Tag Archives: küberintsident

Vähem müra, selgem ohupilt: metoodika muutus küberintsidentide kajastamises

2020. aasta juulist lõpetame robotvõrgustikega Avalanche ja Necurs nakatumiste kajastamise CERT-EE intsidentide loetelus. Avalanche’i robotvõrgustik peatati rahvusvahelise politseioperatsiooni tulemusel 2016. aasta detsembris (kuid nakatumised jätkusid hiljemgi), Necursi võrgustiku sai Microsoft enda kontrolli alla 2020. aasta märtsis. Seega võib hinnata, et need kaks võrgustikku enam aktiivselt küberruumi ei ohusta.

Eesti küberintsidentide statistika RIA 2019. aasta küberturvalisuse aastaraamatus. Foto: RIA

Nende kahe võrgustikuga nakatumised on 2017-2019. aastal moodustanud ca 95% kõigist meie robotvõrgustikuga nakatumiste intsidentidest ning kuna me saame ja saadame neid teavitusi välja mõnikord mitu korda ööpäevas, siis moodustavad need ca 60% kõigist intsidentidest üldse.

See ei tähenda, et me enam nende nakatumistega ei tegeleks. Vastupidi – CERT-EE saadab üha tihedamini ja üha rohkem teavitusi välja robotvõrgustike (ja muu pahavaraga) nakatumiste kohta. Alates 2019 suvest on CERT-EE hakanud Eesti telekommunikatsiooniettevõtetele, veebiteenuste majutajatele ja oma võrke haldavatele asutustele välja saatma automatiseeritud teateid erinevate haavatavate seadmete / seadistuste kohta nende võrkudes. Automatiseeritus tähendab seda, et meie serverid saavad masinloetava info kätte usaldusväärselt allikalt, kes on loonud endale taristu haavatavuste ja nakatumiste tuvastamiseks üle terve maailma. Meie süsteemid jagavad info automaatselt edasi Eesti internetiruumis toimetavatele võrkude omanikele. Hetkel jõuab CERT-EEni info ca 3000 nakatumise kohta ööpäevas, mis mõjutab enam kui 700 serverit ja arvutit. Mõne seadme puhul on nakatumine olnud mitme pahavaraga korraga.

Mida rohkem taolisi allikaid me oma süsteemidesse integreerime, seda detailsemat pilti haavatavustest ja nakatumistest me Eesti IP-ruumi klientidele suudame pakkuda. Samas tähendab see ka teavituste tiheduse kasvu, mille ükshaaval statistikas kajastamine ei aita kaasa ohupildi selgemaks saamisele. Näiteks mai keskpaigast juuni keskpaigani oleme teada saanud ja seega ka teenusepakkujaid teavitanud 103 000-st nakatumisest. Numbreid analüüsides aga on näha, et ca 86 000 nendest olid seotud vaid kolme IP-aadressiga ja kokku teame 1701-st erinevast pahavaraga IP-aadressist. Paljud korduvad, paljud nakatumised on samuti seotud juba neutraliseeritud pahavarataristuga, seega ei anna need numbrid statistikas nii palju selgust juurde.

Avalanche’ ja Necurs robotvõrgustike nakatumiste kajastumise muutus hakkab esialgu silma paistma järsu intsidentide langusena (hinnanguliselt 50 – 60%), aga muudatuse tulemusel kajastab meie intsidentide statistika tegelikku ohupilti selgemalt. Kokkuvõtteid robotvõrgustikest plaanime teha ka edaspidi, aga teistmoodi, näidates nakatumiste trende üle teatud aja ning keskendudes nende dünaamikale.

Lauri Tankler
RIA juhtivanalüütik

RIA juht Taimar Peterkop: küberturvalisuse seadus on vajalik meie tänapäevase eluviisi kaitseks

Riigikogu menetleb küberturvalisuse seaduse eelnõu. Riigi Infosüsteemi Ameti peadirektor Taimar Peterkop selgitab, miks sellist seadust on vaja ning kuidas see aitab tagada küberturvalisust. Tekst avaldati 15. märtsil 2018 Delfi arvamusrubriigis.

Taimar Peterkop

Küberturvalisuse seadus aitab ettevõtetel ja riigil paremini koos turvalisust tagada ning kaitsta Eesti digiriiki. Kuna ühiskonna toimimine sõltub üha enam infosüsteemidest, nõuab küberruumi kaitse selgemaid regulatsioone, kiiret reageerimist ja riigi panust vastutuse võtmisel.

Tänane Eesti õigusruum ei toeta meie ühise digitaalse riigi ja inimestele eluks vajalike (energia, telefoniside, meditsiini jms) teenuste kaitset piisavalt. Riikliku julgeoleku ja kaitse tagamise kohustus on asutuste õlul, kellel ei pruugi olla head ja terviklikku olukorra ülevaadet küberruumis toimuvast. Teenuse pakkujalt eeldatakse küberintsidendi lahendamist ja otsuste tegemist, mis aga mõjutavad suuremal või vähemal määral meid kõiki – seda, kas ja kuidas toimib meie e-riik. Nende otsuste tegemise juures saab riik olla vaid soovitavas rollis, mis tähendab, et riigil pole meid kõiki puudutavas küberturvalisuse valdkonnas ei korralduste andmise ega nende eest vastutuse võtmise õigust.

Riigi Infosüsteemi Ameti juhtimisel on enam kui aasta töötatud seaduse kallal, mis lisaks Euroopa Liidu võrguturbe direktiivi rakendamisele likvideerib need puudujäägid õigusruumis – seab riigile suurema kohustuse ning annab ka õigused. Meie kohustus on digiriigina teha enam ja olla teerajajaks küberturvalisuse valdkonnas laiemalt, mistõttu peame pingutama, et ka meie õigusruum järgiks meie pidevaltareneva digitaalse eluviisi tagamise vajadusi. Nagu ID-kaardi päästmine näitas, siis riik ei saa jätta ühiskonna kaitse kohustust ettevõtetele ega küberruumis tekkivaid ohuolukordi kuidagi eirata. Selliselt toimides kaoks usaldus, mis on aga digiriigi toimimise alus.

Küberturvalisuse seadus on sama oluline ja vajalik kui mistahes füüsilises maailmas toiminguid reguleeriv seadus, kas või näiteks pääste- ja korrakaitseseadused. Suure tõenäosusega ei tule lennufirmad pommikahtluse korral lennujaamas kahjusid sisse nõudma, sest lennujaam järgis politsei korraldust ning võimaldas neil inimeste elusid päästa. Samas, kui on kahtlus, et aeronavigatsiooni süsteemides on mingi keeruline pahavara, mis võib protsesse iga kell juhtida ja peatada, siis puudub lennujaamal täna alus riigi soovituste alusel oma teenuseid peatada, kuni probleem on likvideeritud. Kehtiva õiguse järgi ei ole selge, kas riik saab anda sellise korralduse, ning lennujaamal endalgi pole kindlust, kuidas sellises olukorras riigi soovituste järgi tegutseda. Sarnaseid näiteid võib tuua ka muudest valdkondadest.

Eestis registreeritud küberturbejuhtumite hulk lööb tänavu rekordeid: eelmise aasta juhtumite arv oli ligi kolmandiku võrra suurem kui mullu, küündides 11 000-ni. Põhjused registreeritud juhtumite taga on väga erinevad, alates seadmeriketest ja inimlikest eksimustest kuni pahatahtliku tegevuseni. Jälgides maailmas toimuvat näeme üha enam, et suurenenud on välisriikide ründav tegevus küberruumis. Eesti riigiasutuste andmesidevõrke skannitakse ja kaardistatakse pidevalt, kontrollitakse meie kommunikatsioonivahendite võimekust ja üritatakse lisaks riigiasutustele tungida ka elutähtsaid teenuseid pakkuvate ettevõtete arvutivõrkudesse.

Igapäevast turvalisust ohustavad aga veelgi enam küberkurjategijate ründed: lunavara levitamisega kasumit teenida lootev organiseeritud kuritegevus seab oma tegevusega ohtu inimeste elu ja tervise. Sagedased rünnakud haiglatele põhjustavad halvemal juhul arstiabi andmise katkemise. Selliste rünnakute vastu ei piisa parimatest infotehnoloogiavahenditest ega kõige pädevamast küberturvalisust tagavast meeskonnast, kui kasutaja pole riskidest teadlik või on hooletu. Oskus küberruumis turvaliselt toimetada ja riske õigesti hinnata võimaldab tagada turvalisuse kogu riigis.

Ühiskonna suureneva IT-sõltuvuse taustal areneb tehnoloogia ülikiiresti. Võrgu- ja infosüsteemide suurenev keerukus, internetti ühendatud väga erinevate seadmete kasvav arv ning küberruumis tegutsevate erineva motivatsiooni ja oskustega toimetajate kasvav hulk muudab küberturvalisuse üha suuremaks väljakutseks. Eesti senine edukas küberkaitse mudel põhineb kogukondlikul lähenemisel – riigi, ettevõtete ja haridusasutuste koostööl. Turvalisust ei saa võtta kergekäeliselt ja riik või ettevõtted üksi üksi ei suuda tagada turvalisust küberruumis. Küberturvalisuse seadus on üks oluline osa, mille pinnalt jätkuvalt ehitada seda kogukondliku küberkaitse mudelit.