Ülevaade küberruumis toimuvast

Riigi Infosüsteemi Amet (RIA) registreeris märtsis 241 intsidenti küberruumis. Eesti ettevõtted said pettuse tõttu ligi 80 000 eurot kahju. Mõlemal juhul olid kurjategijad kompromiteerinud ettevõtete meilivestlused välisriikidest pärit koostööpartneritega ning hetkel, kui oli vaja teha pangaülekanne, saadeti ettevõtetele kurjategijate valduses olevate pangakontode andmed.

RIA intsidentide käsitlemise osakonna (CERT-EE) juhi Tõnu Tammeri sõnul kasutavad kurjategijad ära seda, kui ettevõtte raamatupidaja või keegi teine rahaasjade eest vastutav ei kontrolli alati, miks soovib koostööpartner järsku pangakontoandmeid muuta. „Otsekontakt tehingu teise poolega aitab seda viga vältida. On oluline, et selleks kasutatakse teist suhtluskanalit, näiteks helistamist. Ma ei soovita pangaandmete muutumist kontrollida e-kirja vahendusel, sest halvemal juhul näevad seda kurjategijad, kes ise kinnitavad, et uute andmetega on kõik korras,“ ütles Tammer.

Märtsis esines ka ligi kahe tunni jooksul tõrkeid mobiil-ID kasutamises. Tõrgete ajavahemikul ebaõnnestusid kuni 80% mobiil-ID teenuse päringutest. Probleem lahenes pärast ajutist teenuse kasutamise piiramist. Esialgse hinnangu kohaselt ei pidanud teenuse süsteemikomponent koormusele vastu ning kui kasutajad üritasid pärast ebaõnnestumist teenust kohe uuesti kasutada, siis tekkisid häired.

RIA märkas ka pahavara lainet, mis saadeti paari Eesti transpordiettevõtte meilidomeeni kasutades. Tegu oli nn meiliteesklusega (email spoofing), mille käigus jäljendati ühe töötaja e-kirju. Ärakasutamist võimaldas asjaolu, et ettevõtete meilidomeenidel puudusid meiliteeskluse vastased kaitsemeetmed (SPF, DKIM ja DMARC). Näiteks DMARC lubab teistel meiliserveritel kontrollida, kas asutuse nimel saadetud kiri saabus tegelikult selle asutuse poolt volitatud serverist või mitte. Küberturvalisuse ABC kohta saab lugeda SIIT.

RIA korraldas eelmisel kuul kohalikele omavalitsuste töötajatele üle kahekümne küberhügieeni koolituse ja arutasime linnade-valdade juhtidega nende omavalitsuse küberturvalisuse teemal. Külastasime näiteks Lääne-Harju, Haljala, Viru-Nigula, Vinni, Tapa, Lääne-Nigula, Märjamaa, Türi, Põhja-Pärnumaa, Kadrina, Rae ja Harku valda, linnadest Raplat, Loksat ja Rakveret. RIA jätkab taoliste külaskäikudega ka aprillis ja mais.

Üks maailma suurimaid alumiiniumitoodete- ja taastuvenergiatootjaid Norsk Hydro sattus lunavararünnaku ohvriks. Intsident sai alguse USAs asuvast tehasest ning levis Norsk Hydro ülemaailmse võrgu kaudu teistesse tehastesse. Rünnak mõjutas tehaseid, mis valmistavad alumiiniumist lõpptooteid ning eriti oluliselt olid mõjutatud kontoriarvutid ja tehaste võimekus saada operatiivselt informatsiooni tellimuste kohta. Intsident ei mõjutanud Hydro energiatootmist. LockerGoga nimelise lunavara leviku peatamiseks ja süsteemide taastamiseks tuli eraldada kõik tehased ülemaailmsest võrgust. Samuti vähendati tehastes automatiseerimist ja kasutati rohkem inimtööjõudu. Ettevõttel olid andmed varundatud ning lunaraha ei plaanita maksta. Esialgse hinnangu kohaselt ulatuvad kahjud ca 30-35 miljoni euroni.

BEC-ründeid (business email compromise) sooritatakse ka mobiilides. Kui varasemalt püüti meilikontosid kompromiteerida meili vahendusel, siis nüüd saadetakse enne õngitsuskiri, milles küsitakse ohvri telefoninumbrit ning seejärel palutakse täita mingit ülesannet SMS-i teel. Ründes kasutatakse ära ka selliseid internetiteenuseid, mis pakuvad telefoninumbreid ilma, et oleks vaja füüsilist SIM-kaarti, mis teeb kurjategija kättesaamise veelgi keerulisemaks. Ettevõtte meilikontode kompromiteerumisest alguse saanud finantspettused on ka Eesti ettevõtetele suurt kahju tekitanud.

Marriott’i andmeleke on seni maksma läinud 28 miljonit dollarit. Möödunud aasta novembris teavitas hotellikett Marriott andmelekkest, kus esialgsete andmete järgi sattus küberkurjategijate kätte ligikaudu 500 miljoni kliendiandmeid, sh nimed, elukoha aadressid, sünnikuupäevad, telefoninumbrid, meiliaadressid, passinumbrid, broneeringuandmed ja mõnel juhul ka krediitkaardiandmed. Nii investorid, kui ka mõned kliendid on Marriottile esitanud hagi leides, et hotell ei teinud piisavalt, et leket takistada või tuvastada.

Huawei esitas hagi USA valitsuse vastu seoses keeluga kasutada Huawei tooteid föderaalametites. USA on toonud keelu põhjuseks julgeolekuohu ning kutsub üles ka oma liitlasi loobuma Huawei toodete kasutamisest. Lisaks on USA hoiatanud, et kui seda soovitust kuulda ei võeta, siis ei pruugita jagada enam nende riikidega luureteavet. Ehitavates 5G võrkudes Huawei seadmete kasutamise üle on arutelud julgeolekuaspektist toimunud mitu kuud juba. Sealhulgas teavitas märtsis ka NATO, et hakkab analüüsima Hiina toodetega seotud riske.

Märtsis valmis kokkuvõte Eesti küberruumist 2018. aastal. Räägime selles Eesti küberturvalisuse aastaraamatus mullu kõige enam kahju tekitanud intsidentidest. Ülevaatega saab tutvuda SIIN.

Allikas: Riigi Infosüsteemi Amet