Author Archives: Nelli Pello

Parim kaitse õngitsuste vastu on inimese ja masina koostöö

CERT-EE juht Tõnu Tammer. Foto: RIA

Internetis toimuvate õngitsuste ajalugu ulatub 1980ndate lõppu, kus sellist teoreetilist rünnakut esmakordselt kirjeldati. Päris esimeste reaalsete õngitsusteni jõuti 1990ndate keskpaigas ning sellest saati on õngitsuste arv nii sisus kui ka mahus suurenenud. Viimase kümne aastaga on õngitsuskampaaniate arv kasvanud pisut enam kui kolm korda ja ulatub täna rohkem kui miljoni kampaaniani aastas.

Pahatahtlikul eesmärgil saadetud e-kirjad on hakanud rohkem arvestama ka kohalike eripäradega. Näiteks eestlastele saadetud õngitsuskirjad kasutavad senisest enam tuntud Eesti ettevõtete brände ja paljudel juhtudel ka ettevõtete ametlikke e-posti aadresse. Selliste muudatuste tõttu on meie inimesed kelmuste suhtes märksa haavatavamaks muutunud. Kuidas siis sellises olukorras ennast kaitsta? Head ühtset lahendust siin kahjuks ei ole. Ometi on nii õngitsuslehtede kui -kirjade juures vihjeid, mis võivad reeta, et tegemist on pettusega.

Pettused e-kirjadega

Üldjuhul suhtleme inimeste või ettevõtetega, keda tunneme ja teame. Seetõttu peaks esimese häirekella lööma see, kui tuttava nime taga peituv e-posti aadress ei ole varasemast tuttav või üldse loogiline. Kui saate kirja „ettevote.ee“ töötajalt Mati Karult, siis tavapäraselt tuleb kiri tuleb aadressilt Mati.Karu@ettevote.ee:

Ettevaatlikuks peaks tegema aga olukord, kui saate kirja „ettevote.ee“ töötajalt Mati Karult, kuid kiri tuleb tegelikult mingilt suvaliselt aadressilt nagu officemail40@naver.com, isegi kui nimi on meiliaadressi ees õige.

E-posti puhul on aga võimalik väga lihtsalt saatja aadressi võltsida. Liiga palju on juhtumeid, kus mõne tuntud Eesti panga või ülikooli aadressilt on tulnud kas õngitsuskiri või on jagatud lausa pahavara. Taolise e-kirja saatja aadressi võltsimise ja teatud mõttes kaubamärgi kuritarvitamise vastu on võimalik end kaitsta kasutades ajakohaseid tehnilisi lahendusi. Üks neist on näiteks DMARC standard, mis peaks olema küberturvalisuse ja meilihaldusega tegelevatele inimestele väga tuttav.

DMARC standard töötati välja just võitlemaks selliste aadressi ja kaubamärgi võltsimistega, võttes kurjategijatelt võimaluse esineda mõne tuntud panga või ettevõttena. Korrektsel kasutamisel annab see väga tõhusa kaitse, sest enamik suuremaid meiliteenusepakkujaid kontrollib kõigi saabuvate kirjale vastavust sellele standardile.

Samuti kontrollitakse standardile vastavust kõigi nende kirjade puhul, kus aadressiks on märgitud inimese eesti.ee e-posti aadress (näiteks kui kurjategija Riigi Infosüsteemi Ameti nimel saata aadressile Mati.Karu@eesti.ee õngitsuskirja kasutades aadressina ria@ria.ee, ei lase meie meilisüsteem sellistel võltsingutel inimeseni jõuda). Riik on tänaseks seda standardit juba laialdaselt rakendanud, kuid kahjuks pole enamik ettevõtteid veel seda riski teadvustanud ning mainitud standardi rakendamiseni jõudnud.

Õngitsuslehed veebis

Õngitsuslehtedele inimene iseseisvalt ja tavapäraselt veebis surfates ei jõua. Enamasti külastame ju ikka veebilehti, kuhu meil oligi plaan minna – uudiste jaoks läheme uudisteportaali aadressile, panganduse jaoks pangalehele, ka meilide lugemiseks teame õiget aadressi. Õngitsuslehtedele viivad tavaliselt lingid, mis jõuavad meieni kas e-kirja või mõne sõnumiga. Ka sel puhul on vihjeid, mis võivad õngitsejaid reeta, seega tuleb olla väga tähelepanelik.

Panga saadetud e-kirja puhul me enamasti teame, milline näeb välja õige panga kodulehe aadress: https://www.pank.ee. Aadressile järgneb teinekord ka viide mõnele konkreetsele lehele, nt sügiskampaania leht https://www.pank.ee/sugiskampaania. Internetiaadresside tuleks lugeda järgmiselt:

Internetiaadresside õigsuse kindlaks tegemisel on abiks, kui vaadata, kus asub aadressireal esimene üksik kaldkriips (pildil oranžilt ümberjoonitud), sest just sellest kaldkriipsust hakatakse internetiaadressi lugema. Aadressi loetakse paremalt vasakule ja eraldaja on punkt. Toodud näite puhul viitab „ee“ sellele, et tegemist on Eesti aadressiga, ja sellele eelnev osa „pank“, et tegu on panga aadressiga. Kui e-kirja sees on viide internetipangale näiteks selline: https://pank-ee.com/sugiskampaania, siis näeme aadressi süvenedes ja kaldkriipsust lugema hakates, et aadress on hoopis midagi muud. Visuaalselt tundub tõesti sarnane, kuid lähemal vaatlusel enam mitte.

Kuigi tehnoloogiafirmad, meiliteenuste pakkujad ja riikide küberturvalisuse agentuurid püüavad kodanike kaitsmiseks igati koostööd teha, kasvab üle maailma õngitsuskirjade hulk ja üha rohkem jõuab meie postkastidesse kirju, mille sihtmärgiks on just Eesti inimesed. Tehnoloogia suudab kaitsta teatud maani, kuid kurbade tagajärgede vältimiseks on oluline, et ka inimesed oskaks ohte märgata. Parima kaitse tagab see, kui lisaks teadmiste kasvatamisele kasutaksid ettevõtted ka olemasolevaid tehnoloogilisi lahendusi (standardeid ja parimaid tegutsemisviise), et ka omalt poolt oma kliente õngitsuste eest kaitsta.

Tõnu Tammer
CERT-EE juht


Töövarju lugu: päev peadirektoriga

RIA peadirektor Margus Noormaa (paremal) ja töövari Henry Timberg. Fotod: Nelli Pello

On kolmapäev, 21. august. Teisipäevase vaba päeva tõttu on tunne nagu oleks uuesti esmaspäev. Kohvimasinast on kuulda ubade jahvatamise katkematut surinat.

9.00

Kell 9 algab peadirektor Margus Noormaal päeva esimene koosolek RIA sügisseminari korraldamise teemal. Marguse tööpäev on aga alanud juba hulga varem. Tavaliselt jõuab ta tööle 7 või 7.30 ajal. Umbes samal ajal alustab tavaliselt oma tööpäeva ka Siseministeeriumi korrakaitse- ja kriminaalpoliitika õigusnõunik Henry Timberg, kes on täna Marguse töövari.

Henry käib avaliku sektori juhtide koolis, mille juurde käib ka töövarjutamine. Henry sõnul valis ta just Marguse ja RIA seetõttu, et teda huvitab infotehnoloogia ning ta aitas ise kaasa küberturvalisuse seaduse valmimisele. Juhuse tahtel kannavad nii töövari kui ka varjutatav ühte värvi ülikonda ja lipsu – nad võiksid vabalt töötada presidendi ihukaitsjatena.

Päeva esimesel koosolekul arutatakse koos administratsiooni juhi, personali ja kommunikatsiooniga RIA sügisseminari korraldamist. Täpsemalt koolituspartneri kaasamist ja külalisesineja otsimist. Nõupidamine läheb tempokalt ning poole tunniga on jutud räägitud.

RIA töötajate sügisseminari korraldamise koosolekul.

11.00

Seejärel on Marguse päevakavas paar koosolekutest vaba tundi. Kell 13 algab järgmine plaaniline koosolek. Margus teeb Henryle ülevaate RIAst ning koos minnakse ka majatuurile. Ootamatult selgub, et juba kell 11 tuleb majja Helsingis asuva India saatkonna esindaja Jussi Jännes, kes soovib Eesti-India CERT-ide koostöökokkulepe Marguse allkirja.

Samal päeval on Eestis visiidil India asepresident Tema Kõrgeausus Muppavarapu Venkaiah Naidu ning õhtupoole toimub Ülemistes koostööleppe allakirjutamine, millega tugevdavad Eesti ja India CERT üksused omavahelist koostööd. Margus ja RIA välissuhete juht Piret Urb võtavad saatkonna esindaja vastu ning Margus annab koostööleppele oma allkirjad. Hiljem toimub ametlik leppe vahetamine. Henry saab teada, et RIA-l käib külas väga palju väliskülalisi ning ei varja oma üllatust.


Eesti ja India CERT-ide vahelise koostööleppe allkirjastamine.

13.00

Sõidame Majandus- ja kommunikatsiooniministeeriumisse, kus toimub järgmine koosolek. Superministeeriumi 9. korruse Piibelehe-nimelisest koosolekuruumist avaneb kaunis vaade linnale ja uute majade ehitusplatsile. Seekord on teemaks ELi digivärava määrus (SDG), mis teeb liikmesriikide e-teenused kättesaadavaks ühel veebiplatvormil. Koos MKMi inimestega arutletakse MKMi ja RIA rollide jaotuse üle. RIAst osalevad koosolekul ka Andrus Kaarelson ning Raimo Reiman. RIA peab välja nuputama, kuidas teha Eesti e-teenused ülejäänud Euroopale ligipääsetavaks.

Pärast koosolekut hüppame korraks RIAst läbi ning siis stardime juba uuesti päeva kolmandale koosolekule Ülemistesse.

IT-teemadel jätkus juttu ka autosõidul.

15.00

IT-firma Santa Monica Networksi kontoris kogunevad koosolekuks riigi- ja erasektori IT-asjatundjad ning juhid, et rääkida projektidest, mida saaks ühiselt teha. Tegemist on regulaarse kohtumisega, mida kutsutakse korraldavaks koguks. Koosolekule minnes möödume ka Marguse vanast töökohast Maksu- ja Tolliametist, mis oli esimene asutus, kes kolis uue kontoriga Ülemistesse. Nüüd on siin terve linnak ettevõtetest ning keskkond on täiesti muutunud.

Ligi tunnike kestev koosolek pole veel lõppenud, kui peame püsti tõusma ja kiirustama edasi järgmisele kohtumisele, mis on seekord iseäranis pidulik. Siinsamas Ülemistes Öpiku majas kohtuvad India asepresident ja peaminister Jüri Ratas.

Koosolekul Santa Monica Networksi kontoris.

16.35

Peaministri julgestusmeeskond saabub tulede ja viledega Öpiku maja ette. India asepresident ja Jüri Ratas suunduvad teisele korrusele konverentsisaali ning peavad lühikesed kõned. Saalis on palju ajakirjanikke ja fotograafe ning delegatsioonide liikmed. Seejärel vahetavad Margus ja MKMi kantsler Ando Leppiman välkude sähvides India kolleegidega koostöölepped.

Eesti-India CERT-ide koostöölepete vahetamine. Foto: Raigo Pajula

17.30

Ülemistelt tagasi RIAsse sõites jääme tükiks ajaks tipptundi kinni ning on hea aeg teha päevast kokkuvõte. “Mina jäin väga rahule,” ütleb Henry, kes sai hea ülevaate Marguse tööpäevast ning õppis RIAt lähemalt tundma. Margus tunnistab, et tal oli täiesti tüüpiline tööpäev, mis oli India visiidi tõttu siiski tavalisest pidulikum. Peasjalikult on tal päevas kaks-kolm koosolekut, aga on ka päevi, kus üks koosolek ajab teist taga ning pause ei olegi. “Millal sa siis päriselt tööd teed?” küsib Henry. “Varahommikul või õhtul – siis on hea rahulik,” vastab Margus ning lisab kiirelt, et kui vähegi võimalik, siis ta tööd koju kaasa ei armasta võtta.

Viimase asjana palub Henry Marguselt töövarjupäeva paberile digiallkirja. Igati sobilik lõpp RIA päevale.

PS: kui soovid tulla RIAsse töövarjuks, kirjuta press@ria.ee.

Nelli Pello
RIA kommunikatsiooniosakond

eID juht Margus Arm: turvalisuse arvelt mugavust ei looda

Margus Arm. Foto: Nelli Pello

Enamikul Eesti elanikel on ID-kaart. See fakt loob e-teenuste omanikele kindluse, et pea igal inimesel on võimalik kasutada nende poolt pakutavaid e-teenuseid. Teised kaks eID vahendit (Mobiil-ID ja Smart-ID) kokku katavad umbes 50% elanikest ja ainult nendest ei piisaks laiapõhjaliseks e-teenuste kasutamiseks.

Elektroonilises kasutuses on umbes 800 000 ID-kaarti. Igakuiselt tehakse sellega umbes 20 miljonit digitaalset toimingut (sisenetakse e-teenusesse või antakse digiallkiri), lisanduvad veel kliendikaardina kasutused. Erinevatel tehnilistel põhjustel on selle aasta jooksul 164 kaarti lukustunud. See on toonud kaasa olukorra, kus lukustunud kaardi omanikud on pidanud Politsei- ja Piirivalveameti teeninduses uut kaarti taotlema, sest lukku läinud kaardiga ei saa e-riigiga asju ajada. Arusaadavalt tekitab olukord pahameelt ja ebamugavusi. Kas oleme ID-kaardi üles ehitanud liigselt turvalisusele mõeldes, jättes tagaplaanile selle kasutusmugavuse? Kas pingutame turvalisusega üle?

Mina nii ei arva. Kaardi lukustumine on väga üldistatult pigem positiivne. ID-kaardi kiip on üles ehitatud selliselt, et mingi tarkvara või erinevate tarkvarade kombinatsiooni tulemusel tekkinud tehnilise tõrke tõttu (arvuti operatsioonisüsteem, veebilehitseja, spetsiifiline kaardilugeja, uuendamata eID tarkvara, mingi kindel e-teenus jms pöördub kiibi poole valede käskudega) tajub kaart teatud arv kordi kasutamist kui rünnakut ning enesekaitseks lukustab ennast. Kaardid käituvad nii nagu see on ette nähtud – kaitsevad enda valdajat. Kaardi lukustumine on küll kasutaja jaoks ebameeldiv ja toob kaasa aega nõudvat asjaajamist, kuid kokkuvõttes on selline ebamugavus kordades väiksema mõjuga, kui õnnestunud rünnak ja identiteedi vargus.

Lukustunud on nii eelmise kui ka uue põlvkonna ID-kaardid ning hetkel on RIA prioriteet selgitada välja, mis on need päringud, mis põhjustavad kaardi lukustamise ehk mis komponent või erinevate komponentide kombinatsioon ei toimi. Kuid ID-kaardi ökosüsteemi keerukust ja avarust arvestades on see paras väljakutse, kui mitte öelda, et nõela otsimine heinakuhjast. Meil on umbes 800 000 kasutajat, ca 600 000 ID-kaardi tarkvaraga seadet ehk arvutit (erinevate seadistustega), üle 5000 e-teenuse pakkuja, erinevad kaardilugejad, mitmed operatsioonisüsteemid, veebilehitsejad, jne – see kõik on üks suur süsteem, mille toimepidevus sõltub iga ahela lülist. Ei ole mõistlik eeldada, et selline süsteem toimib 100% tõrgeteta. Jah, meie eesmärk on neid tõrkeid ennetada, vigu pidevalt parandada, nagu ka praegusel juhul, kuid me peame arvestama, et see on meie igapäevaelu – ebamugavusi tuleb ette, neid ei saa välistada.

E-Eesti mured on meie mured

eID süsteemi töös hoidmine ning arendamine nõuab igapäevaselt prioriteetide seadmist. Kui laual on kümme väga olulist ja samaväärset asja, tuleb teha valikuid. Pidevalt tuleb arvestada sellega, mis oli eile, mis on täna ja mis tuleb homme-ülehomme. Arvestada tuleb ka kasutajagruppide suurustega ehk millise kliendisegmendi mured tuleb lahendada esmajärjekorras.

Kõik e-riigi ahela lülid ei ole aga meie kontrollida ega hallata, peame arvestama suurte rahvusvaheliste korporatsioonide (nt Microsoft, Apple, Google jms) arengute ja koostöövalmidusega. E-riigina oleme küll eesrindlikud, kuid meie mured e-riigi toimimise tagamisega on suurte ettevõtete silmis siiski marginaalsed. Meie kasutajate hulk on sedavõrd väike. Ka neil on oma prioriteedid, mis sõltuvad paljuski kasutajate hulgast. Kui mõnel suurettevõttel on miljardeid kasutajaid, siis ei saa oodata, et vähem kui miljoni kasutajaga Eesti mured on neile esimeseks prioriteediks. Ei ole. Aga olenemata sellest oleme oma e-riigi mainega suutnud tekitada koostöömudeli ning välistada või lahendada suuremad probleemid töö käigus lahendada. Teeme seda iga päev.

Meile kõigile meeldib, kui Eestit teistele eeskujuks tuuakse. Jah, suunanäitaja, pioneer on raske olla. Me teeme esimesena ja õpime enda vigadest, kuigi võiks ka vastupidi? Võtta seda e-hoogu maha, teha asju teiste järgi ja teiste tempos? Pigem mitte. Ja kas nüüd pole juba hilja sellisteks mõteteks? Tuleb lihtsalt arvestada sellega, et me lähmegi asjadega natuke eest ära ning osapooled, kellest meie e-riigi töövõime kas või osaliselt sõltuvad, ei jõua kohe ühe hooga järgi. Neid tuleb aidata ja see võib mõnikord rohkem aega võtta.

Elame muutuste ja uuenduste ajastul

ID-kaart on osa igapäevasest elust, mis areneb, vananeb ja kulub. Nagu kõik asjad meie ümber. Pidevad uuendamised, nagu ka asjade parandamine ja värskendamine, käib selle juurde. Näiteks nutiseadme regulaarne tarkvara uuendamine. See võib näida paljudele tüütu, aga turvalisuse vaates on see vältimatu. Või nagu auto puhul – keegi ei taha sõita hooldamata autoga, mille pidurite töökindlust ei ole pikalt kontrollitud. Eelmine ID-kaardi hange ulatub 2009. aastasse, viimased selle hanke kaardid kehtivad veel rohkem kui neli aastat. See teeb 15 aastat, mis on tehnika maailmas igavik. Seetõttu tuleb meil leppida, et ajaga kaasas käimiseks ja kõigi turvalisuse tagamiseks tuleb tehnikat uuendada, sealhulgas ka ID-kaarti.

Veel täna, pool aasta pärast uute ID-kaartide tulekut ei ole kõik e-teenuse pakkujad kaarti toetavate arendustega lõpuni jõudnud. Eeskätt puudutab see neid teenuseid, kelle jaoks ei ole ID-kaardi lahendused kõige olulisemad, kuid mis ei tähenda, et nad ei töötaks selle kallal. Kui e-teenused olid seadistatud vana kiibiiga töötamiseks, siis uue kaardi tulekuga tuli kõik ümber seadistada. See tähendab erinevate tarkvarade kasutusele võtmist, mis nõuab ressursse. Samuti prioriteetide seadmist. Igal e-teenuse pakkujal on erinevad prioriteedid ja põhitegevus. Enamuse puhul ei ole need ID-kaardiga seotud arendused. Kui ostad koju või kontorisse uue printeri, siis tuleb selle kasutamiseks arvuti ümber seadistada. Ainult nii saad arvutist printida. Sama kehtib ka uue ID-kaardi toe lisamisega.

E-riigi laiem mõte seisneb selles, et inimeste elu on mugav ja turvaline. Mugavuse pealt ei tahaks ohverdada turvalisust ja usaldusväärsust, mida on raske võita, ent väga kerge kaotada.

Margus Arm
RIA elektroonilise identiteedi osakonna juhataja