Monthly Archives: July 2020

Vähem müra, selgem ohupilt: metoodika muutus küberintsidentide kajastamises

2020. aasta juulist lõpetame robotvõrgustikega Avalanche ja Necurs nakatumiste kajastamise CERT-EE intsidentide loetelus. Avalanche’i robotvõrgustik peatati rahvusvahelise politseioperatsiooni tulemusel 2016. aasta detsembris (kuid nakatumised jätkusid hiljemgi), Necursi võrgustiku sai Microsoft enda kontrolli alla 2020. aasta märtsis. Seega võib hinnata, et need kaks võrgustikku enam aktiivselt küberruumi ei ohusta.

Eesti küberintsidentide statistika RIA 2019. aasta küberturvalisuse aastaraamatus. Foto: RIA

Nende kahe võrgustikuga nakatumised on 2017-2019. aastal moodustanud ca 95% kõigist meie robotvõrgustikuga nakatumiste intsidentidest ning kuna me saame ja saadame neid teavitusi välja mõnikord mitu korda ööpäevas, siis moodustavad need ca 60% kõigist intsidentidest üldse.

See ei tähenda, et me enam nende nakatumistega ei tegeleks. Vastupidi – CERT-EE saadab üha tihedamini ja üha rohkem teavitusi välja robotvõrgustike (ja muu pahavaraga) nakatumiste kohta. Alates 2019 suvest on CERT-EE hakanud Eesti telekommunikatsiooniettevõtetele, veebiteenuste majutajatele ja oma võrke haldavatele asutustele välja saatma automatiseeritud teateid erinevate haavatavate seadmete / seadistuste kohta nende võrkudes. Automatiseeritus tähendab seda, et meie serverid saavad masinloetava info kätte usaldusväärselt allikalt, kes on loonud endale taristu haavatavuste ja nakatumiste tuvastamiseks üle terve maailma. Meie süsteemid jagavad info automaatselt edasi Eesti internetiruumis toimetavatele võrkude omanikele. Hetkel jõuab CERT-EEni info ca 3000 nakatumise kohta ööpäevas, mis mõjutab enam kui 700 serverit ja arvutit. Mõne seadme puhul on nakatumine olnud mitme pahavaraga korraga.

Mida rohkem taolisi allikaid me oma süsteemidesse integreerime, seda detailsemat pilti haavatavustest ja nakatumistest me Eesti IP-ruumi klientidele suudame pakkuda. Samas tähendab see ka teavituste tiheduse kasvu, mille ükshaaval statistikas kajastamine ei aita kaasa ohupildi selgemaks saamisele. Näiteks mai keskpaigast juuni keskpaigani oleme teada saanud ja seega ka teenusepakkujaid teavitanud 103 000-st nakatumisest. Numbreid analüüsides aga on näha, et ca 86 000 nendest olid seotud vaid kolme IP-aadressiga ja kokku teame 1701-st erinevast pahavaraga IP-aadressist. Paljud korduvad, paljud nakatumised on samuti seotud juba neutraliseeritud pahavarataristuga, seega ei anna need numbrid statistikas nii palju selgust juurde.

Avalanche’ ja Necurs robotvõrgustike nakatumiste kajastumise muutus hakkab esialgu silma paistma järsu intsidentide langusena (hinnanguliselt 50 – 60%), aga muudatuse tulemusel kajastab meie intsidentide statistika tegelikku ohupilti selgemalt. Kokkuvõtteid robotvõrgustikest plaanime teha ka edaspidi, aga teistmoodi, näidates nakatumiste trende üle teatud aja ning keskendudes nende dünaamikale.

Lauri Tankler
RIA juhtivanalüütik

AEO – küberruumi lahtimõtestaja ja küberohtude ennetaja

Riigi Infosüsteemi Ameti küberturvalisuse teenistuse neljast struktuuriüksusest kõige rohkem väljapoole suunatud on kahtlemata analüüsi- ja ennetusosakond (AEO), mille kõige kaalukam ülesanne on Eesti küberruumi suundumuste ja trendide analüüsimine. Olulist eesmärki täitva osakonna tegemisi tutvustab osakonna juhataja Märt Hiietamm.

Riigi Infosüsteemi Ameti analüüsi- ja ennetusosakond

Küberruumis tekivad ohud kiiresti ning neist on vaja ka kiiresti rääkida, sest vastasel korral jõuab äsja avastatud turvanõrkus või uus pahavara rohkelt kahju tekitada. Just AEOs valmivad regulaarsed ja erineva tihedusega (nädal, kuu, kvartal, aasta) küberturvalisuse ülevaated (https://www.ria.ee/et/kuberturvalisus/olukord-kuberruumis.html).

Kuigi pahavarad ja viirused tulevad ja lähevad, on nende käekiri üldiselt sarnane. Sellepärast hakkasime koos RIA intsidentide käsitlemise osakonnaga (CERT-EE) koostama ohuhinnanguid (https://www.ria.ee/et/kuberturvalisus/ohuhinnangud.html). Sel moel saame nii ettevõtteid kui ka avalikkust operatiivselt küberruumi uusimate ohtude ja rünnakute eest hoiatada ning anda soovitusi, kuidas end nende eest kaitsta. Tihti valmib mõni artikkel või blogipostitus, mis võtab konkreetse teema süvitsi ette. Ka sel kevadel üllitatud RIA ajaloo esimese aastaraamatu https://www.ria.ee/sites/default/files/content-editors/RIA/ria_aastaraamat_2020_48lk_est_veeb_0.pdf) panid kokku analüüsi- ja ennetusosakonna analüütikud. Kõik meie koostatud avalikud küberanalüüsid jõuavad RIA kodulehte, sotsiaalmeediat ja uudiseid jälgides pea igaüheni.

Küberruum on piirideta ja tohutu ning kõiki uusi trende pole füüsiliselt võimalik analüüsida ega lahendada. Tahaksime igat arvutikasutajat aidata, kuid selleks ei ole kunagi piisavalt inimesi. Ja isegi kui oleks piisavalt töötajaid, kes jõuaksid uutest ohtudest rääkida, satuksid arvutikasutajad ikka petiste ja kurjategijate küüsi. Seepärast ongi parim vahend inimeste kaitsemiseks ennetamine. Vahet pole, kui palju on tuletõrjujaid, kõige säästlikum viis tulekahju ohjamiseks on selle ära hoidmine.

Kas sa mäletad 2019. aasta sügisel nii teles, veebis kui ka tänavapildis silma hakanud ennetuskampaaniat „Ole IT-vaatlik“ (https://itvaatlik.ee/)? Või aprillis eriolukorrast tingitud kaugtöö turvalisusele keskendunud väiksemat teavitust „Ole eriolukorras eriti IT-vaatlik“? Need puhus elule AEO koos partneritega. Praegu valmistame ette kaht uut kampaaniat. Sel sügisel on meie fookuses Eesti väikeste ja keskmise suurusega ettevõtete küberturvalisus ning muukeelne vanemaealine elanikkond. Eesti inimeste teavitamise abil nende küberteadlikkuse tõstmine ning sel moel erineva tõsidusega küberintsidentide ennetamine suurendab üldist turvatunnet riigis ning hoiab ära nii andmete kui ka rahalist kadu.

Eeltoodust võib üsna loogiliselt järeldada, et AEO inimesed väga hästi kursis kõigi küberohtudega. Minult on seetõttu küsitud, et kuidas ma kõike seda teades üldse internetis toimetada julgen. Vastan alati, et lisaks riskidele tunnen ka nende maandamise võimalusi ning seetõttu saan enda kaitsmisega küberruumis edukalt hakkama. Sama kehtib kõigi mu kolleegide kohta. Meie suur eesmärk on, et enda kohta võiksid nõnda väita kõik meie kaasmaalased.

AEO kolmas suur töösuund on Euroopa Liidu suunaline ja rahvusvaheline koostöö, sh suuremad või väiksemad rahvusvahelised küberprojektid, millest oleme praeguse seisuga kaasatud kolme. Uusim neist kannab nime EU CyberNet, mis on esmakordne näide ELi projektist, mida RIA juhib, selmet olla lihtsalt kaasatud. Projekti tulemusel luuakse 2023. aasta augustiks Euroopa Liidu ülene ekspertvõrgustik, mida liikmesriigid ja ELi institutsioonid saavad kasutada küberturvalisusega seotud arengukoostööprojektide elluviimiseks väljaspool ELi. Ka selline, üleilmse iseloomuga toimimine on oma olemuselt teavitus- ja ennetustegevus, mis piirideta küberruumi tulevikus turvalisemaks muudab.

AEOs töötab üheksa inimest – kolm naist ja kuus meest. Vanused jäävad vahemikku 27–43 aastat, staaž RIAs varieerub seitsmest kuust kuue aastani. Haridus on enamikul meist humanitaarvaldkonnast – nt politoloogia või ajakirjandus –, mis kirjutamise eest palka saava seltskonna puhul on ka täitsa loogiline. Osal meist on seljataga aastatepikkune karjäär Eesti riigisektoris (mh kaitse-, sise- ja välisministeeriumist), teised on varemalt leiba teeninud meedias. Neli inimest oli väga otseselt seotud Eesti 2017. aasta eesistumisega Euroopa Liidu Nõukogus, neist kolm töötas toona Brüsselis ja kaks tegeles ka siis just küberteemadega. Veel üks meie seast on varemalt Brüsselis Eesti heaks diplomaatilist tööd teinud. Üks veetis kolm ja pool aastat ERRi korrespondendina Washingtonis. Üks treenib iganädalaselt Eesti jalgpalli meistriliiga meeskonnaga FC Kuressaare (tõsi, mängib ta praegu veel nende duubli eest jalgpallipüramiidi neljandal tasandil). Nagu näha, on meeskond hoolimata hariduslikest sarnasustest väga erinevate kogemuste ja oskustega, mis teebki meist tugeva ja asjaliku tiimi, kes koos arutab ja otsustab nii murede, rõõmude kui ka proovikivide üle. Mitmekesisuses peitub teadagi jõud.

Märt Hiietamm

AEO juhataja