Category Archives: RIA küberkirjutised

Milline on meie küberturvalisuse terviseseisund?

Kadri Kaska, RIA küberturvalisuse teenistuse juhtivanalüütik

Riigi Infosüsteemi Ameti küberturvalisuse aastakokkuvõte analüüsib Eesti küberruumi tervist ja rünnatavust 2016. aastal ning hindab eesseisvaid väljakutseid.

RIA küberturvalisuse teenistus teeb küberruumis toimuvast regulaarselt kokkuvõtteid, mis annavad võimaluse vaadata hetkeolukorda laiemas perspektiivis. Mis aasta jooksul juhtus? Mis ja kes meid ohustab? Mis on kujunevad suundumused ja missugused toimijate käitumismustrid? Kui kaitstud või haavatav on meie harjumuspärane digitaalne eluviis? Äsja valminud ülevaade aastast 2016 annab vastused just nendele küsimustele.

Rekordaasta 2016

Eestis registreeritud küberturbejuhtumite arv lõi mullu taas rekordi. CERT-EE – RIA infoturbeintsidentide käsitlemise osakond ehk Eesti küberturvalisuse eesliin – käsitles kokku 9135 juhtumit. Põhjused registreeritud juhtumite taga on väga erinevad – seadmeriketest ja inimlikest eksimustest pahatahtliku tegevuseni. Kaugeltki iga juhtumi taga pole küberrünne ning paljud ründekatsed ka peatatakse. Ligikaudu neljandik (2248) kõigist registreeritud juhtumitest oli mullu selliseid, mis mõjutasid kasutajat otseselt, tuues kaasa infosüsteemi tõrke, andmekao või teabelekke, ehk erialakeeli mõjutasid teabe või süsteemi käideldavust, terviklust või konfidentsiaalsust.

Mullused sagedaimad küberüberturbejuhtumid olid seotud kõikvõimalikku pahavara levitavate e-kirjade ja veebidomeenidega. Väga levinud olid ka nn õngitsemisründed ehk andmepüük, kus väga erinevatel ettekäänetel püüti inimestelt saada kätte salasõnu, krediitkaardiandmeid, aga ka juurdepääsu ametialasele tundlikule teabele. Need on kõik küberründed, mille edukus sõltub ennekõike kasutajate teadlikkusest ja käitumisest ehk sellest, kas kasutaja mõtleb, enne kui kahtlase e-kirjaga saabunud failile klõpsab, ja hoidub oma andmeid kergekäeliselt välja jagamast.

Lunavara, mis RIA eelmises küberturvalisuse aastakokkuvõttes palju kõneainet andis, levis üliaktiivselt mullu kevadel. Aasta lõpuks levik stabiliseerus, aga lunavara pole kadunud kuhugi ja ründeid tuleb ette igal kuul. Ohtlik suundumus on lunavara spetsialiseerumine valdkondadele, mis on aegkriitilistest andmetest enim sõltuvad ja kus küberturvalisust pole traditsiooniliselt oluliseks peetud – eriti paistab siin silma tervishoid. Eesti pole kuidagi erandlik, sama suundumus on ka teistes arenenud riikides, kus just tervishoiuteenuste osutajad satuvad väljapressimise ohvriks.

Umbes iga kolmekümnes ehk 348 mullust küberintsidenti puudutasid otseselt mõne Eestile olulise teenuse toimimist. Elutähtsatest teenustest olid mõjutatud näiteks telekommunikatsioon, elektrivarustus ja pangateenused ning sisejulgeoleku infosüsteemide töö. Selliste kõrge reageerimisprioriteediga küberintsidentide puhul oli valdavalt tegu seadmeriketest tingitud teenusekatkestustega, mille mõju jäi lühiajaliseks. Ühtki sedavõrd tõsist kübersündmust, mis oleks seadnud ohtu kellegi elu või tervise, möödunud aastal ei registreeritud.

Vastaseks nii riigid kui kurjategijad

Eesti inimeste ja riigi jaoks on olulisemateks küberohtudeks endiselt küberkuritegevus ning vaenulike välisriikide mõjutustegevus küberruumi kaudu, kinnitab aastaülevaade. Küberkuritegevus on üleilmne „tööstusharu“ ning kurjategijatele kõlbab sihtmärgiks iga internetiga ühendatud seadme kasutaja.

Hooletult kasutajalt saab raha välja petta või kasutada tema turvamata seadet hüppelauana teiste ründamiseks. Halvemal juhul võib arvutikasutaja teadmatus või hooletus kombineerituna teenuse või asutuse turvanõrkustega luua võimaluse ka mõne elutähtsa teenuse või demokraatliku riigikorralduse ründamiseks. Et kumbki viimane stsenaarium pole enam fiktsioon, kinnitavad mullu oktoobris USA domeeninimeteenuse pakkuja vastu suunatud ülisuured teenusetõkestusründed ja Vene eriteenistuste sissemurdmine USA parteide meiliserverisse, mis andis sobivat ainest propagandakampaaniaks, et mõjutada kandidaatide väljavaateid presidendivalimisi võita.

Tihti pole lihtne vahet teha, kas ründaja on kurjategija või vaenulik välisriik. Eesti suhtes vaenulike eriteenistuste koostöö küberaktivistide ja küberkurjategijatega pole uudis ning sellisest „avaliku ja erasektori koostööst“ saavad kasu mõlemad. See muudab Eesti jaoks olukorra järjest keerukamaks, kuna selgeid vastuseid peaaegu ei ole: enam ei saa kindel olla, kas Eesti elutähtsa infosüsteemi vastu justkui rahalise kasu eesmärgil suunatud rünnak pole tegelikult kurjategijatelt tellitud mingi hoopis muu kriteeriumi alusel.

Olenemata ründe päritolust on selge võrkude kaitsjate töö: esmane ülesanne on oma teenused ja andmed turvata, rünne võimalikult kiiresti avastada ja sellele vastu astuda.

Arvestades eelmise aasta suundumusi, on selge, et küberohtude tõrjumine pole võimalik ilma kasutajate mõistliku käitumiseta. Eesti küberturvalisus sõltub meist kõigist. Tõhus küberkaitse saab olla ainult totaalkaitse – sellesse peab panustama igaüks.
Kuidas digikeskkonnas oma turvalisust parandada? Lihtne soovitus: tee üks samm rohkem kui seni. Kui su senine universaalparool, mida kõigis keskkondades kasutad, on 12345, vaheta see raskemini äraarvatava vastu. Kui juba kasutad tugevat parooli, lülita sisse kaheastmeline autentimine (nt Gmailis, Facebookis).

Mõtle läbi, kui olulised on sulle andmed, mida arvutis või võrgus hoiad, või su ettevõtte pakutava teenuse kättesaadavus kliendile interneti kaudu. Mis on su plaan B, kui ettevõte saab lunavaranakkuse ja failid lukustuvad? Kas sa tead, kellele su ärikriitiline teave või veebilehe hingeelu internetis valla on? Kuidas ettevõte mõne olulise seadme rikke korral toime tuleb? Tee varukoopiaid ja uuenda viirustõrjet. Uuenda oma nutiseadme tarkvara niipea, kui uus versioon saadaval – sageli keskenduvad sellised süsteemiuuendused just võimalike turvariskide maandamisele. Küsi internetiteenuse osutajalt, kuidas su andmed ja ühendus kaitstud on. Mõtle järele, kas on ikka vaja, et külmkapp, pulsikell või kasvõi lapse hambahari internetiga ühenduses oleks ja andmeid edastaks.

Sissevaate kõrval aasta jooksul küberruumis aset leidnud sündmustesse pakub RIA küberturvalisuse aastaraamat hulga soovitusi levinud ohtudega toimetulekuks.

9 asja, mida aastal 2017 Eesti küberturvalisusest teada

Kadri Kaska, RIA küberturvalisuse teenistuse juhtivanalüütik

Täna avalikustatud Riigi Infosüsteemi Ameti küberturvalisuse aastaraamat analüüsib Eesti küberruumi tervist ja rünnatavust aastal 2016 ning annab hulga soovitusi levinud ohtudega toimetulekuks. Mulluste riskide ja rünnete mustrist joonistuvad selgelt välja nii ohud kui ka viisid nendega toimetulekuks. Sealjuures ei ole kahtlustki, et igapäevase mugava digitaalse eluviisi kaitse on igaühe enese kätes ning riik on ennekõike ohtude seiraja, suurte rünnete ennetaja, taristu kaitsja.

1. Elutähtsate teenuste kübersõltuvus kasvab. Kasvav arv elutähtsate teenuste osutajaid sõltub kriitilisel määral digitaalse taristu toimimisest ja paljudel juhtudel on need sõltuvused väljaspool ettevõtja enda kontrolli või lausa väljaspool riigipiire. Katkestuste mõju ühiskonna ja majanduse toimimisele ning riigi julgeolekule on üha olulisem. Ennekõike tähendab see, et elutähtsate teenuste omanikud – olgu see riik või erasektor – ei tohi näha küberturvalisust või oma võrkude kaitset kui oma isiklikku muret, vaid peavad vaatama laiemat konteksti. Mida avatumalt ollakse valmis riskidest ja juhtumitest rääkima, seda suurema tõenäosusega on võimalik ka teistelt õppida.

2. Avalik sektor on nii juhuslike kui suunatud rünnete sihtmärk. Avaliku sektori peamised küberriskid on seotud teenusekatkestustega süsteemides, mille toimimisest sõltub riigi julgeolek, ning suunatud rünnetega rahalisel, poliitilisel või ideoloogilisel motiivil. Iseäranis kohalikel omavalitsustel napib nii teadmisi kui ressursse küberohtude ennetamiseks. Riigiasutuste osutavate kriitiliste teenuste toimepidevuse tagamine vajab tõsist tähelepanu ning investeeringuid, et kindlustada teenuse käideldavus, ent vähem tähtis ei ole töötajate harimine ja infoturbe tähtsustamine juhtimistasandil.

3. Erasektori teadlikkus küberriskidest on lünklik – see käib nii üksikisikute kui ettevõtjate kohta. Üksikute kõrge turvateadlikkusega ettevõtjate ja valdkondade kõrval paistab silma, et üldiselt peetakse küberturvalisust või selle puudumist jätkuvalt „tehniliseks probleemiks“, mitte ettevõtte põhitegevuse riskiks. Iseäranis väikeettevõtjad ja vabaühendused ei pea end küberohtude sihtmärgiks ning turvalisusse ei investeeri. Digitaalne ühiskond nagu me oleme, peame õppima mõistma, et IT-teenus ei ole üheski valdkonnas enam pelgalt tugiteenus, vaid selle toimimiseta ei saa enam ka organisatsiooni põhitegevuses kindel olla.

4. Küberkuritegevus on üha professionaalsem. Pahavara levitamisviisid on üha viimistletumad ning näha on keskendumist aegkriitilistest andmetest sõltuvatele valdkondadele, kus küberturvalisust pole seni oluliseks peetud (tervishoid). Suunatud ründed võivad olla äärmiselt usutavaks viimistletud. Ka ei ole küberkuritegevus enam üksnes väheste valitute pärusmaa, vaid soovitud „teenust“ on võimalik kurjategijatelt osta ka neil, kel endal vajalikke oskusi ei ole.

5. Eesti on jätkuvalt Venemaa mõjutustegevuse sihtmärk. Venemaa kasutab küberoperatsioone käsikäes traditsioonilise mõjutustegevusega vastavalt tehnoloogilisele võimekusele, doktriinile ja välispoliitilistele võimalustele. 2017. aastal eesseisvate oluliste sündmustega seoses tuleb valmis olla küberrünnete hoogustumiseks. RIA on teinud ettevalmistusi ja töötab koos partneritega, et väljakutseteks valmis olla.

6. Arenevad tehnoloogiad ja teenused on haavatavad ning turvalisus ei jõua tehnoloogia arenguga sammu pidada. Nutiseadmete ja esemevõrgu seadmete kasutusala laieneb. Ühes sellega laieneb nende turvalisusriskide mõju, aga ka atraktiivsus küberkurjategijate jaoks. Praegu ei ole täit arusaama, millised riskid kiirelt arenevate digitaalsete toodete, teenuste ja ettevõtlusvormidega kaasnevad. Tõenäoliselt näeme esemevõrgu seadmete rünnete puhul seniste rekordite purustamist nii mahu kui uute ründeviiside mõttes. Suureneb ka surve esemevõrgu seadmete turvalisuse parandamiseks.

7. Enamiku registreeritud küberintsidentide põhjus või seda soodustav tegur on aegunud tarkvara. Aegunud veebihaldustarkvara kasutamine Eestis on epideemiline. Iga veebilehe pidaja võiks oma veebiarendajalt küsida, kas ta on tarkvarauuendustega kursis ning need tema veebilehel rakendanud. Erakasutaja jaoks on olulised väikesed lihtsad asjad nagu esimesel võimalusel tarkvarauuenduste paigaldamine nii oma arvutisse kui nutiseadmesse.

8. Üksnes salasõnadel põhinev autentimine ei ole enam turvaline. Üha suurenev salasõnade hulk ning keerukamad nõuded paroolidele ei ole kasutajatele jõukohased. Kasutajate kohanemismeetodid (sh paroolide ristkasutus) suurendavad haavatavust. Kasvab surve võtta kasutusele turvalisemad isikutuvastusmeetod nagu kaheastmeline autentimine, biomeetrilised autentimismeetodid. Teenusepakkujatel ja riigiasutustel soovitame seadistada kaheastmeline autentimine igal pool, kus võimalik.

9. Õiguskeskkond vajab ajakohastamist. Küberturvalisust tagavate organisatsioonide õigused ja kohustused peavad olema sätestatud seadusega, mitte rakendusaktides või haldusesisestes dokumentides. Praegune küberturvalisuse regulatsioon on killustatud ja adressaatide jaoks läbipaistmatu. On oluline, et väljatöötamisel uus küberturvalisuse seadus neid kitsaskohti leevendaks.

Kaheastmeline autentimine: Gmail

CERT-EE juhendab, kuidas aktiveerida kaheastmeline autentimine Gmailis.

Kaksikautentimine (2FA, two-factor authentication, ka kahefaktoriline autentimine, kaheastmeline kinnitamine) on turvategevus, mis nõuab kasutajalt sisselogimisel enese identifitseerimist kahel sõltumatul viisil: näiteks ID-kaardi puhul on kasutusel füüsiline vahend, kuid sellele lisaks nõutakse veel teadmist, mida ei tohiks olla kellelgi peale kaardiomaniku (PIN-kood). Autentimise alustest ja kasutusel olevatest terminitest loe RIA blogi eelnevast kirjutisest.

Kaksikautentimine on eriti oluline just sotsiaalmeediasaitide puhul, mis ID-kaarti ei tunnista. Tänases turvaolukorras ei piisa Google’i ja Facebooki kasutamisel enam lihtsalt paroolist. Selleks, et oma kontost mitte ilma jääda, tuleb kindlasti sisse lülitada 2FA. Samas, ka parool tuleb valida turvaliselt – parooli õiget valikut on põhjalikult käsitletud Eesti Päevalehes. Õngitsustest ja pettustest, mille vastu 2FA aitab, on juttu olnud RIA blogis. Allpool õpetame kasutajaid, kuidas populaarsetes keskkondades (Google, Facebook) kasutada ajakohast turvalisust ning kaitsta sellega oma kontosid ülevõtmise eest.

Moodne autentimine Gmailis

Google kasutab kaksikautentimise (2FA) tähistamiseks omaenda tõlketerminit „kaheastmeline kinnitamine“.

Vali „Minu Konto“. Sealt leiad seaded, mis võimaldavad muuta Gmaili turvalisemaks ning häälestada autentimise ajakohaseks:

Ekraanikuva

Ekraanikuva

Klõpsa menüüpunktil „Google’isse sisselogimine“:

Ekraanikuva

Ekraanikuva

Avaneb kaheastmelise kinnitamise menüü. Siin klõpsa „2-astmeline kinnitamine“:

Ekraanikuva

Ekraanikuva

Siin klõpsa “Alustage”:

Ekraanikuva

Ekraanikuva

Turvakaalutlustel, s.o et keegi ei lukustaks sinu kontot oma telefoninumbriga, küsitakse sinult uuesti parooli:

Ekraanikuva

Ekraanikuva

Edaspidi hakkab Google’i turvasuhtlus Sinu suunas toimuma tekstisõnumite vahendusel. Sisesta selle mobiiltelefoni number, millele soovid edaspidi turvasõnumeid saada:

Ekraanikuva

Ekraanikuva

Seejärel saad Google’ilt SMSi teel ühekordse toimingukoodi. Alloleval ekraanipildil on mitmeid sõnumeid koodidega – see näitab, et turvalist sisselogimist on varemgi kasutatud:

Ekraanikuva

Ekraanikuva

SMSiga saadud ühekordne kinnituskood tuleb nüüd sisestada turvahäälestuste häälestamise lehele. Veidi konarliku tõlke üle ei tasu naerda, kõrgema turvalisuse nimel tuleb tõlkevead ja -konarused lihtsalt ära kannatada:

Ekraanikuva

Ekraanikuva

Ettevalmistused on nüüd tehtud, on aeg moodsa, mitmeastmelise autentimise kasutuselevõtuks. Igapäevaseks kasutamiseks tuleb 2FA eraldi sisse lülitada:

Ekraanikuva

Ekraanikuva

Oledki pääsenud järgmisele tasemele. Ekraanile ilmub info, et kaheastmeline kinnitamine on nüüdsest aktiveeritud:

Ekraanikuva

Ekraanikuva

Ent kuidas toimub sisselogimine edaspidi, pärast kaheastmelise kinnitamise sisselülitamist?

Ekraanikuva

Ekraanikuva

Palju õnne – oledki aktiveerinud kaheastmelise autentimise!

Kas panid tähele – on olemas valik „ära selles arvutis enam küsi“. Need eriti paranoilised kasutajad, kes kardavad rünnakut ka omas kodus, võivad selle linnukese ju maha võtta ning siis saadetakse telefonile iga sisselogimise käigus uus kinnituskood.

Enamasti kasutaja nii keerukat süsteemi ei vaja. Edaspidi tunneb sotsiaalvõrk ära tema koduarvuti ja töökoha WiFi – see toimub IP-aadressi alusel – ning varem tuntud kohast sisse logimisel koodimängu ette ei võeta. Kuid hoiatus – sama juhtub ka kooli või kohviku avalikes WiFi-des, mis on oma olemuselt palju ohtlikumad. Teisisõnu, kasutajal tuleb ise teha õige valik – näiteks selline, mis tagab piisava turvalisuse, kuid ei pommita pidevalt koodidega.

Rakenduse Google Authenticator seadistamine

Vahel juhtub, et inimene satub välismaale, kus andmerändlus (roaming) ja SMSid on kallid. Turvaline arvuti leidub ehk sõbra kodus, kuid kuhu saata sel juhul koodid?

Selgub, et Google’il on olemas spetsiaalne nutitelefonirakendus olukordadeks, kus ei taheta telefoniside peale raha kulutada. Rakendus genereerib lühiajaliselt kehtivaid koode, millega on võimalik Google’i teenustesse sisse logida. Turvalisuse tagab siin täpne kellaaeg ja telefon, mida kasutaja usaldab.

Et Google Authenticator saaks töötada, tuleb see autentimisviis esmalt oma Google’i konto tarbeks aktiveerida (lubada).

Klõpsa Google’i konto alt „Rakendus Authenticator SEADISTUS“:

Ekraanikuva

Ekraanikuva

Koodi turvaline arvutamine toimub Androidis ja iPhone’is pisut erinevalt, mistõttu on ühtlasi vaja ära märkida ka oma telefoni tüüp:

Ekraanikuva

Ekraanikuva

Google’i konto on nüüd Authenticator’i kasutamiseks seadistatud.

Ekraanikuva

Ekraanikuva

Järgnevalt tuleb rakendus nutitelefoni poest alla laadida. Siinse näite puhul on tegemist Android-seadmega, seega suundume Play poodi ning leiame õige rakenduse:

Ekraanikuva

Ekraanikuva

Järgnevalt tuleb rakendus siduda kontoga, kuhu hakatakse koodigeneraatori abil sisse logima. Selleks tuleb siseneda valikusse „Lisa konto“:

Ekraanikuva

Ekraanikuva

Kõige mugavam on vajalikku andmeülekannet sooritada QR-koodi kaudu. Toimub see küllaltki sarnaselt e-hääletusega (kus samuti pildistatakse QR-kood ekraanilt maha). Ei maksa ehmuda, kui QR-koodi skannimiseks/pildistamiseks küsitakse kaamerakasutusluba (piltide/video salvestamise luba). Ning taas kord – Google’i konarlikku eestikeelset tõlget ei maksa lihtsalt tähele panna.

Ekraanikuva

Ekraanikuva

QR-koodi pildistamine ekraanilt näeb välja umbes sedasi:

Ekraanikuva

Ekraanikuva

Pärast rakenduse seadistamist teeb Google kasutajale puust ette, kuidas koodi genereerimine käib. Kood tuleb sisestada arvuti veebivormi:

Ekraanikuva

Ekraanikuva

Kood saadakse rakendusest Google Authenticator. Koode meelde jätte pole vaja, iga kord genereeritakse uus kood.

Ekraanikuva

Ekraanikuva

Google Authenticator ongi kasutamiseks valmis:

Ekraanikuva

Ekraanikuva

„Kaheastmelise kinnitamise“ info Sinu Google’i konto küljes näeb nüüdsest välja umbes selline:

Ekraanikuva

Ekraanikuva

Sisselogimine pärast rakenduse Google Authenticator kasutuselevõttu toimub sedasi:

Ekraanikuva

Ekraanikuva

Kuidas aktiveerida kaheastmeline autentimine Facebookis?

Kokkuvõtteks

Enamik Sinu konto ülevõtmiseks suunatud rünnetest toimub läbi Interneti kusagilt kaugelt (ja üldsegi mitte Sinu kodust, koolist, töökohast või lemmikkohvikust). Seetõttu, kui kontrollida sisselogimisel IP-aadressi ja veebilehitseja tüüpi (just seda teevad nii Google kui ka Facebook), õnnestub enamik ründeid ära hoida. Tõsi on paraku ka see, et kui rünnak lähtub Sinu enda lähiümbrusest ning ründajal on füüsiline ligipääs Sinu telefonile, siis pole kaksikautentimisest kuigivõrd kasu.