Novembris 2022 rünnati Eesti Energia kodulehte ja infosüsteeme ning
paljude klientide jaoks oli selle üliolulise teenusepakkuja töö häiritud.
See on vaid üks episood meie internetikogukonnale viimasel ajal osaks
saanud küberrünnakute laines. Seoses intsidentide sagenemisega tasub
meenutada, millised on olnud varasemad suuremad küberrünnakud Eestis
ning mida igal ettevõtjal oleks neist õppida.
“Eesti ettevõtted loovutavad küberkurjategijatele aastas umbes 1 miljon
eurot,” väidab Riigi Infosüsteemi Amet (RIA) oma laiale tarbijaskonnale
suunatud küberturvalisuse teemalisel lehel IT-vaatlik.
Rünnakute arv on viimastel aastatel kasvanud nii Eestis kui rahvusvaheliselt.
USA riikliku standardite ja tehnoloogia instituudi (NIST) haavatavuste
andmebaasis NVD (National Vulnerability Database) registreeriti 2021. aastal
20 046 haavatavust (2020. aastal 18 351, 2019. aastal 17 382 ja 2018.
aastal 17 252).
Erinevate finantspettuste (arvepettused, petukõned, krüptorahaga
kauplevad libakeskkonnad jms) kahjude suurust hindas RIA 2021. aastal
paari miljoni euro suuruseks.
Pronkssõduri teisaldamine vallandas massilise küberrünnaku
Aastal 2007 toimus pärast Nõukogude sõjamemoriaali teisaldamist Tallinna
kesklinnast ehk nn pronkssõduri skandaali massiline rünnak Eesti
internetisüsteemide vastu. Mitmete ministeeriumide, parteide, ajalehtede,
pankade ja firmade koduleheküljed lakkasid toimimast. Uudisteagentuure,
panku ja valitsusasutusi tabas rämpspostituse välkrünnak kohe pärast kuju
ümberpaigutamist.
See oli arvatavasti esimene kord, kui laiema avalikkuseni jõudis arusaam, et
küberrünnak ei olegi ainult seiklusfilmist tuttav süžee, vaid sihtmärgiks võib
olla ka meie väike armas Eesti.
RIA küberintsidentide käsitlemise osakond CERT-EE kirjutab oma
tolleaastases kokkuvõttes, et küberründed eesmärgiga häirida erinevate
Eesti infotehnoloogiliste süsteemide käideldavust kestsid kokku 22 päeva.
Ründed pärinesid valdavalt Botnet-võrgustiku vahendusel välismaistelt IP-
aadressidelt Venemaal, aga ka USAs, Jaapanis, Vietnamis, Hiinas ja
Egiptuses.
ELi ja NATO informaatikaeksperdid uurisid juhtumit, kuid järeldasid, et
hoolimata ebaseaduslikke vahendeid kasutanud organiseeritud rünnakust
puuduvad piisavad tõendeid Venemaa valitsuse süü tõestamiseks, kirjutas
Välisministeerium oma ülevaates. Eksperdid avastasid enam kui kümme
tuhat arvutizombit enam kui 50 riigist, Hiinast USAni, mis osalesid Eesti-
vastases rünnakus.
IT-turvalisusega tegeleva ettevõtte F-Secure eksperdi Mikko Hyppöneni
sõnul võis küberrünnak olla hoiatus, tekitamaks eestlastes hirmu. Oleks
otsustatud korraldada tõeline rünnak, oleks tagajärjed võinud olla
võrreldavad katastrooffilmiga.
Alates 2007. hakkas CERT-EE avaldama oma iga-aastaseid küberturvalisuse
ülevaateid, kus on ära toodud iga-aastane statistika ja ülevaade
olulisematest intsidentidest. Kui 15 aastat tagasi oli ülevaade paari A4 lehe
pikkune, siis tänaseks on sellest kasvanud ligi 50-leheküljeline mahukas
aastaraamat.
Dokumendifotode skandaal
- aastast on eestlastel küberturvalisusega seoses ilmselt kõige enam
meeles juhtum, kus üks ründaja leidis turvanõrkuse RIA enda hallatavas
süsteemis ning sai ligi sadade tuhandete inimeste dokumendifotodele. 21.
juulil 2021 tuvastas CERT-EE, et isikut tõendavate dokumentide
andmekogust laaditi ebaseaduslikult alla 286 438 dokumendifotot.
Allalaadimine toimus kümne päeva jooksul ja selleks kasutati 9000 Eesti ja
välismaa IP-aadressi. Seda võimaldas turvanõrkus pilte vahendavas
teenuses (nn pilditeenuses), mida kasutatakse, kui inimene soovib alla
laadida enda dokumendifoto.
RIA ja politsei koostöös avastati kahtlustatav juba 24 tundi pärast rünnaku
avastamist. Turvanõrkus parandati. Riik algatas koostööprogrammi, kus nn
head häkkerid saavad sarnaste turvanõrkuste avastamisel ja parandamisel
ulatada ametiasutustele oma abikäe.
Sihikul väiksemad asutused
RIA iga-aastasest küberturbeülevaatest selgub, et lunavaraaintsidentides
(pahavara, mis krüpteerib ära arvuti failid ja nõuab nende taastamise eest
raha) saavad Eestis pihta väiksemad asutused, kelle puhul esitatakse tihti
„vaid“ mõne(kümne) tuhande eurone lunarahanõue. RIA-d teavitati 2021.
aastal kokku 30 lunavaraintsidendist (2020. aastal 33). Rünnatava
süsteemidesse jõutakse sageli avatud kaugtöölauarakenduse kaudu
(Windowsi keskkonnas Remote Desktop Protocol ehk RDP).
RIA soovitab eriti ettevaatlik olla ettevõtetel, kes pakuvad IT-teenuseid
kolmandatele osapooltele. “2021. aasta mais pääseti ligi
raamatupidamisettevõttele, mille kaudu jõuti ka ühe Läänemaa
vallavalitsuse süsteemidesse, kus ebaõnnestunult üritati lunavara käivitada,”
kirjeldab RIA ühte sellist juhtumit.
Iga leht pole alati see, millena paistab
Õngitsuslehe aadressile klikkamine võib viia usaldusväärse ettevõtte näiteks
panga või mõne suure teenusepakkuja äratundmatuseni sarnasele, kuid
siiski võltsitud kodulehele. Õngitsuslehtede intsidentide hulk on Eestis
viimastel aastatel väga suurel määral kasvanud. Näiteks oli neid RIA
andmetel 2021. aastal kokku 755 ja 2020. aastal 711. Need arvud näitavad,
mitme õngitsuslehe mahavõtmist on CERT-EE spetsialistid nõudnud.
Alati tasub kontrollida aadressi, kuhu andmeid sisestatakse ning valele
lehele sisestatud parooli kuritarvitamisest päästab parooli omanikku ka
mitmeastmelise autentimise kasutamine.
Meediamajad ja koolid rünnaku all
Olulise mõjuga teenustõkesturünnakute arv on RIA teatel viimastel aastatel
kasvanud. Selliste rünnakute alla on sattunud pangad ja
tehnoloogiaettevõtted, kellelt pressitakse rünnaku lõpetamise eest välja
raha.
- aastal rünnati Tallinnas ka koole ja läbi nende linna haridusasutusi.
“Tihti on rünnakute taga kooliõpilased, kes on tellinud need suhteliselt vabalt
kättesaadavatest veebifoorumitest,” avaldab RIA oma aastaülevaates.
Kodukontoritesse minekul sagenesid rünnakud
Elisa Netivalvuri statistika järgi on eestlaste vastu suunatud küberrünnakute
hulk järsult tõusnud 2022. aasta maikuust saadik. Hiliskevadel blokeeriti
pahavara, õngitsuspettuseid ning teisi küberohte kuu jooksul vähem kui 20
000 korda, siis septembris pidi kliente kaitsev teenus sekkuma ligi 260 000
korda. Sügise hakul kasvas enim pahavara- ja õngitsusrünnakute hulk.
Rünnaud samaaegselt sõja algusega Ukrainas
- veebruari varahommikul, kohe pärast Venemaa rünnakut Ukrainale,
korraldati RIA teatel Eesti sotsiaalkindlustusameti vastu küberrünnak.
Intsident ei toonud kaasa erilise mõjuga tagajärgi. Sama käekirja järgi on
tuvastatud veel teinegi avaliku sektori vastu suunatud küberrünnak.
CERT-EE juhi Tõnu Tammeri sõnul ei olnud tegu teenustõkestusrünnetega
(DDoS), kuid ameti kodulehe suunas tehti erinevatest maailma riikidest
tavapärasest enam päringuid.
Uudisteväljaanded rünnaku all
- suvel muutusid rünnakud Eesti meediamajade veebilehtedele
tavapärasest intensiivsemaks, kohati olid uudistelehed lugejatele üldse
kättesaamatud. Tõenäoliselt olid küberrünnakud seotud tankimonumendi
teisaldamisega Narvas.
“Küberrünnak toimub nii, et tekitatakse palju päringud meie serveritele
välisriikidest, mis tähendab seda, et koormus tõuseb meeletult ja need
lugejad, kes soovivad tavapäraselt tulla uudiste saitidele uudiseid lugema, ei
pääse sinna. Enamiku nendest rünnakutest oleme suutnud tõrjuda, aga
viimastel nädalatel on need läinud üliintensiivseks,” rääkis Ekspress Grupi
juht Mari-Liis Rüütsalu ERR-ile.
Ta kirjeldas ka, kuidas tehniline tugi rünnakutega võitleb. Esmajärjekorras
üritatakse aru saada, millistest riikidest küberrünnakud tulevad, et see
piirkond võrgu välisliiklusest välja lülitada. Seejärel hakatakse riike
liiklusesse tagasi lülitama ning lähtutakse eelkõige sellest, et ligi pääseksid
piirkonnad nagu Põhjamaad, kus elab palju eestlasi.
Ummistusrünnakute laine oktoobris
Oktoobris tabas Eesti küberruumi järjekordne ummistusrünnete laine. “8. ja
- oktoobril registreerisime 17 teenusetõkestusrünnet Eesti asutuste ja
ettevõtte vastu. Nende tõttu katkes ligikaudu 15 tunniks Eesti Raudtee
veebilehe evr.ee ja e-residentide portaali e-resident.gov.ee töö, samuti
mitmeks tunniks veebilehtede tpilet.ee ja pilet.ee töö,” kirjutab RIA oma - aasta oktoobri ülevaates.
Üle koormata püüti ka veebilehtede president.ee, valitsus.ee, riigiteataja.ee,
err.ee, id.ee, elron.ee, ts.ee, ee.tallink.com, talinn-airport.ee, kardla.tallinn-airport.ee, kuressaare.tallinn-airport.ee ning parnu.tallinn-airport.ee tööd,
kuid tänu kaitsemeetmetele polnud neil rünnakutel mõju.
Novembris sattus rünnaku alla Eesti Energia
Ulatusliku küberrünnaku tõttu ei olnud 19. novembril võimalik kasutada Eesti
Energia kontserni, sealhulgas võrguettevõtte Elektrilevi e-kanaleid.
Mõjutatud olid Eesti Energia koduleht ja mobiiliäpp ning Elektrilevi koduleht
ja mobiilirakendus MARU. RIA teatel tabas Kremli-meelsete kurjategijate
rünnak samaaegselt ka ettevõtteid ja asutusi Lätis, Poolas ja Ukrainas.
Eesti Energia kanalite töö taastus, mitmete teiste sihtmärgiks olnud asutuste
lehtedele ei suutnud ründajad küberturvalisuse eest hoolitsejate eduka töö
tulemusel aga üldse olulist mõju avaldada.
KPMG uuringu järgi ei mõtle ettevõtted küberturvalisusele
KPMG viis 2022. aastal läbi küberturvalisuse uuringu Eesti suurimate
ettevõtete juhtide ning lisaks ka Eesti tervishoiusektori ettevõtete juhtide
seas. Uuringust selgus, et juhtide arvamus turvalisusest ei vasta pahatihti
reaalsusele.
Ülemaailmne statistika näitab, et küberrünnakute arv on kasvuteel, mis teeb
küberrünnaku ohvriks langemise tõenäolisemaks aina enam ka Eestis.
KPMG küberturvalisuse meeskond on KPMG küberturvalisuse nõustaja Igmar
Ilvese sõnul klientide juures käies korduvalt kogenud, kuidas klient väidab,
et nende vastu pole küberrünnakuid teostatud, aga kontrolli käigus selgub,
et nende arvutivõrgus on kurjategijad juba käinud. Ta soovitab oma
uuringutulemuste kokkuvõttes tungivalt küberturvalisusesse investeerida.
Kui ka teie soovite abi oma ettevõtte küberturvalisuse küsimustes, võtke
ühendust meie kogenud ekspertidega lehel www.c-yber.ee