Turvanõrkustest õppimine ja rääkimine teeb tugevamaks. Möödunud aastat võiks pidada turvanõrkuste aastaks, kus võidujooksus aja ja kurjategijatega tuli võtta vastu valusaid õppetunde. Ent kõik kogemused on vajalikud ning neid tuleb jagada, leiab RIA küberturvalisuse teenistuse juht Gert Auväärt.
Aastaraamatus räägib Gert Auväärt muuhulgas kahest RIA enda teenustes avaldunud intsidendist, sellest, kuidas uutes teenustes leiduvad vanad süsteemijupid on suureks ohuallikaks, kuidas tarkvaratootjate hoiatusi tõsiselt ei võeta, kuidas koostöös Eestit turvalisemaks muuta jne.
Olukorrast küberruumis: oli turvanõrkuste aasta
2021 läheb küberturvalisuse ajalukku kui suurte turvanõrkuste aasta. Neist mastaapseim oli logimisrakenduses Log4j tuvastatud haavatavus, kuid oli ka neid, mis puudutasid ainult Eesti e-riiki.
Suure mõjuga turvanõrkused on varemgi ühiskonda valusalt hammustanud, kuid 2021. aastal ei paistnud neil lõppu tulevat.
2021. a. suuremad intsidendid Eestis:
- turvanõrkus RIA hallatavas süsteemis – ligipääs sadade tuhandete inimeste dokumendifotodele;
- seadistusviga iseteeninduskeskkonnas, kus olid näha juriidiliste isikutega seotud enam kui 300 000 inimese ees- ja perekonnanimi, isikukood, töökoht;
- rünnati majandus- ja kommunikatsiooniministeeriumi ning sotsiaalministeeriumi haldusala ja välisministeeriumi;
- kompromiteeriti ettevõtet, kes pakub pilveteenuseid ja tarkvara paljudele avaliku sektori asutustele (ministeeriumid ja kohalikud omavalitsused);
- kompromiteeriti ettevõtet, kes pakub avaliku sektori asutustele kaugligipääsu teenuseid;
- lunavararünnakuga sihiti IT-teenust pakkuvat ettevõtet ning lunavara laienes selle kaudu veel nelja firmasse;
- ligi pääseti raamatupidamisettevõttele, mille kaudu jõuti ka ühe Läänemaa vallavalitsuse süsteemidesse, kus ebaõnnestunult üritati lunavara käivitada;
- ühte kommertspanka saabus ähvardava sisuga e-kiri. Kandke kaks Bitcoini (toonases vääringus ligi 56 000 eurot) kirjas toodud kontole või korraldame teie vastu massiivse teenusetõkestusründe, mis halvab ettevõtte tegevuse.
Mõjuga intsidendid 2021. aastal
● Teenusetõkestusrünne 47
● Kasutajaandmete leke 43
● SEO-spämm 34
● Lunavara 30
RIA-t teavitati 2021. aastal kokku 30 lunavaraintsidendist (2020. aastal 33). RIA hinnangul on meid kaitsmas mõneti Eesti väiksus, keelekeskkond ja vaikselt, kuid kindlalt paranev küberhügieen.
2021. a. suuremad intsidendid mujal:
- Microsoft avalikustas neli nullpäeva haavatavust oma meiliserverite tarkvaras, mille kaudu said ründajad ulatusliku ligipääsu kogu serverile, sealhulgas e-kirjadele ja salasõnadele.
- Maailmas laialdaselt kasutatava Confluence’i wiki-platvormi tootja Atlassian teavitas, et nendegi tootes on kriitiline turvanõrkus, mille parandamiseks oli vaja tarkvara uuendada.
- Üle maailma miljardites seadmetes ja tarkvaratoodetes kasutatava Java programmeerimiskeele funktsioonis Log4j tuvastati kriitiline turvanõrkus „Log4Shell“. Mänguplatvormis „Minecraft“ hakkasid mängijad katsetama äsja avastatud turvanõrkusega, mis andis neile ootamatult võimaluse saata käsklusi mänguserverile.
- Ameerika Ühendriikide kütusevarustajat Colonial Pipeline tabas lunavararünnak, mille tõttu peatati USA idaranniku kütusetarned.
- Maailma suurimat lihatöötlejat JBS tabas lunavararünnak, mille taga Venemaal tegutsev rühmitus REvil. Ettevõte maksis rühmitusele dekrüpteerimisvõtme eest 11 miljonit eurot.
- Lunavararünnakuga sai pihta Iirimaa tervishoiusüsteem. Takistatud oli juurdepääs diagnostikale ja meditsiinilistele dokumentidele. Lisaks varastasid ja avalikustasid ründajad patsientide tundlikke andmeid.
- Tänu tarkvarafirma Kaseya suunas tehtud lunavararünnakule sa pihta Rootsi COOPi kauplusekett, mis pidi sulgema 800 kauplust, sest nende arveldussüsteem ei töötanud.
- Tarneahelarünnak USA ettevõtte SolarWinds pihta, mis pakub IT-halduse ja monitoorimistarkvara Orion. Ohvreid oli üle maailma 18 000, sealhulgas mitu USA ministeeriumit ja valitsusasutust, aga ka näiteks Taani keskpank.
- Saksamaa teatas, et Ghostwriter (Venemaa sõjaväeluurega seotud rühmitus) proovis õngitsuskirjade abil varastada nende parlamendiliikmete andmeid.
- Ghostwriteri sihtmärgiks olid ka Poola poliitikud ja ametiasutused. Ründajad pääsesid ligi peaministri büroojuhi ja teiste valitsusliikmete isiklikele Gmaili kontodele. Osa varastatud e-kirjadest lekitati.
- Häkkerid pääsesid ligi maailma ühe suurima veebimajutaja ja domeenide registreerija GoDaddy võrku. Nii lekkis 1,2 miljoni GoDaddy kliendi e-posti aadress ja kliendinumber. Tänu sellest tulenenud õngitsusrünnetele lekkis ka hulgaliselt inimeste terviseandmeid.
- Insuliinipumpade tootja Medtronic kutsus küberohu tõttu tagasi osade oma insuliinipumpade kaugjuhtimiseks mõeldud puldid. Turvanõrkust ära kasutades saaks pulti kaugelt kontrollida, nt alustada või peatada insuliini pumpamist või muuta pumbatavat kogust.
- Vene tehnoloogiahiiglane Yandex teatas, et nende pihta tehtud teenusetõkestusrünnak (DDoS) oli ajaloo võimsaim. Rekordhetkel tehti 22 miljonit päringut sekundis.
- Iisraeli ettevõte NSO aitas oma klientidel luurata ajakirjanike, poliitikute ja aktivistide järele. Selleks kasutati NSO loodud Pegasuse tarkvara, millega nakatudes saab käivitada sihtmärgi telefoni kaamera ja mikrofoni, samuti pääseb ligi sõnumitele, fotodele, e-kirjadele ja saab salvestada kõnesid.
- Laialdased lunavararünnakud – ründajad jõudsid ohvrite süsteemidesse avatud kaugtöölauarakenduse kaudu (Windowsi keskkonnas Remote Desktop Protocol ehk RDP).
2021. aastal poole rohkem ummistusründeid
Mullu registreerisime 47 mõjuga teenusetõkestusrünnet, mida on poole rohkem kui 2020. aastal. Kevadeni tekitasid peavalu väljapressimistega ummistusründed ettevõtete vastu, sügisel aga said populaarseks sihtmärgiks koolid ja õppekeskkonnad.
Rünnati ettevõtteid tehnoloogiavaldkonnas ja finantssektoris, kuid rünnati ka koole. Rünnakud koolide või õppeinfosüsteemide vastu toimusid reeglina õppetöö ajal. Nädalavahetusteks ja koolivaheaegadeks kadusid need kui vits vette, et siis koolipäevadeks taas naasta.
Kui mõni Juku võis arvata, et tellides oma kooli vastu rünnaku, pääseb ta sellega kontrolltööst või tema puudumine jääb registreerimata, siis Juhan teab, et nii need asjad ei käi.
Enamasti osalevad meie e-teenuste vastu suunatud ummistusrünnetes välismaised seadmed, kuid intsidente analüüsides oleme leidnud ründajate ridadest ka Eesti IP-aadresse. Omanikud ei pruugi teadagi, et nende ruuter, printer või valvekaamera on nakatunud pahavaraga, liidetud mõnda robotvõrgustikku ja püüab „maha joosta“ tema kodupanka või laste kooli. Selleks, et ohutu väljanägemisega seadmed ei muutuks mõne küberkurjategija käes ohtlikuks ründerelvaks, tasub nende tarkvara uuendada.
Finantspettused on muutunud mitmekesisemaks
Lõppenud aastal saime mullusega võrreldes viiendiku võrra rohkem teateid pettustest, mille tõttu Eesti inimesed ja ettevõtted raha kaotasid. RIA näeb vaid jäämäe tippu, sest seda tüüpi pettuste puhul pöörduvad inimesed esmajoones politsei poole.
Tõusev trend oli möödunud aastal erinevad krüptorahadega seotud pettused, mille kahjud ulatusid mõnesajast eurost ligi 100 000 euroni.
Lisaks otsesele rahas mõõdetavale kahjule võivad arvepettustel olla ka kaudsed ohvrid, kelle äritegevus või maine saab ajutiselt kannatada. Toome siinkohal näite ühest meditsiinisektori ettevõttest, kelle nime ja rekvisiite võltsides hakati laiali saatma libaarveid sama valdkonna koostööpartneritele. See rikkus ajutiselt ettevõtte head nime ning põhjustas ka viivitusi makselaekumistel, kuna koostööpartnerid ei teadnud enam, milliseid saadud arveid usaldada, milliseid mitte.
Ei saa enne väravast läbi, kui värav avatud
Oma füüsilise turbe tagamiseks järgib enamik meist lihtsaid printsiipe, kuid digitaalse vara puhul näivad paljud arvavat, et see kaitseb ennast ise, kirjutab keskkriminaalpolitsei küberkuritegude büroo juht Oskar Gross.
Kui ettevõttel puudub igasugune küberturve, siis mis on need kolm asja, mida minimaalselt peaks ära tegema, et end kaitsta?
- Tea, mis süsteeme sa kasutad ja mis andmed seal on.
- Uuenda oma süsteeme regulaarselt.
- Koolita oma kasutajaid, et nad teaks ohte märgata.
Nii otsesed kui ka kaudsed kahjud, mis küberkuriteo järel võivad saabuda, on märkimisväärselt suuremad kui esialgu paistab. Tähelepanelikkus on alati omal kohal, kuid sageli aitavad suurema kahju vastu tõhusad ja õigesti seadistatud süsteemid.
Eesti elanike küberhügieeni tase on kolme aastaga paranenud, kuid arenguruumi jagub, selgub koostöös statistikaametiga kogutud andmetest.
KÜSIMUS: mida olete internetis või äpis isiklikul eesmärgil teinud turvalisuse või privaatsuse tagamiseks?
Andres Vallistu, OIXIO küberturbejuht:
2021 oli turvanõrkuste aasta. Üks on kindel, turvanõrkused olid eile, on täna ja ei kao mitte kuhugi ka homme. Mida sellest õppida? Kui autol läheb õlituli põlema, kas on mõistlik siis edasi sõita või valada õli juurde? Jah tõsi, võib ju lühiajaliselt edasi sõita, aga pikemalt sõites jookseb mootor kokku ja remont on kordades kallim, kui oleks olnud õigel ajal õli peale valamine. Sama printsiip kehtib ka turbes. Pigem lappida turvaauk kohe, mitte oodata, kui küberintsident aset leiab. Kohe tegeleda on kordades odavam kui hiljem!
Meie ärid ja elud on kogu aeg küberlöögi all, mistõttu iga ettevõtte juht peab seadma eesmärgid ja võimaldama piisavad vahendid küberturbele, sest muidu me selles võitluses ellu ei jää! Kannatame ise ja kannatavad meie kliendid ja äripartnerid. Õiged ennetavad teenused leiad siit >
RIA 2022 küberturvalisuse aastaraamatuga (pdf kujul) saad tutvuda siin