Toomas Vaks, Riigi Infosüsteemi Ameti peadirektori asetäitja küberturvalisuse alal kirjutas 18. novembril 2015 ajalehes Eesti Ekspress lunavara levikust Eesti ettevõtetes ja asutustes.
Selle aasta suvel ja sügisel on mitmes Eesti riigiasutuses ja ilmselt ka nii mõneski erafirmas päev alanud paraja paanikaga. Inimene käivitab hommikul oma tööarvuti ja soovib jätkata eelmise tööpäeva lõpul poolelijäänud tegemisi. Küllap on nii mõnegi asjaga kiire. Kuid miskipärast näib arvuti töölaud kuidagi teistsugune, kui see alati on paistnud. Võib-olla on muutunud seal olevad ikoonid, kuid päris kindlasti on kõikide töölaual olevate failide laiend hoopis teistsugune, kui olema peaks. Eelmisel õhtul tööks kasutatud failist olulinefail.docx on järsku saanud näiteks fail nimega olulinefail.docx.virusfuckedyourfilesxfhj. Säärane fail loomulikult inimesel tööd teha ei lase ja samuti puudub ligipääs eelmisel õhtul kirjapandud toredatele ja olulistele mõtetele, mida just nüüd ja kohe hommikusel koosolekul oleks vaja ette kanda.
Samuti paneb ohutulukese põlema faili laiend, mis sisaldab sõna „virus“. Arvutis on ilmselt midagi valesti ja tuleb kiiresti lasta spetsialistidel arvuti korda teha. Igaks juhuks tasub enne seda ka mõelda, kas sai äkki ise midagi valesti tehtud, juhuks kui arvutispetsialistil peaks selline mõte tekkima. Kuid ühelgi kahtlasel või keelatud kodulehel ei ole justkui käidud, kahtlastele linkidele kah vajutatud ei ole, illegaalseid faile kusagilt tööarvutisse tõmmatud ka mitte. Ja üleüldse paistab ainuke tööga mitteseotud tegevus, mida tööarvutiga eile tehtud sai, ühe lugupeetud kinnisvaraportaali külastamine, nägemaks seda, kui paljuga naaber oma korteri müüki on pannud. Ja pealegi peaks arvuti töölaua nurgas vilkuv viiruste eest kaitsev programm oma tööd tegema.
Kuid telefonikõne asutuse arvutisüsteemide eest vastutavatele spetsialistidele seekord ei aita, sest telefonitorust kostab ainult närvilist karjumist, kuidas praegu on palju suuremaid probleeme kui see, et see helistaja oma töölaual olevaid faile avada ei saa. Kõikide asutuse töömaterjalidega olevat mingi „kapitaalne jama“ ja arvutispetsialistil lihtsalt polevat hetkel aega selliste väikeste probleemidega tegeleda. Selline vastus muidugi elu kergemaks ei tee ja tuleb ülemusele õnnetu näoga olukorda seletama minna.
Ja tõepoolest – asutuses arvutite eest vastutavatel inimestel on käed-jalad juba hommikust saadik tööd täis ja probleemidega on jõutud ka juhtide kabinettidesse – tuleb välja, et asutuses ei ole sel hommikul kusagil mitte ühtegi faili, mida keegi kasutada saaks. Kahju ei ole siiski lõplik – asutuse andmed ära peitnud kurja¬tegijad soovivad andmete taastamise eest lihtsalt raha – bitcoin’ides makstes peaks ühes arvutis olevad andmed saama tagasi umbes 1000 euro eest.
Diagnoos: asutuse arvutisüsteem on nakatunud krüptoviiruse ehk lunavaraga. Kui tegu on erafirmaga, siis võib-olla kaalubki firma juht küsitud lunaraha ära maksmist, sest töö tahab ju tegemist Kuid maksta tuleks kiirelt ja vaikselt, et keegi teine (ammugi konkurent) sellest ei kuuleks. Et praegu on kõige targem tegeleda tagajärgedega ja sellega, et asutus saaks tööd jätkata – küll IT-juhi vallandamisega jõuab tegeleda ka uuel nädalal.
See, mida ma siinkohal kirjeldasin, on tänavu tõenäoliselt juhtunud nii hulgas riigiasutustes, erafirmades kui ka kodudes. Sel aastal oleme pidanud olema tunnistajaks ja abistajaks sedalaadi olukordades, kus üle Eesti on käinud terve krüptoviiruste epideemia. Ja seda hoolimata sellest, et eri kanaleid kasutades on korduvalt edastatud hoiatusi ning soovitusi, kuidas krüptoviiruste eest hoiduda ja kuidas võtta tarvidusele abinõusid, mis aitaksid ka säärase lunavara arvutitesse pääsemise korral halvemaid tagajärgi ära hoida.
Kui lunavara kätte langenud erafirmades toimuvat võiks riik halvimal juhul ennekõike pealt vaadata, nõu anda ja loota, et enam nii ei juhtu, siis olukord, kus küberpättide tegevuse tõttu satuks kusagil ohtu ka mõne haigla või kiirabi toimimine, peaks muretsema panema tegelikult meid kõiki. Ka selliseid juhtumeid oleme pidanud sel sügisel nägema ja säärased olukorrad on juba naljast (millena lunavara ju kõrvaltvaatajale tunduda võib) kaugel, sest ohtu satuvad kriitilised teenused, millest me sõltume kogu aeg.
Eestis ei tohiks olla isegi teoreetilist võimalust, et kriitilised teenused, millest võib sõltuda inimeste elu, võivad selliste küberpättide tõttu häiritud saada. Kuid kahjuks on sügis näidanud, et oht selleks on suurem kui pelgalt teoreetiline. Olgem ausad – enam-vähem täieliku turvalisuse tagaks tänapäevaste küberriskide eest vaid internetist isoleeritud töökeskkond, kuid kui see oleks ainuke lahendus, siis oleks sama hea juba soovitada kirjutusmasinate juurde naasmist. Mida need asutused, kus säärane paanika aset leidis, siis valesti tegid?
Esiteks loomulikult seda, et nii mõnigi asutus on kas laiskusest, asjatundmatusest või siis kulude kokkuhoiu soovist loobunud oma andmetest koopiate tegemisest. Kui kõikidest arvutis olevatest olulistest andmetest tehakse arvuti iga sulgemise järel koopiad, siis võib krüptoviiruste (ja mitte ainult) vastu end vähemalt veidike julgemini tunda.
Teiseks kordub sel sügisel nähtud juhtumites selgelt üks ja seesama muster – IT-spetsialistid on jätnud oma asutuste tavalistele kasutajatele asutuse arvutivõrgus olevate andmekandjate (võrgus olevad kõvakettad jmt) juures liiga suured kirjutamise ja tegevuse õigused. Kui krüptoviirus pääseb mõnda arvutisüsteemi, siis sihib ta üsna pea kõiki andmeid, millele tal ligi pääseda õnnestub. Taas kord laiskus ja asjatundmatus. Iga suurema riigiasutuse või ettevõtte juht võiks oma arvutite eest vastutajate käest nende kahe lihtsa asja silmas pidamist jõuliselt nõuda.
Ning kolmandaks on probleem muidugi see, et asutust tabanud krüptoviirusest üritatakse kellelegi mitte teada anda, nõutav lunaraha makstakse ära ja püütakse asutust häbistav juhtum kiirelt unustada. See võib tõesti olla hea lahendus ühe asutuse või ettevõtte jaoks – kuid Eesti kui terviku küberturvalisusele see kahjuks kaasa ei aita.
Tahaksin väga loota, et andmeid krüpteerivale epideemiale õnnestub sel sügisel siiski piir panna. Kui ühes või teises erafirmas toimuv on lõpptagajärgedes võib-olla tõesti ennekõike firma enda riskitaluvuse, maine või rahakoti küsimus, siis Eestis eluliselt tähtsaid teenuseid tagavates asutustes säärased juhtumid korduda lihtsalt ei tohi.
Kindlasti tehku alati oma kõvaketastest tagavarakoopiad ja ärgu kindlasti maksku ühtegi senti kurjategijatele, sest kui toetad kuritegevust, siis toetad ka selle arenemist.
Ise näiteks tegin binaaritesti ( https://www.zerobin.net/?6cb529a32d7e811c#m/aKP7kxoeHB3fOv4fbkGVu5q/LXkKaYYILu75Ck+To= ), mis matkib selle cryptowalli lihtamalt poolt ja avastasin, et kõik kahtlased appid ja pakifailid peaks olema firmades ja koduarvutites välistatud. Ära kasuta androidi ja võõraid appe microsofti ja apple, google toodetes.
(e-posti ja veebilehitseja võid panna sandboxi alla.)
Ära usalda ühtegi “non-free” binaari. Infot saad gnu.org lehel.
Tahtsin täiendada veel, et linux on samuti ohus kui paigaldad kahtlasi binaari/pakifaile.
Samas hoiatan pideva linuxi taandaregu s.t unix-like “non-free” draiverite/ kernelite ja kasutajaõiguste pehmendamiste eest.
Veebilehitseja ja e-posti tarkvara on on juba ammu aeg panna turvakasti/sandboxi nende lollakate non-free javascriptide pärast.
http://www.gnu.org/philosophy/javascript-trap.en.html