Monthly Archives: August 2016

Tundmatud sõbrad

Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond (CERT-EE) kirjutab, kuidas käituda tundmatute “sõpradega “ Facebookis.

false-identity

Allikas: jillstanek.com

Sõbrad moodustavad tähtsa osa meie elust. Eriti veel tänapäeval, kui on olemas sotsiaalvõrgustikud. On rikkus omada palju sõpru, omada palju häid sõpru on aga suisa õnnistus. Täna räägime FaceBooki (FB) libasõpradest, keda sa tegelikus elus isegi ei tunne ja nende motiividest „sõbrunemisel“.

Kas mäletad oma vanemate õpetust „Ära võta kommi võõra onu käest!“ või „Ära räägi võõrastega!“. Facebook’is on sõpradega ja sõbrakutsetega sama lugu. On inimesed, keda sa tunned päriselust ja siis on need, keda sa tegelikkuses ei tea. Parem ära aktsepteeri FB-kutseid inimestelt, keda sa reaalseltlt ei tunne ega ära kliki ka linkidel, mida säärasel moel tekkinud isikud sulle vestlus(t)es saadavad.

11-funny-fake-friend-request

Allikas: pmslweb.com

Tundmatud sõbrad

Kust nad üldse tulevad? Tundmatud „sõbrad“ on põhiliselt ikkagi petturite kätetöö ning eesmärgiks tavaliselt on laiendada oma haaret (sihtmärgiloendit) üheks järgnevateks tegevustest:

  • pahavara levitamiseks,
  • FB spämmi levitamiseks,
  • noodapüügiks,
  • vargusteks.

Eelmises blogijutus kirjeldasime noodapüüki ja selle motiive. Isehakanud „sõprade“ puhul on tegemist sarnaste motiividega ja enamgi veel. Kuniks jagub aktiivseid kasutajaid FB keskkonnas, saab iga kasutajaprofiili väärtuse teisendada rahasse. Petturid on valmis minema üpriski kaugele, et seda väärtust reaalseks rahaks muuta.

Järgnevalt kirjeldangi mitut tüüpi skeeme, mille abil petturid üritavad oma eesmärke saavutada. Taustana eeldan, et sa oled kahtlase sõbrakutse juba aktsepteerinud. Nüüd kirjeldan, mis hakkab juhtuma peale „sõbra“ vastuvõtmist.

tumblr_o0qgt8VeYe1u3rcf3o1_1280

Allikas: obcrack.tumblr.com

FB profiili kloonimine

„Oh jess, sain uue sõbra!“ Üritad temaga ehk suheldagi, kuid sealtpoolt ei tule kippu ega kõppu. Lõpuks unustad, et ta olemaski on. Kuid taustal toimub paras siblimine. Pettur enamasti viivitab, et tema kontot koheselt ei suletaks ning et pettuse mõju oleks suurem. Kuid mõne aja möödudes vahetab ta ära profiilipildi ja seejärel ka kaanefotod, mis aga on võetud sinu profiilist. Pärast seda järgneb suur sõbrustamine. Täpsemalt – ta saab sinu sõpradega omakorda sõpradeks.

Siit edasi on kaks võimalust:

  1. Pettur saadab sinu sõpradele loosimisüleskutseid, linke kõrvalistele lehtedele või südantpurustava loo, kuidas sa oled välismaal ja vajad koheselt rahaülekannet.
  1. Pärast sõbrakssaamist postitab petturist „sõber“ oma voogu postituse hädakisaga, et tema konto(d) on ära häkitud. Säärase sõnumiga üritab ta elimineerida legitiimset ehk päriskontot ehk sinu algset FB kontot – enamasti on see variant tõsisemate petturite taktika. Peale esmase eesmärgi saavutamist üritatakse ära sooritada sinu identiteedi täielik vargus.

Kaks näidet kirjadest, mida on säärases olukorras ohvri sõpradele laiali saadetud:

Näide tekstist 1:

❌❌❌ Urgent ❌❌❌❌

All the accounts are being hacked. The profile picture and your name are used to create a new facebook account. And then they want to your friends add them, your friends think it’s you and accept. From this moment, the pirates can write what they want under your name!! ….. Please do not accept a 2nd invitation from me!! Copy this message on your wall so that all your friends be warned!

Do not share. Make a copy / paste this message

Just in case! Protect your accounts.

Näide tekstist 2:

Accounts are being hacked. Someone will take your profile picture, your name, and then create a new facebook account. Then they ask your friends to add. Your friends think it’s you and accept. From that moment, they can write whatever they want under your name. Please DO NOT accept a 2nd invitation from me. Copy this on your wall so your friends can see and be warned.

Tõepoolest, selle koha peal valitseb peas vaid segadus: keda uskuda ja keda mitte? Kes on koopia ja kes originaal?

Sõbralikud vestlused

„Oo, sõbrakutse. [Tsekib]. Vapse piff ju, kohe saame lähemalt tuttavaks.“ Tere siis tõepoolest, kuid saame ikka lähemalt tuttavaks – meie vastas on „Tädi Maali“. Iga natukenegi inglise keelt oskav isik saab aru, et „tädile“ on enesemääratlusse kogemata sisse jäänud reetlik viga (tähistatud punase rõngaga):

Tädi Maali

Kuvatõmmis

Tädi Maaliga sain sõbraks hiljuti. Üllataval kombel ta isegi vestles minuga – küll veidi vigases inglise keeles. Vestelda jõudsime umbes kaks päeva, siis sooviti erandkorras lennupileti raha.

Uurides paistis, et vastase sõbralisti kuulusid enamjaolt keskealised (end profiilis vallaliseks märkinud) mehed. Meie vestlused pärast seda jäid lühikeseks, sest olin täitnud enda eesmärgi, võin nüüd kinnitada, et selline petuskeem on olemas.

Õige šokk saabub alles siis, kui panna petturi profiilipilt Google pildiotsingusse:

Tehno Maali

Kuvatõmmis

Pärast reaalsuse hoomamist jäi Danielle-Kareni suhtes üle ainuvõimalik käitumisviis – tema mitmik-olemus ja teod Facebook’i meeskonnale kenasti ära raporteerida. Artikli lõpust leiad õpetuse, kuidas petturist täpselt teada anda. Meetod toimis. Danielle-Karen eemaldati FaceBook’ist:

eemaldamine

Kuvatõmmis

Andmekaevandus

Kuigi ka guugeldamist minu enda poolt võib mingist vaatenurgast lugeda andmekaevanduseks, siis siinkohal tahan kirjeldada, kuidas petturid kaevandavad neile vajalikku teavet sinu ja su sõprade postituse kaudu.

Mõelgem ausalt, kas ja kuivõrd me märkame kontrollida FB vahendusel levivat infot iseenda kohta!?! Ei tulegi nagu selle peale, et keegi minu sõbralistis suudaks selle teabega midagi halba korda saata. Paraku, järgnevad näited tõestavad vastupidist. Petturid ja vargad võivad kasutada ära usaldust, mida sa oma FB voos jagad.

Viiteid aset leidnud kirevamatele petujuhtumitele (ingliskeelsed):

Jah, ka vargad omavad FB kontot nagu iga teinegi moodne inimene. Ainus vahe – nad kasutavad FB’s veedetud aega väga praktiliselt. Siinkohal juhingi tähelepanu, et iga inimene vaataks ennast ja oma sõpru vaatenurgast, et mis infot kellega jagatakse. Seda tuleb jälgida ka siis, kui sa polegi tundmatut oma „sõbraks“ vastu võtnud.

Kuidas ohte ennetada?

  • Vali oma FB sõpru sama hoolikalt, kui tegelikus elus;
  • Kontakteeru sõbrakutse saatnud isikuga, tuvasta, kes ta on ja kas sa tunned teda ka tegelikult;
  • Kui tegid vea ja juba omadki kahtlast „sõpra“, siis ennetamaks nakatumist/noodapüüki või lihtsalt andmeleket, eemalda see isik koheselt oma sõbralistist;
  • Kui tuvastad säärase „sõbra“, kelle puhul manipuleerimisvõtted on ilmsed ja tõestatavad, siis teavita tema profiilist FaceBook’i;
  • Keela oma sõbralisti ja muu info avalik kuvamine.

Kuidas teavitada FB-le võltsprofiilist?

Millal raporteerida petturist? Kui oled tuvastanud „sõbra“ (tegelikult siis vaenlase), kes täiesti ilmselt esineb kellegi teisena, sooritab manipulatsioone või on ilmutanud muid pahatahtlikke kavatsusi, siis tuleks sellest faktist teavitada FB-d. Pseudonüümne identiteet iseenesest pole pahategu, kuid kui seega kaasneb rünnak ja infooperatsioonid, tuleb kindlasti reageerida.

Kaebuse saab esitada nii: sirvides „sõbra“ profiili vajuta ikoonil „“ (ehk lisavõimalused) nagu järgnevalt pildilt näha. Sealt vali „Esita kaebus“.

kaebus

Kuvatõmmis

Tegevus juhib su dialoogini, kus küsitakse täpsustavat infot, miks sa soovid kasutaja peale kaevata. Vali, et profiil on kahtlane ning vajab raporteerimist.

raporteerimine

Kuvatõmmis

Järgnev dialoog pakub erinevaid põhjuseid, miks sa võiksid tahta kasutaja profiili kohta kaebust esitada. Valik on lihtne: See on libakonto.

libakonto

Kuvatõmmis

Facebook esitab veel ühe dialoogiakna, saamaks teada, mis tüüpi libakontoga on tegemist. Vali: Other (Muu).

other

Kuvatõmmis

Viimaks jõuad aknani, kus pakutakse erinevaid käsitlusvõimalusi. Vali: Submit To Facebook for Review (saada FB’le ülevaatamiseks). Tulemus: sinu sisestatud info satub automaatsüsteemi kaudu elusa inimese kätte, kes kontrollib faktid üle ja teeb otsuse. FB töötajad näevad petturite profiile iga päev, nii et oskavad iga säärase kiiresti ära tunda.

blokeeri sõber

Kuvatõmmis

Kuidas piirata profiilis kuvatavat infot?

Infolekete vastu võitlemiseks on FB keskkonnas olemas hulk erinevaid võimalusi, kuid need tuleb seadistustes ise määratleda. FB’s saad pea iga oma postitust ja infokildu seadistada, vajutades allasuunatud noolt, mis toob ette „Muuda privaatsust“ nupu.

Järgnev näide: kirjeldame tegevust, kuidas lõpetada oma sõbralisti avalik kuvamine.

Vajuta oma profiililehel mooduli „Sõbrad“ juures allasuunatud noolekesele. (NB! Privaatsuse huvides värvisin ekraanipiltidel mustaks isikliku info – ära lase end sellest segada!)

Muuda privaatsust

Kuvatõmmis

Noolel klikkides ilmub nähtavale dialoog, mis loetleb erinevaid huvigruppe, ning lubab infot vastava grupi eest peita või vastupidi, nähtavaks muuta. Tee oma valik ja kinnita see, klikkides „Valmis“ nupul.

sõprade nimekiri

Kuvatõmmis

Lisaks juhin tähelepanu. et on olemas võimalus ära seadistada ka oma tulevaste postituste nähtavus, hoidmaks infot kenasti vaid soovitud huvigrupis.

huvigrupis

Kuvatõmmis

Veel pakub FB võimalust testida, et/kas kõik seadistused töötavad nagu plaanitud. Seda saad sa teha oma profiililehel. Oma profiilis vajuta ning vali „Vaata kui …“ (ühesõnaga, kellegi teisena):

kellegi teisena

Kuvatõmmis

Sa satud taas oma profiililehele, kuid nüüd juba tavainimese õigustes – teisisõnu, sa näed oma lehte nii, nagu seda näeb iga juhuslik internetis surfav inimene. Asjaolule, et tegu on avalikkuse jaoks nuditud vaatega, viitab must riba.

must riba

Kuvatõmmis

Kui seadistatu näeb välja nagu plaanitud, mine tagasi oma infovoogu või vajuta X mustal ribal ning oledki edukalt seadistanud oma FB privaatsusseaded.

Kokkuvõte

Interneti vahendusel on kerge sõpru leida, kuid nende motiive mõista (ilma põhjaliku uurimiseta) mitte enam nii lihtne. Veendumaks, kes on sinu sõber ka tegelikult ja kes mitte, pea meeles järgnevaid soovitusi ning kindlasti vaata üle oma profiili privaatsusseaded.

Kordame koos üle turvasoovitused:

  • Ole oma FB sõprade suhtes sama valiv kui päriselus;
  • Kontakteeru sõbrakutse saatnud isikuga, tuvasta, kes ta on ja kas ta ikka on sinu sõber;
  • Kui juba omad „sõpra“, siis, eesmärgiga ennetada nakatumist ja noodapüüki ning vältimaks andmeleket, eemalda see isik oma sõbralistist koheselt;
  • Tuvastades jutumärkides „sõbra“, teavita tema profiilist FB töötajaid.
  • Keela oma sõbraloendi ja muu info piiranguteta väljakuvamine.

Laikide farmimine: ohud ja ennetus

Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond (CERT-EE)

fish-farm-hero

Allikas: modernfarmer.com

Oled kindlasti kuulnud ütlemist, et loll saab ka internetis peksa. Eriti kehtib see just sotsiaalvõrgustike kohta. Siin kirjutan täpsemalt Facebookist (FB) ja selles liikuvast spämmist.

Terminoloogia

See tekst puudutab küberkuritegevust. Kuna Eestis pole küberkuritegevus kuigi populaarne, siis puuduvad ka vastavad omakeelsed sõnad. Laikide farmimine – kõlab ju kohutavalt? Kuid oht ise on olemas ja seepärast, kasvõi mitteametlike kolesõnadega, tuleb oht ära kirjeldada.

Farming – (ingl. k. pharming) – see sõna tähistab netiliikluse (kuritahtlikku) ümbersuunamist omaenda eesmärkide saavutamiseks, vt ka traffic arbitration. AKIT annab vasteks noodapüük: Laik – (ingl.k. like) – meeldivusklikk FaceBook’is.

Laikide farmimine (ingl. k. like-pharming) – pahategevus, mille eesmärk on FB’s püstipandud kurilehele suuremat külastatavust toota ja selle kaudu oma eesmärki reklaamida.

Laigifarmer (like-pharmer) – pahauskne tegutseja, kes kogub netis noodapüügi meetoditega populaarsust oma põhiärile – olgu selleks reklaamimüük või pahavaraga nakatamine.

Jagamine (ingl. k. sharing) – internetimajanduse mehhanism (shääri kama!), mil puudub seos sõna „jagamine“ muude tähendustega (dividedistribute, dispense etc)

Jälgija, järgija – (ingl.k. follower) – FaceBookis ja Twitteris – isik, kes on teinud püsitellimuse sinu lehe ja kõigi selle uuenduste&/täienduste nägemiseks, sarnasus ajalehetellijaga või usulise järgimisega (mitte jälgimise nagu nuhkimisega).

Spämm – (ingl. k spam [mail]) – rämpspost, ITS §5 kohaselt vahel ka „kommertsteadaanne“

Äraandmine – (ingl. k. giveaway) – reklaamiüritus, kus parimad edasireklaamijad saavad endale toote tasuta (pole tegemist äraandmisega reetmise tähenduses)

mobile homes

Kuvatõmmis

Laikide farmimine ehk noodapüük

Mis on FB spämm? FB spämm on laigifarmerite (noodapüüdjate) töö tagajärg, mis ringleb sinu ja su sõprade FB voogudes. Laikide farmimine on üks järjekordne internetis liikuva pettuse liik ja kogub see massilist populaarsust just FaceBook’i keskkonnas. Laigifarmerid paluvad oma FB lehe jälgijatel jagada ja laikida sellel olevaid postitusi, kogumaks suuremat jälgijaskonda. Oled kindlasti mõnda sellist postitust kohanud.

Laikide farmimine toimub tavaliselt petturite poolt loodud erilehekülje abil, kuhu postitatakse võlts-loosimisi, äraandmisi, uudiseid või väljamõeldud (tavaliselt varastatud) lugusid koos piltidega, ikka eesmärgiga koguda jälgijaskonda.

Need postitused küsivad sinult kas laike ja lehejagamist näitamaks üles poolehoidu, või nõuavad lausa palvetamist või protesteerimist võideldava eesmärgi nimel, mõnikord ka võitmaks erinevaid võistlusi või loosimisi. Kui sa postitust laigid või jagad, siis levib see sinu sõpruskonna FB voogudesse ja see suunab ka sõbrad petturi FB lehele. FB praegune uudisvoo algoritm soodustab laikide farmimist veelgi, kuna see töötab just laikide ja jagamiste arvu põhjal ning toob „märgatud“ postituse kasutajate voogudes üha jõulisemalt esile.

Farmimise monitoorimine

Petturid loovad vahel kontosid suurtes kogustes, et jagada ja julgustada postituste laikimist, jagamist ja kommentaaride kirjutamist. Kui pettur on kogunud piisavalt jälgijaskonda, siis paneb ta lehe müüki või müüb soovijatele oma lehel reklaamiteenust. Mõningatel juhtudel pannakse leht ka Tumeveebis (Dark Web) müüki teistele petturitele, et nemadki saaksid oma eesmärke täide viia. Mida rohkem on FB lehel laike, seda suurema summa eest saavad petturid seda müüa.

buy sell

Kuvatõmmis

Müüdud lehed tühjendatakse tavapäraselt varasematest postitustest ja kasutatakse toodete või teenuste reklaamiks, millelt pettur teenib. Halvemal juhul saab lehe omanikuks mõni pahauskne tegelane, kes alustab petukampaaniaga, postitades võltsloosimisi või võistlusi, kus soovitakse kasutajalt isikuinfot ning krediitkaardi numbrit.

Muuseas – neid lehti on osta lihtne. Toon näite ühest säärasest keskkonnast – lehti müüakse kategooriate kaupa, mis lihtsustab sihtgrupi leidmist.

FameSwap

Kuvatõmmis

Petturid teevad pakkumisi huvipakkuvatele FB lehtedele. Lehti müüakse sadade kuni tuhandete dollarite eest.

ownership

Kuvatõmmis

Laikimise ohud

On olemas palju erinevaid postituse tüüpe, millistest tuleks olla teadlik, et hoida enda ja sõpruskonna FB lehed puhtana. Oled neid ilmselt näinud või näed regulaarselt oma FB voos:

  • emotsionaalsed lood, mis kutsuvad Sind võitlema mõne ülla ja heatahtliku tegevuse või eesmärgi eest;
  • lood, mis provotseerivad reageerima postitusele laigi või kommentaariga, näitamaks poolehoidu või vastupidist arvamust;
  • postitused, mis lubavad maagiat ja õnne ühe väikese laigikliki abil – õnne, mida sa pole varem leidnud.

Laikimine võib tunduda ohutu, kuid nagu varem mainitud, siis levib tulemus kulutulena ka sinu sõpruskonna voogudesse, muutes nad spämmilevitajateks või nakatades neid pahavaraga.

Kuigi laigitud lehekülg ei pääse ligi Sinu profiilis leiduvale sõbranimekirjale, lastakse käiku kasutajaprofiilist leitud info ning selle põhjal hakatakse kostitama personaalsete pakkumiste ja muude postitustega. Kui oled hiljuti laikinud BMW lehekülge, saad peatselt ahvatleva loosikutse, kus on loosis BMW, kuid osalemise eeltingimusena soovitakse sinu krediitkaardi andmeid. Ja nagu naksti – oledki konksu otsas. Teise näitena võib tuua igasuguseid heategevusliikumised, mis küsivad krediitkaardiinfot annetuste saamiseks.

Seega – mõni laik siia-sinna võib tuua tõsist kahju sulle ja sõpruskonnale, olgugi, et sõnum, mida üritate edastada, on hea. Ainuüksi laikimine võib anda alguse suuremale tegevusahelale.

Millised on siis need postitused?

Mõned levinumaid näiteid liikvel olevatest postitustest.

Emotsionaalsed postitused

Enamik pilte, mida on postitustes kasutatud, on graafilised ja mängivad Sinu emotsioonidega. Need pildid on kas varastatud internetist või lausa photoshopitud. Postitus kutsub laikima ja jagama seismaks millegi eest. Ja kui petturitele ei piisa, siis palutakse ka palvetada millegi/kellegi eest.

roseman

Kuvatõmmis

Provotseerivad postitused

Seda tüüpi postitused sisaldavad poliitilist või usulist sisu, kus laikimine või jagamine sümboliseerib hinnangu andmist ja seisukoha võtmist.

heart forever

Kuvatõmmis

„Maagilised“ fotod

Need postitused sisaldavad fotot ja sisu, mis lubavad laikimise ja kommentaari lisamise eest mingit kohest hüve, olgu see siis kohene rikkus või kuues varvas. Enamasti saadakse pärast ikka üht ja sama – spämmi.

sama

Kuvatõmmis

„Liiga-hea-et-olla-tõsi“ võistlused/loosid

Kui eelnevad postitused võisid veel sisult kuidagi legitiimsed tunduda, siis järgnev on petturite laiskuse tipp. Postitused lubavad peale laikimist/jagamist loosis osaleda. Loosi lähevad autod, reisid, piletid, kuldmunad.

kuldmunad

Kuvatõmmis

Kuidas eristada legitiimsete sõnumitega postitusi noodapüügist?

Esiteks: kui miski on liiga hea, et olla tõsi, siis reeglina polegi see tõsi.

Teiseks: kontrolli, kas FB leht, mis jagab postitust, on FB poolt verifitseeritud.

kolm karu

Kuvatõmmis

Kolmandaks: vaata, kas postituse teema kohta leidub infot ka mujal, või vaid lehel, mida viitab postitus ise.

Neljandaks: jälgi postituste kuupäevi. Kui leht on „eilane“, kui tal puudub eelnev ajalugu, siis see loodigi (vaid) pettuseks.

Kokkuvõte

Noodapüük ehk laikide farmimine on tegevus, mis põhjustab FaceBooki spämmipostituste laikimist ja edasist jagamist. Laigispämmi liigub ringi aina rohkem ja see muutub üha ohtlikumaks. Süütu laigivajutus võib hiljem kaasa tuua nakatumise pahavaraga, kuna varemalt nunnukiisupiltidele vajutatud laik, kellegi “aitamiseks” antud laik või sajandi loosis osalemise laik on vahepeal teisenenud hoopis teise kavatsusega leheks. Tulemuseks tekkinud leht aga üritab kas müüa sulle oma toodet (varastades muu hulgas sinu krediitandmed) või „arbitreerib liiklust“ ja viib kasutaja lisakliki kaudu kolmanda osapoole saidini, kus toimub tegelik nakatumine.

Miks tekib FB spämm?

Mida rohkem on ühel FaceBook’i lehel järgijaid, seda rohkem omab ta väärtust. FB ärimudel lubab osta laigitavale saidile kajastust. Ja kuna saidi haare on suurem, siis omab see veelgi rohkem väärtust. Just rahalist väärtust üritavadki tühjast kohast tekitada FB petturid. Tumeveebis (ingl.k. Dark Web) makstakse paarisajatuhandelise laikijaskonna eest kuni 800 dollarit.

Kuidas see juhtub?

  1. Laigifarmer/noodapüüdja loob FB lehe, mis kutsub inimesi lehte laikima ja selle sisu/sõnumit jagama (shäärima).
  2. Laikijad jagavad lehte omakorda oma sõprusringkonnaga, kes veel omakorda laigivad ja jagavad lehte.
  3. FB algoritm korjab lehelt üles jagamisaktiivsuse ja laikimissageduse näitajad ning teeb omalt poolt laiemat teavitust.
  4. Mida rohkem kasutajaid kõnealust lehte näevad, seda rohkem laike leht korjab.
  5. Lehe looja (noodapüüdja-laigipõllumees) müüb lehe ettevõttele või reklaamijatele markantse summa eest, seeläbi lihtsustades ostja müügitööd. Siinjuures tuleb mainida, et lehe omanikku (farmerit) ei huvita, kes tema lehe ostab ning suure tõenäosusega ostab selle mõni nakatuskampaaniat plaanitsev isik.
  6. Alternatiivne võimalus: lehe looja ise teenib klikkide pealt kasumit (müües reklaami).

Soovitused

Et eristada kokkufarmitud lehte normaalsest reklaamikampaaniast, veendu, et:

  1. FB leht on FB enda poolt verifitseeritud:
  2. leht pole loodud just eile ja just selleks petukampaaniaks
  3. teistes allikates leidub teavet, mis on kooskõlas parasjagu käimasoleva kampaaniaga.

Tööstuslike juhtimissüsteemide küberturvalisusest

fireeye

Urmo Sutermäe, riskihalduse osakonna valdkonnajuht

Möödunud aastate jooksul on avalikustatud juhtimissüsteemide (ICS) mitmeid nõrkusi, mida ära kasutades on võimalik häirida või katkestada nii elektrivõrgu, veevarustuse kui ka teiste elutähtsate teenuste toimimist. Avastatud nõrkused puudutavad eelkõige sensoreid, programmeeritavaid kontrollereid, tarkvara kui ka võrguseadmeid, mida kasutatakse füüsiliste protsesside automatiseerimise ja seire eesmärgil.

Nendest teenustest ja protsessidest sõltub omakorda kogu tänapäeva ühiskonna harjumuspärane toimimine. Küberturbefirma FireEye avaldas 2016. aasta augustis raporti ülevaatega viimase 15 aasta jooksul avalikustatud ICS nõrkuste trendidest. Tegemist on üldisema uuringukokkuvõttega, mis ilmekalt näitab avalikult teadaolevate ICS-spetsiifiliste nõrkuste pidevat kasvu. Kuivõrd ka Eestis kasutatakse kõnealuseid ICS tooteid, siis tuleb ka meil olla pidevalt kursis nii avalikustatud nõrkuste kui ka nende parandamiseks loodud turvapaikadega.

Stuxneti avastamine 2010. aastal tekitas konkreetse vajaduse ja huvi tegeleda ICS turvanõrkuste uurimisega. Viimase 15 aasta jooksul on eksperdid tuvastanud ja analüüsinud 1552 ICS nõrkust, mis puudutavad 123 erinevat toodet. Selgus, et 516 nõrkuse puhul puudusid tootjapoolsed turvapaigad üldse, mis omakorda avab võimaluse turvaprobleemide kuritarvitamiseks. Sealjuures pole kolmandikul ICS nõrkustest avalikustamise hetkel tootjapoolset ravi veel olemas.

Teadaolevalt on viimaste aastate jooksul kasutatud küberrünnete läbiviimiseks vähemalt viit ICS-spetsiifilist nõrkust. Enim kõneainet on andnud Stuxnet ning rünnakud Ukraina elektrijaamade vastu. Need intsidendid kasutasid peamiselt ära järgmiste toidete turvanõrkusi: Siemens Simatic, Siemens WinCC, GE Cimplicity, Moxa UC-7408-LX ja IRZ RUH2 3G.

Eestis on elutähtsa teenuse osutajal seadusest tulenev kohustus tagada teenuse osutamiseks vajalike infosüsteemide turvalisus. Seetõttu ongi oluline, et elutähtsa teenuse osutajad ja muudki ettevõtted osutaksid kõrgendatud tähelepanu ICS süsteemide turvalisusele, sest nende süsteemide ründamine võib tuua kaasa mitte ainult elutähtsate teenuste (elektri- ja veevarustus, logistika jms) katkemist vaid, ebasoodsate asjaolude kokkulangemisel võib põhjustada vahetut ohtu inimeste elule ja tervisele.

Ennetamaks turvanõrkuste ärakasutamist on teenuseosutajal kindlasti vaja:

  • Omada täpset ülevaadet kasutusel olevatest ICS infosüsteemidest – käitavatest ja toetavatest infovaradest, nende asukohtadest ja funktsioonidest. Nimetatud andmed on kõige otstarbekam kajastada IT-riskianalüüsi dokumendis. RIA soovitab kasutada IT-riskianalüüsi koostamise juhendit ning vastavaid näidismarjale, mille leiab RIA veebilehelt.
  • Pidevalt hankida struktureeritud teavet ICS nõrkuste ja avaldatud turvapaikade kohta, sealhulgas võimalikult erinevatest allikatest. Vastavat teavet pakuvad nii konkreetsete ICS seadmete tootjad kui ka spetsiaalsed küberkaitse valdkonna uudistelehed; kindlasti tuleb igal üksikul juhul hinnata ka allika usaldusväärsust.
  • Võrrelda avalikustatud nõrkuseid ja avaldatud turvapaikade teavitusi tegelikus kasutuses olevate ICS infosüsteemidega. Tegevuse tulemusena peaks tekkima täpne ülevaade, kas teadaolevate nõrkustega seotud ICS tooteid asutuses kasutatakse ning kui, siis mis ulatuses.
  • Kaardistada kasutusel olevad haavatavad ja paikamata infovarad/tooted. See annab vajaliku ülevaate asutuse riskiolukorrast ning võimaldab süstemaatiliselt tegeleda haavatavuste vähendamisega ja täiendavate turvameetmete rakendamisega.
  • Kirjeldada võimalike haavatavuste parandustegevused ja varustada need prioriteetidega lähtuvalt ICS seadme asendist infosüsteemis, nõrkuste ärakasutamise keerukusest ja võimalikust mõjust automatiseeritud tööprotsessidele. Kirjelduse tagajärjel peaks tekkima detailne tegevusplaan asutuse haavatavuste parandamiseks.
  • Juhul kui teadaolevaid nõrkusi ei ole võimalik erinevatel põhjustel parandada (paik või asendusvõimalus puudub), siis tuleb rakendada meetmeid, mis raskendavad oluliselt nende ära kasutamist, näiteks piirata ICS infosüsteemide võrgukasutust ja ligipääsu Internetile.

Lisaks eelnevale tuleb arvestada, et ICS nõrkusi avalikustub kindlasti ka edaspidi ning pigem see trend lähiaastatel tõuseb. Lähitulevikus tõenäoliselt lisandub uusi juhtumeid, kus ICS nõrkusi ongi kasutatud reaalse küberründe läbiviimiseks. Selliste oluliste ICS turbesündmuste (nt küberrünnakud, uuringutulemused) meediakajastus omakorda elavdab võimalike nõrkuste avalikustamist veelgi.

Ülevaate koostamisel kasutati FireEye iSight Intelligence raportit “Critical Lessons from 15 Years of ICS Vulnerabilities”.