Aastalõpp küberruumis: rünnak katlamaja seadmetele ähvardas jätta kooli ja hooldekodu kütteta

RIA intsidentide lahendamise osakond (CERT-EE) registreeris kuu jooksul 309 mõjuga küberintsidenti. Neist suurema osa moodustasid tavapäraselt õngitsuslehed, mida avastati ja tõkestati 185. Kõige levinumad olid pangakaardiandmete varastamiseks mõeldud skeemid, mille käigus petturid kasutasid näiteks posti- ja kullerfirmade nimel saadetud libasõnumeid.

Automaatseire käigus leidis CERT-EE ka 1204 pahavaraga nakatunud seadet, millest teavitati sideettevõtteid – see näitaja oli aasta kõrgeimal tasemel.

Detsembris avalikustati Eesti seni suurim andmeleke. Geneetilise testimisega tegeleva ettevõtte Asper Biogene andmebaasist laeti alla ligi 10 000 inimese isiku- ja terviseandmed ning firmale esitati rahaline nõue. Juhtunu uurimiseks alustasid politsei ja prokuratuur kriminaalmenetlust.

12. detsembril rünnati Raplamaal asuva katlamaja kaugjuhtimisseadmeid. Ründe tagajärjel katkes päevaks põhikatla töö ja võeti kasutusele väiksema võimsusega varukatel. Sellest katlamajast sõltuvad nii kohalik kool, rahvamaja kui ka hooldekodu.

Iisraeli ettevõttes Unitronics toodetud seadmed sattusid löögi alla ka novembri lõpus – siis viis see Eestis rivist välja kaheksa katlamaja ja kümne pumbajaama juhtimisseadmed, kuid ohtu sooja- ja veevarustusele ei tekkinud. Sarnaseid poliitilise taustaga küberründeid toimus teisteski maailma riikides.

Ründe ohvriks langemist soodustas asjaolu, et seadmed olid sageli avalikult internetist kättesaadavad ja nende tehaseparoolid muutmata. Raplamaa juhtumi puhul eemaldati seade pärast esimesele rünnakulainele järgnenud hoiatusi veebist, aga pandi paar nädalat hiljem jälle tagasi. RIA rõhutas oma ohuhinnangus, et kui kaughaldus on vajalik, siis tuleks kasutada vähemalt tulemüüri ja VPN-ühendust.

7. detsembril langes lunavararünnaku ohvriks trükikoda: Babuki lunavara abil krüpteeriti suur osa failidest ja ettevõtte majandustegevus seiskus osaliselt. Ühe riigiasutuse serverit rünnati aga jõulukuul Atlassiani Confluence’i turvanõrkuse kaudu, mis oli jäänud parandamata. Selle juhtumi valguses tuletas RIA meelde, et paikamata tarkvara on üks enamlevinud ründevektoreid.

Samuti toimus Eestis eelmisel kuul kolm suuremat veebiteenuste katkestust. 14. detsembri varahommikul ei töötanud kolmveerand tunni jooksul piirikontrolli infosüsteem PIKO, politsei taktikalise juhtimise andmekogu KILP ja politsei infosüsteem Apollo. Katkestuse põhjustas rike siseministeeriumi infotehnoloogia- ja arenduskeskuse (SMIT) tulemüüris.

15. detsembril oli 20 minuti jooksul häireid Elisa Mobiil-ID töös, mistõttu võis esineda probleeme internetipankadesse ja teistesse e-teenustesse sisenemisel ning digiallkirja andmisel. 22. detsembril katkesid aga ligi kaheks tunniks tervisekassa teenused: ravikindlustuse kontroll, töövõimetushüvitis, raviarveldus jt.

Lisaks leiab kuukokkuvõttest ülevaate RIA tegemistest küberturvalisuse parandamisel Eestis ning mujal kübermaailmas toimunust. Näiteks korraldas RIA koostöös Clarified Securityga kolme suurema telekomiettevõtte töötajatele küberturbeõppuse DigiTorm, et jagada neile teadmisi taristu tugevdamiseks ja harjutada koostööd võimalike rünnakute lahendamisel. Ukrainas tabas samal ajal küberrünnak riigi suurimat telekomiettevõtet Kyivstar, mille eest võttis vastutuse Vene sõjaväeluure GRUga seotud küberrühmitus.