RIA: mullu tuli päevavalgele mitu kriitilist turvanõrkust

IT-süsteeme üle maailma rünnatakse alatasa ning avastatud turvanõrkustest on palju kasu neile, kes üritavad selle abil rikastuda või mõju avaldada. Riigi infosüsteemi amet (RIA) registreerib aastas rohkem kui 20 000 pöördumist ning enam kui 2300 tõsist küberintsidenti, millel on reaalne mõju süsteemile või selle toimimisele.

Ettevõtlus- ja infotehnoloogiaminister Andres Suti sõnul on viimaste aastate jooksul küberruumi ohupilt oluliselt keerulisemaks muutunud ning praegune julgeolekuolukord halvendab seda veelgi enam.

«Sõjaoht Ukrainas võib kaasa tuua ka küberrünnakute sagenemise meie regioonis. Eesti digiühiskond sõltub side- ja infosüsteemide turvalisusest, mistõttu riik ja e-riik on sünonüümid – kui e-riik ei toimi, siis ei toimi ka meie riik. Selles tulenevalt peab iga asutus ja ettevõte, eriti elutähtsat teenust osutav ettevõte pöörama erilist tähelepanu küberturvalisusele,» toonitas Sutt.

RIA peadirektori asetäitja Gert Auväärti sõnul kasutavad küberkurjategijad rünnakuteks avalikustatud turvaauke ehk teisisõnu juba sissetallatud teid. «Kui tehakse avalikuks, et mõnes tarkvaras uks on lahti jäetud ning seal on turvaauk, siis proovitakse kohe ka läbi selle sisse tungida. Värskes aastaraamatus on mitu sellist näidet,» ütles Auväärt.

«Kui haavatavus lubab kaugelt ka süsteemidele käske jagada, siis pole digilahenduste ette ehitatud tugevast uksest tolku, sest pole mingi kunst neist mööda minna. Kõige kriitilisemad ehk nullpäeva nõrkused tuleb esimesel võimalusel kõrvaldada, teine variant on turvanõrkusest mõjutatud süsteemid ja seadmed veebist eraldada,» lausus RIA peadirektori asetäitja.

Selliste olukordade vältimiseks jagab RIA aktiivselt infot küberturbejuhtidega, et säärased turvaaugud esimesel võimalusel sulgeda. «Iga meie hoiatus või ohuhinnang on suure kaaluga ning kui neile õigeaegselt reageerida, siis saab päris palju jamasid ära hoida,» ütles Auväärt.

Märtsis avalikustas Microsoft neli nullpäeva haavatavust oma meiliserverite tarkvaras, mille kaudu said ründajad ligipääsu kogu serverile, sealhulgas e-kirjadele ja salasõnadele. Microsofti sõnul ehitasid ründajad kiiresti tööriistad, mis hakkasid otsima veel uuendamata Exchange’i servereid, et neid pahavaraga nakatada. Päev pärast nõrkuse avalikustamist avastas RIA Eestis 80 turvaauguga meiliserverit. Viis päeva hiljem teavitas Microsoft, et kogu maailmas on sääraseid servereid rohkem kui 60 000.

«Me andsime konkreetsetele ettevõtetele ja asutustele teada, kui neil esines mõni neist nõrkustest. Nädal hiljem vaatasime uuesti, kui paljud on veel sellest mõjutatud ning selgus, et kaks kolmandikku polnud meiliserveri kaitsmiseks vajalikke samme astunud,» tõi Auväärt kahetsusväärse näite. «Paikamata süsteemide tulemuseks on reeglina see, et pahategijad leiavad need ülesse ja paiskavad nende sisse pahavara.»

Ka Suti hinnangul on ettevõtete ja asutuste teadlikkus küberohtudest liiga madal ja tegevus pahatihti passiivne. «Oleme koostöös RIA-ga jaganud riigiasutuste ja elutähtsat teenust osutavate ettevõtete juhtidele infot ja soovitusi, kuidas suurendada oma valmidust küberintsidentidega toime tulemiseks ja mida neis olukordades silmas pidada. Ettevõtete juhid peavad mõistma, et nende otsustest sõltub, kas organisatsiooni küberhügieenile ja IT-süsteemide turvalisusele pööratakse õigel ajal tähelepanu või mitte,» märkis Sutt.

Augustis teatas tuntud tarkvaratootja Atlassian, et nende Confluence’i tarkvaras on koodi kaugkäivitust võimaldav kriitiline haavatavus. Selle abil sai autentimata kasutaja tungida firma või asutuse Confluence’i, seal andmeid muuta, lisada ja/või kopeerida. Nii sai paigaldada ka pahatahtlikku koodi järgmiste rünnakute korraldamiseks. Eestis rünnati seeläbi ka kolme riigiasutust. Kuna sissetungijad avastati kiiresti, siis jäi ka suurem kahju sündimata. Õigeaegne tarkvarauuendus oleks sellise olukorra üldse välistanud.

Detsembris ilmsiks tulnud Log4j nullpäeva vea täpsem mõju veel selgub, kuid selle kaudu paigaldati Eesti asuvatesse arvutitesse pahavara, mis kaevas krüptoraha. Välismaal tuli ka teateid sellest, et nõrkust kasutatakse ära lunavararünnakute ettevalmistamiseks.

RIA sai mullu info 2237 mõjuga küberintsidendi kohta. Kõige rohkem tuvastati ja anti teada inimeste andmeid koguvatest õngitsuslehtedest 775 juhtimiga, veebilehtede pahaloomulistest ümbersuunamistest 262 juhtumiga ja teenusekatkestustest 254 juhtimiga. Inimeste kasutajakontode ülevõtmisest teavitati 170-l ning kontode kompromiteerimistest 168 korral. RIA-le anti mullu teada 47st mõjuga ummistusrünnakust ning 30 lunavararünnakust.

Turvanõrkuste kõrval on aastaraamatus juttu finantspettustest, ummistusrünnakutest, RIA suvistest küberintsidentidest, lunavararünnakutest, õnneliku lõpuga intsidentidest, taakvarast, valimistest, maailma kõige kuumematest küberrünnakutest ja paljust muust.