääseksid piirkonnad nagu Põhjamaad, kus elab palju eestlasi.

Ummistusrünnakute laine oktoobris

Oktoobris tabas Eesti küberruumi järjekordne ummistusrünnete laine. “8 ja 9 oktoobril registreerisime 17 teenusetõkestusrünnet Eesti asutuste ja ettevõtte vastu. Nende tõttu katkes ligikaudu 15 tunniks Eesti Raudtee veebilehe evr.ee ja e-residentide portaali e-resident.gov.ee töö, samuti mitmeks tunniks veebilehtede tpilet.ee ja pilet.ee töö,” kirjutab RIA oma aasta oktoobri ülevaates.

Üle koormata püüti ka veebilehtedepresident.ee, valitsus.ee, riigiteataja.ee,err.ee, id.ee,elron.ee, ts.ee, ee.tallink.com, talinn-airport.ee, kardla.tallinn-airport.ee, kuressaare.tallinn-airport.ee ning parnu.tallinn-airport.ee tööd, kuid tänu kaitsemeetmetele polnud neil rünnakutel mõju.

Novembris sattus rünnaku alla Eesti Energia

Ulatusliku küberrünnaku tõttu ei olnud 19. novembril võimalik kasutada Eesti Energia kontserni, sealhulgas võrguettevõtte Elektrilevi e-kanaleid. Mõjutatud olid Eesti Energia koduleht ja mobiiliäpp ning Elektrilevi koduleht ja mobiilirakendus MARU. RIA teatel tabas Kremli-meelsete kurjategijate rünnak samaaegselt ka ettevõtteid ja asutusi Lätis, Poolas ja Ukrainas.

Eesti Energia kanalite töö taastus, mitmete teiste sihtmärgiks olnud asutuste lehtedele ei suutnud ründajad küberturvalisuse eest hoolitsejate eduka töö tulemusel aga üldse olulist mõju avaldada.

KPMG uuringu järgi ei mõtle ettevõtted küberturvalisusele

KPMG viis 2022. aastal läbi küberturvalisuse uuringu Eesti suurimate ettevõtete juhtide ning lisaks ka Eesti tervishoiusektori ettevõtete juhtide seas. Uuringust selgus, et juhtide arvamus turvalisusest ei vasta pahatihti reaalsusele.

Ülemaailmne statistika näitab, et küberrünnakute arv on kasvuteel, mis teeb küberrünnaku ohvriks langemise tõenäolisemaks aina enam ka Eestis.

KPMG küberturvalisuse meeskond on KPMG küberturvalisuse nõustaja Igmar Ilvese sõnul klientide juures käies korduvalt kogenud, kuidas klient väidab, et nende vastu pole küberrünnakuid teostatud, aga kontrolli käigus selgub, et nende arvutivõrgus on kurjategijad juba käinud. Ta soovitab oma uuringutulemuste kokkuvõttes tungivalt küberturvalisusesse investeerida.

Kui ka teie soovite abi oma ettevõtte küberturvalisuse küsimustes, võtke ühendust meie kogenud ekspertidega lehel www.c-yber.ee/meist/