Monthly Archives: June 2021

Reeglid küberruumis aitavad päästa pildituks löömise eest

Ilmar Toom, RIA standardi- ja järelevalveosakonna juhataja

Mai esimene nädal. USA energiaettevõtet Colonial Pipelines tabas küberrünnak, mille tõttu tuli neil peatada 8900 kilomeetri pikkuse naftatorustiku töö. Pea pool USA idarannikul kasutatavast vedelkütusest liigub mööda neid torusid ning nende sulgemine põhjustas kütusenappuse ja lühiajalise paanika, mis päädis kütuse kokkuostmisega. DarkSide’i nime kandev grupeering varastas 100 gigabaiti andmeid ning Colonial Pipelines maksis kurjategijatele pea neli miljonit dollarit, et nad saaksid naftatoru uuesti tööle panna. Ühest küljest on maksmine arusaadav (teenus taastub), teisalt saavad kurjategijad raha selleks, et korraldada veel paremaid ründeid. Seega ei ole maksmine mõistlik taktika.

Mai keskpaik. Iirimaa tervishoiusüsteemi tabas ulatuslik küberrünnak. Conti-nimelise pahavara abil lukustati ehk muudeti kasutamatuks suurel hulgal terviseandmeid ning iirlased pidid sulgema oma IT-süsteemid, et hoida ära pahavara laiem levik. See aga põhjustas tõrkeid tervishoiuteenustes. Kübergrupeering andis iirlastele “võtme”, millega lukustatud andmed vabastada. Kui Iirimaa ei maksa kurjategijatele 16 miljonit eurot, pannakse müüki 700 gigabaidi jagu varastatud andmeid. Iirlased kardavad, et kõik konkreetse tervishoiusüsteemi andmed on kompromiteeritud.

RIA küberintsidentide käsitlemise osakond (CERT-EE) on Eesti küberruumi silmadeks. Ööpäevas tuvastavad nad kuni 100 uut pahavara päevas, aga on ka päevi, kui leitakse 1000 uut pahavara. Ühes kuu tõkestatakse kuni pool miljardit rünnakut riigisektori suunal.

Pigem kohe kaitsta

Sellised suured küberrünnakud, mille käigus lukustatakse ettevõtete ja asutuste toimimiseks vajalikud andmed, on väga suure mõjuga ning seavad ohtu inimeste elu. Lunavararünnakuid ei pea olema palju, et nad avaldaksid suurt mõju. Piisab täpsest sihtimisest. Need kaks maikuu näidet kinnitavad seda. Edukaid lunavararünnakuid pannakse toime ka Eesti ettevõtete vastu: sel kuul said pihta majandustarkvara pakkuv ja automüügiga tegelev ettevõte.

Riigi Infosüsteemi Ameti (RIA) küberintsidentide käsitlemise osakond (CERT-EE) on viimased paar aastat registreerinud keskmiselt 2-4 lunavararünnakut kuus, aga need on vaid juhtumid, millest teada antakse. Tänavu on RIA-le teada antud 15 edukast lunavararünnakust, andmete avamise eest on küsitud ühelt Eesti firmalt rohkem kui 100 000 eurot. Ettevõtte kaitsmine on kurjategijatele lunavara maksmisest odavam. Pealegi ei ole lunavararünnakute puhul kunagi kindlust, et raha maksmine andmed vabastab. Seega peavad Eesti ettevõtted ja asutused astuma enda kaitseks samme – vastasel korral piisab ühest täpsest hoobist, et lüüa nad pikaks ajaks siruli või lausa pankrotti.

IT-süsteeme täiesti tasuta kaitsta ei saa. Tehniliste vahendite kõrval on vaja koolitada töötajaid ja luua töökorraldus, mida rünnaku ajal järgitakse. Siin saab RIA veidi aidata. Värske Eesti Infoturbestandard (E-ITS) aitab paika panna reeglid, kuidas end organisatsioonina internetis paremini kaitsta. See on justkui infoturbeaabits avalikule, aga miks ka mitte erasektorile.

Avalikul sektoril, sh omavalitsustel on sadu andmekogusid ja infosüsteeme, mis on tulvil tundlikke andmeid. Sestap peabki asutustel olema selge ülevaade enda süsteemides toimuvast ja protsessidest, kus ja kuidas neid süsteeme ja andmeid kasutatakse. Samuti peab organisatsiooni juhtkond mõistma oma vastutust ning arvestama ohuga, et kunagi tabab küberrünnak või -intsident ka neid, ja selleks valmistuma. Organisatsiooni kaitsmine algab väikestest asjadest. Alustada võiks lihtsatest asjadest nagu ülevaade inimestest, kes pääsevad andmetele ligi, või millist tark- ja riistvara üldse kasutatakse, kuidas on kaks asutust omavahel andmevahetusega seotud jne.

30 aastat tagasi ei pruukinud asutuse maailm kokku variseda, kui dokumendiarhiivi uks jäi hetkeks lukustamata.

30 aastat tagasi ei pruukinud asutuse maailm kokku variseda, kui dokumendiarhiivi uks jäi hetkeks lukustamata. Kui tänasel päeval jäetakse enda süsteemid kaitsmata, siis võivad minutitega lekkida või krüpteeritud saada gigabaitide jagu andmeid ja kasutamatuks muutuda infosüsteemid.

Iga kuu proovitakse Eesti infosüsteemidesse pääseda sadu miljoneid kordi. Üks hetk jõutakse ka nendeni, kes arvavad, et nende infosüsteemid on vähetähtsad. Automatiseeritud küberrünnakud on nagu kulutuli, mis põletab enda teel nii noore istiku kui ka suure tamme.

ISKE asemel E-ITS

Inimeste võimuses on teiste vigadest õppida ja seeläbi vigu vältida. Uus infoturbestandard koondab kõikvõimalikud infoturbe ohud ning pakub meetmeid, kuidas riske vähendada. Kuid mitte ainult. Eesti infoturbestandardi üks mõte on tekitada inimestes usaldust digiriigi ja sedakaudu terve riigi vastu. Mida paremini suudame E-ITSi rakendada, seda kindlamini suudame toime tulla ootamatustega, olla oma tegevustes läbipaistvamad ning tagada usaldus riigi infosüsteemide ja riigi vastu tervikuna. Iga kord, kui e-riigi teenus lakkab töötamast, saab usaldus löögi. Piisavalt palju hoope võib e-riigi siruli lüüa ning jalule saamise hind võib olla üüratu.

Automatiseeritud küberrünnakud on nagu kulutuli, mis põletab enda teel nii noore istiku kui ka suure tamme.

Uus Eesti Infoturbestandard vahetab järgmiste aastate jooksul välja mahuka seni kasutusel oleva infoturbesüsteemi ISKE ning on kordades õhem, konkreetsem ja rohkem sihtgruppe arvestav. Väiksemast mahust hoolimata on käsitletud meetmete komplekte, millest pikalt puudust tuntud. Näiteks on standardis eraldi käsitletud tööstusautomaatika seadmeid ja nende haldust (SCADA, robotid, kõikvõimalikud andurid) ja palju muud.

E-ITSiga seonduvad materjalid leiab portaalist https://eits.ria.ee. Eesti infoturbestandard koostati Euroopa Liidu struktuuritoetuse toetusskeemi „Infoühiskonna teadlikkuse tõstmine“ raames Euroopa Regionaalarengu Fondi rahastusel.