Category Archives: RIA küberkirjutised

Tugevam e-riik

Uku Särekanno, RIA küberturvalisuse teenistuse juht

Uku Särekanno, Riigi Infosüsteemi Ameti peadirektori asetäitja küberturvalisuse alal

Kett on täpselt nii tugev, kui tugev on selle nõrgim lüli. 2018. aastal juhtus mõndagi, mis seda ütlust kinnitab.

Mitukümmend Eesti ettevõtet kirjutasid korstnasse kokku sadu tuhandeid eurosid arvepettuste tõttu. Maakataster pääses napilt maani maha põlemisest. Mitmel korral kadus kogu riigis võimalus pangakaardiga maksta, häirekeskuse liinid olid terve päeva tummad ühe suure mobiilsideoperaatori klientidele, kopamehed lõikasid ära Baltikumi suurima tanklaketi kõik automaattanklad. Lekkisid delikaatsed isikuandmed sõjaväelaste ja koolilaste kohta, pandi toime rünnakuid meediaportaalide vastu, pressiti lunavara välja suurettevõtteilt ja perearstikeskustelt. Intsidentide loetelu võib jätkata pikalt — registreerisime 17 000 pöördumist, mida on enam kui 60 protsenti rohkem kui aasta varem.

Ometi oli 2018. aasta hea ja turvaline aasta. Hüppeliselt kasvanud pöördumiste arvule vaatamata registreeriti kriitilisi intsidente kokkuvõttes vähem kui aasta varem. NotPetya ja Wannacryga võrreldavaid suuri ja rahvusvahelisi kampaaniaid ei kordunud. E-riigi alustalad, nagu ID-kaart ja X-tee, toimisid stabiilselt ja suuremate tõrgeteta.

Politsei- ja piirivalveamet sulges mais 11 000 ID-kaarti e-teenuste kasutamiseks ning RIA eksperdid murdsid lahti vigase kiibiga ID-kaardi. Sellega sai sisuliselt punkti 2017. aasta ID-kaardi kriis. Õppetunnid olid käes, uusi turvanõrkusi pole ilmnenud ning aasta lõpust asuti väljastama juba täiesti uut ja seni Eesti ajaloo kõige turvalisemat ID-kaarti.

2018. aastal said paika mitmed eeldused, et Eesti e-riik püsiks turvalistel alustel. Korrastus õiguslik raamistik ning valitsus otsustas eraldada IKT valdkonnale oluliselt lisaraha: 2019. aastal 21 miljonit ning järgmise nelja aasta jooksul kokku 118,4 miljonit eurot. Euroopa Liidu tasandil jõustus andmekaitse üldmäärus (GDPR) ning võrgu- ja infoturbe direktiiv (NIS), Eestis aga küberturvalisuse seadus ja isikuandmete kaitse seadus.

Võeti vastu küberturvalisuse strateegia aastateks 2019–2022, mille kolm peamist fookust on uue infoturbestandardi väljatöötamine, riikliku küberturbekeskuse loomine ning süsteemne ennetustegevus. Kogu uut strateegiat kannab arusaam, et investeering halva ära hoidmisse on mitu korda odavam kui tagajärgedega tegelemine. Täpselt nii, nagu politsei pöörab tähelepanu kuriteo ennetusele ja päästeamet tuleohutusele. Riskide väljaselgitamine ja nende maandamine on kokkuvõttes tulemuslikum ja odavam.

RIA ülesandeks on seadusest tulenevalt maandada riske, tõsta teadlikkust ja tagada e-riigi võtmekomponentide turvaline toimimine. Me pakume 400 asutusele Eesti kõige turvalisemat riigivõrku, 15 suurele ettevõttele võrguseire teenust, kümnetele ettevõtetele turbeteste ning sadadele ohuteateid. Kõikidele Eesti kodanikele ja asutustele aga turvalisi lahendusi autentimiseks, digitaalallkirjastamiseks ja andmevahetuseks.

Seda kõike on üksjagu, ent mitte piisavalt. Üle kõige on vaja laiemat suhtumise muutust — arusaama, et küberturvalisus väärib tähelepanu ning see pole IT-osakonna või tehnikute asi. See on ennekõike juhtkonna asi, kes otsustab äriportsessi ja investeeringute üle. Vastasel juhul kannatavad tooted/teenused, kaob maine, kliendid ja raha. Juht annab tegevustele suuna, tunnetuse ja prioriteedid. RIA saab olla siinkohal hea partner ja konsultant. Ent vajadust ja vastutust peab mõistma iga juht ise. Ei tasu olla nõrgim lüli.

Loe täpsemalt aastaraamatust “Küberturvalisus 2019”

Oma kodulehe või e-posti turvalisust saab testida igaüks

Tõnu Tammer, CERT-EE juht

Igal kodulehe omanikul või e-posti kasutajal tekib varem või hiljem küsimus: kui turvaline on minu IT-lahendus ja kuidas see kogu maailmale välja paistab? Selleks, et üht või teist nüanssi testida, ei ole vaja IT-haridust ega arusaamist Linuxi konsoolist. Kodulehe või e-posti turvalisuse testimine pole kunagi varem olnud nii lihtne kui praegu.

Internetist leiab mitmeid turvalisuse testimise tööriistu, mida saab kasutada igaüks. Näiteks blogi pidaja või ettevõtte juht saab nende abil vaadata, kui hästi või halvasti on tema koduleht või e-posti server seadistatud.

Toome välja mõned tööriistad, mida kasutame ka ise, et üht või teist nüanssi testida.

Tööriistad, millega saab testida kodulehe ja e-posti seadistusi

Hardenize

https://www.hardenize.com/

See on eriti hea ja universaalne tööriist, mis võimaldab kontrollida, et sinu internetiaadressi ehk domeeni seadistused oleksid sellisel tasemel nagu tänapäeval olla võiksid. Samuti saab sealt kontrollida, kas meiliserveri seaded tagavad heal tasemel sõnumisaladuse ja andmekaitse ning kas kodulehe puhul on tagatud kasutajate turvalisus. Eesti turult leiab teenusepakkujaid, kelle kõige odavama, vähem kui 10€ kuus maksva paketiga on võimalik koduleht ja e-post seadistada nii, et enamik testitavatest aspektidest läbitakse edukalt ehk tulemus on roheline. See tähendab, et teenusepakkuja on teinud enda poolt mõistlikud sammud ja kodulehe/domeeni haldaja on teinud ära teise poole.

Näide Hardenize'ist

Näide Hardenize’ist: kõik testid on võimalik läbida edukalt

Security Headers

https://securityheaders.com/

Sobib kodulehe pisut põhjalikumaks testimiseks.

Tööriist võimaldab testida, milliseid juhiseid annab koduleht brauserile. Nende juhistega on võimalik piirata või keelata ebasoovitavaid tegevusi. Näiteks saab vähendada seda infohulka, mis muidu kasutaja kohta edasi liiguks, kui ta sinu kodulehelt ära läheb.

A+ ja A on eeskujulikud tulemused, kuid B, C, D ja F nõuavad kindlasti kodulehe omaniku tähelepanu.

Näide Security Headersist

Security Headers: A tulemuse saavutamine ei ole samuti keeruline

Qualis SSL Labs

https://www.ssllabs.com/ssltest/analyze.html

Hea ja universaalne tööriist, millega saab kontrollida, kas suhtlus kodulehega on krüpteeritud selliselt, et tagatud on andmete turvalisus ja kasutaja privaatsus. Tänapäeval võiks juba iga veebileht avaneda vaid TLS 1.2 või TLS 1.3 protokolliga. Kindlasti ei tohi enam kasutada SSL 3 ja SSL 2 protokolle, mis ei taga turvalisust. Protokollide TLS 1.0 ning TLS 1.1 kasutamine on samuti mõistlik lõpetada, sest neis esineb turvanõrkusi, mis on uuemates versioonides parandatud.

Tulemused A+ ja A on eeskujulikud, kuid B, C, D ja F nõuavad kindlasti kodulehe omaniku tähelepanu.

Näide SSL Labsist

SSL Labs: A+ tulemuse saamine ei ole keeruline

TLS

https://www.checktls.com/TestReceiver

Võimaldab testida meiliserveri seadistusi.

See tööriist on samuti väga võimekas. Kui valida „Output format“ alt „SSLProbe“, siis kaardistatakse kõik e-posti serveri võimalused (sarnaselt eelmises punktis toodud SSL Labsi testiga). Ka e-posti serverite puhul võiks kirjavahetus käia vaid TLS 1.2 või TLS 1.3 protokolliga. SSL 3 ja SSL 2 kasutamine ei taga turvalisust ning protokollide TLS 1.0 ja TLS 1.1 kasutamine on samuti mõistlik lõpetada. Testi tulemuste lugemise teeb lihtsaks asjaolu, et punasega kuvatavaid tulemusi ei tohiks olla ning sobilikud on üksnes roheliselt kuvatud tulemused.

Hea tulemuse näide TLSist

Rohelisega kuvatakse hea tulemus

Halva tulemuse näide TLSist

Punasega kuvatakse need aspektid, mis nõuavad kindlasti meiliserveri omaniku tähelepanu

MECSA

https://mecsa.jrc.ec.europa.eu

Euroopa Komisjoni teadus- ja arendustegevuse üksus JRC on loonud e-kirja testimiseks universaalse tööriista. Erinevalt paljudest teistest võimaldab see testida nii e-kirja saatmise kui vastuvõtmise turvalisust. Kuna saatmise ja vastuvõtmise seadistusi tuleb e-postiserveris seadistada eraldi, võivad eri suunas liikuvatel e-kirjadel olla erinevad seadistused.

Selle testi eripära on see, et testimiseks tuleb sisestada testija e-posti aadress ning saadud kirjale tuleb saata vastuskiri.

Ekraanipilt tulemustest

Üldine ülevaade on “Summary” all ning vahelehelt “Advanced” näeb rohkem tehnilist infot.

Uku Särekanno: vaba maailma küberkiusamine

RIA peadirektori asetäitja Uku Särekanno tekst avaldati 14. veebruaril 2019 Postimehe rubriigis “Meie Eesti”.

Uku Särekanno, RIA peadirektori asetäitja küberturvalisuse alal

Kuidas kaitsta demokraatiat oludes, kus sõnumit jagavad robotid, uudisvoogu kujundavad algoritmid ning faktid ei huvita kedagi? See pole utoopia, vaid kohanemist vajav uus reaalsus.

Valija ujub päev-päevalt üha selgemas vees. Pole eriarvamusi, pole debatti, pole probleemi. On lihtsad lahendused, mis mahuvad 280 tähemärgiga Twitteri säutsu. On must ja valge, meie ja nemad.

Elu on mugav, sest algoritm võimaldab ise valida, keda kuulata ning mida järgida. Maksma ei pea, lugemist asendab visuaal ja igapäevane uudisvoog kinnitab seniste veendumuste ainuõigsust.

Robotid ja ruuporid

Pealtnäha pole sotsiaalmeedias ja trollimises midagi uut. Inimene on alati otsinud tähelepanu ning gruppi, kellega samastuda. Sama käib ka propaganda ja populismi kohta. Valetati ja laimati eile, seda tehakse ka täna ning homme.

On siiski paar uut momenti. Esiteks asjaolu, et sotsiaalseid gruppe luua ja mobiliseerida on võrdlemisi lihtne, kiire ning odav. Sõnumi saatmiseks ei pea ilmtingimata olema võimul, omama palju raha või parteid. On lihtsalt vaja õiget hetke.

Suured protestid said Prantsusmaal alguse kahe autojuhi sotsiaalmeedias jagatud üleskutsest blokeerida teed ja sillad. Need olid väikesest Seine-et-Marne’i departemangust pärit täiesti tavalised mehed, kel oli villand aktsiisitõusudest ja hallist argipäevast. Paari päevaga sai üleskutse sõnumiks sadadele tuhandetele ning kollased vestid olid tänavatel. Need on uue aja võimalused.

Teiseks on uus asjaolu, et tihtipeale kipuvad sotsiaalsetes gruppides inimhäält asendama robotid ja kõikvõimalikud fiktiivsed tegelased. Botid on programmeeritud jagama sõnumeid, imiteerima inimest ning töötama seitse päeva nädalas ööpäev läbi. Botid ja virtuaalsed arvamusliidrid on suurepärane vahend sõnumite edastuseks laiale auditooriumile.

Ameerika Ühendriikide presidendivalimistel kasutasid nii Clintoni kui ka Trumpi toetajad aktiivselt roboteid. Bot @amrightnow ujutas üle oma kümned tuhanded järgijaid kõikvõimalike vandenõuteooriatega ning tootis ainuüksi viimase teledebati ajal 1200 postitust. Pilti ilmusid fiktiivsed arvamusliidrid, nagu Nicole Mincey. Daam, keda pole olemas, ent kelle arvamisi jagas Trump ning keda jälgisid kümned tuhanded inimesed.

Uutest võimalustest on kinni hakanud aktiivselt ka Vene eriteenistused. Üks suurimaid trollivabrikuid paikneb Tallinnast 300 kilomeetri kaugusel Peterburis, kust juhitakse üliedukalt infooperatsioone, mille sisu on Euroopa avaliku arvamuse lõhestamine, NATO ja Euroopa Liidu lõhkumine. Imbutakse sotsiaalmeediasse ning võimendatakse rahulolematuid gruppe, ujutades neid üle meemide ja vandenõudega.

Sõnumi saatmiseks ei pea ilmtingimata olema võimul, omama palju raha või parteid. On lihtsalt vaja õiget hetke.

Inimkäitumist on päev-päevalt võimalik ennustada üha suurema täpsusega. Enda kohta tahtmatult või tahtlikult internetti riputatav teave on meie küberruumi DNA. Ja see võimaldab üsna palju järeldada.

2014. aastal usaldas Facebook teaduslikel eesmärkidel Cambridge’i ülikoolile andmed oma kasutajate kohta. Eesmärk oli töötada kasutajate profiilidega, mis võimaldaks paremini aimata kliendi soove ja tahtmisi. Ei midagi halba, ühel poolel teaduslik huvi ning teisel lihtlabane soov toodet parandada.

Häda oli aga selles, et uuringuteks eraldatud andmed väidetavalt varastati ning neid kasutati suurte mõjutusoperatsioonides. Andmestiku najal profileeris Cambridge Analytica nimeline firma välja Ühendriikide Kesk-Lääne osariikide valijad, keda veendi siis süsteemselt presidendivalimistel mitte osalema.

Taktikaline eesmärk oli veenda demokraatide sisemises konkurentsis kaotajaks jäänud Bernie Sandersi toetajaid loobuma hääletamast Hillary Clintoni poolt. Peenelt profileeritud valijad ujutati üle lihtlabaste sõnumitega: sinust ei sõltu midagi, istu protestiks kodus ning ära raiska oma häält Clintoni toetuseks.

Kirjeldatud profileerimise ja trollikampaania mõju üle vaieldakse, ent fakt on see, et Cambridge Analytica juhtis sihipärast kampaaniat võtmeosariikides ning Vene eriteenistused tegutsesid agaralt Ühendriikide valimistega.

Trollimise kõrval häkiti 2016. aastal sisse Hillary Clintoni kampaaniat ohjanud demokraatide meilikontodele ning lekitati välja mahlakam osa. Samasugused katsed 2017. aasta Prantsusmaa presidendivalimistel andsid selgelt märku, et valimiste turvalisusele tuleb asuda vaatama uue pilguga.

Küsimus pole üksnes valimiskastides ja häälte korrektses kokkulugemises. Tähelepanu tuleb pöörata ka valimisprotsessi elektroonilisele turvamisele. Ja see puudutab absoluutselt kõiki valimissüsteeme, mitte ainult Eestit, kus hääletamine on võimalik ka interneti abil.

Igas valimistega seonduvas etapis on võimalik leida momente, kus on vaja riske maandada. Olgu selleks kandidaatide sotsiaalmeedia ja isiklike meiliaadresside turve, valijate nimekirjade koostamine või hääletustulemuste elektrooniline avaldamine meedias.

See on ka põhjus, miks riigi infosüsteemi amet ja valimisteenistus on võtnud Riigikogu ja Euroopa Parlamendi valimiste ettevalmistustes varasemast aktiivsema rolli: nad on koostanud riskide maandamise kava, testinud parteide veebiliideseid, valimiste infosüsteeme ning viinud läbi hulga küberturbe koolitusi kandideerijatele.

Riigi infosüsteemi ameti eestvedamisel on praeguseks välja töötatud rahvusvahelised soovitused valimiste elektroonseks turvamiseks. Soovituste koostamisse kaasati 20 riigi eksperdid ning need on mõeldud kõigile demokraatlikele riikidele kui parim praktika uue aja riskide maandamiseks.

Samm edasi

2007. aastal Eestit tabanud küberrünnakutest on möödunud 12 aastat. On aeg võtta ette uus teema ja hakata vedama jõuliselt demokraatlike protsesside kaitsmist rahvusvahelisel areenil. See on võitlus meile oluliste väärtuste, maailmapildi ja elukorralduse eest.

Esiteks, valimiste turve. Tehnilised soovitused on esimene samm. Siit edasi tuleb liikuda sellega, et need kujuneks igas demokraatlikus riigis miinimumstandardiks. Et nende üle peetaks valvet nagu ka kõigi muude valimiste heade tavade üle.

Teiseks, infosõda ja trollimine. Koostöös suuremate partneritega, nagu Prantsusmaa, tuleb arendada välja poliitiline raamistik infosõjale vastamiseks. Mehhanism, mis võimaldaks kõige muu kõrval trollivabrikute operaatorid veenvalt nurka suruda ning sanktsioonide, kaubanduspiirangute, varade arestimise ja mustade nimekirjadega valusalt vastu näppe lüüa.

Need on teemad, mis on eelseisvatel aastatel teravalt päevakorras kõigis demokraatlikes riikides. Eestil on kogemust, sisu ja isekat huvi. Oleme sõnavabaduselt maailma tipus. Oleme tuntud turvalise e-riigi ning küberrünnete tõrjumise poolest. Meie praktikat küberturvalisuse tagamisel on praeguseks kopeerinud enamik Euroopa riike. Meil on eksperte, kes on osalenud väga agressiivsete infooperatsioonide tagasilöömisel Eestis (2007), Gruusias (2008) ja Ukrainas (2014). Tuleb astuda samm edasi.

Trollivabriku viis sammu valimistesse sekkumisel

  1. Sihtrühm. Luuakse gruppe või imbutakse gruppidesse, kus ühine nimetaja on pettumus või rahulolematus (nt kollased vestid).
  2. Võimendatakse konfliktseid teemasid. Levitatakse lühisõnumeid teemadel, mis tekitavad enam vastukaja: migratsioon, identiteet, ebavõrdsus, maksupoliitika ning suured taristuprojektid.
  3. Trollimine. Kasutatakse bote ning võltsidentiteete sõnumiedastuse kiirendamiseks ja võimendamiseks.
  4. Kompromiteerimine. Kaaperdatakse võtmekandidaatide meilikontod ja profiilid, et lekitada infot avalikkusele ning viia läbi infooperatsioone.
  5. Veebide ja teenuste ründed. Rünnatakse aktiivselt kampaaniakeskkondi ja valimissüsteeme.

Soovitused valimistel kandideerijatele

  1. Kaitse oma profiile. Kasuta meili- ja sotsiaalmeedia kontodel mitmetegurilist autentimist ning tugevaid paroole. Eelista ametliku info töötlemiseks ametlikke võrke ja meilisüsteeme.
  2. Pööra tähelepanu turvalisusele avalikus võrgus. Eelista avalikele wifi pakkumistele enda 3G/4G andmeside ühendust ning kasuta virtuaalset privaatvõrku (VPN).
  3. Koolita kandideerijaid ja kampaania meeskonda küberhügieeni teemal. Tee või telli koolitus küberhügieeni põhitõdede teemal.
  4. Hoolitse oma serverite eest ja krüpteeri andmevahetus. Kasuta tasuta lahendusi, näiteks SPF, DKIM, DMARC, et maandada petukirjade ja rämpspostiga seonduvaid riske. Krüpteeri tundlikud andmed.
  5. Küsi nõu CERT.EE-lt või IT-teenuse pakkuja käest. Eesti küberturvalisuse eest seisev CERT.EE on pannud kokku hulgaliselt õppematerjale küberohtude maandamiseks, testinud parteide meiliservereid ning teinud küberhügieeni koolitusi.