INTERVJUU | CERT-EE juht: Eesti kübermaailm pääses viirusest peaaegu kaotusteta
Tammer ütles intervjuus Fortele, et eriolukorra ajal aset leidnud küberintsidendid oleksid juhtunud süsteemide turvanõrkuste tõttu varem või hiljem ikkagi.
Pea kaks kuud kestnud eriolukord ei möödunud kübermaailmas päris valutult ja üleeile ilmnes, et kurjategijad pääsesid ligi näiteks raviasutuste serverile ja andmebaasile, sealjuures oli ohvriks üks Tallinna haigla ja Lõuna-Eesti perearstikeskus. Mida see meile õpetas, mida need asutused valesti tegid?
Peamine probleem oli selles, et süsteemid olid püsti pandud mõtlemata turvalisusele. Esiteks see, et kaugtööks kasutati RDP-d (Remote Desctop Protocol - toim.) - see ei ole aga väga turvaline tehnoloogia. Kui vaadata seda, millist seadistust kasutati, siis oleks ta varem või hiljem sattunud ohvriks niikuinii.
Minu sõnum on: ärge seda lahendust kasutage. Või kui on äärmine vajadus, siis tuleks kindlasti süsteemi regulaarselt paigata ja lubada ligi vaid kindlaid IP-aadresse. See tähendab, et kogu ülejäänud maailmale on see ühendus kinni - seda ei eksisteeri. Jah, selleks tuleb koju tellida püsi-IP, aga see maksab kuus vaid mõned lisa eurod - see ei ole kaelamurdev hind.
Nii lihtsad sammud aitaks väga palju selliste sündmuste puhul, millega kaasneb alati ehmatus ja vahel ka väga kurvad tagajärjed.
Kurb tagajärg võib tähendada lisaks andmete lekkimisele ja blokeerimisele ka kopsakat lunarahanõuet serverite vabastamise eest. Lahendus on keeruline - kas maksta või mitte?
Meie soovitus on kindlasti mitte maksta. See ainult innustab kurjategijaid oma pättuseid edasi tegema.
Kui vaadata tagasi viimasele kahele kuule, siis kõik me siirdusime kaugtööle ja e-kanalitesse, see võis meid muuta ka ohustatumaks. Ka riigitöötajaid. Kuidas eriolukorra kokku võtate?
Eestis oli suhteliselt rahulik. Intsidente oli, aga need ei olnud otseselt seotud katsega eriolukorda ära kasutada - nagu ütlesin, siis need oleksid mitmed juhtunud varem või hiljem. Algpõhjuseks on liigagi tihti puudulik turvalisuse seadistus või sellele üleüldse mõtlemata tegutsemine.
E-riigi vaatenurgast tõi kriis esile mitmed kitsaskohad. Nende lahendamisega me tegeleme.
Kuidas on lood näiteks koosolekuprogrammidega. Kogu maailm kasutab Zoomi, mõni ka Skype'i, Messengeri või midagi muud. Kas Eesti riigis on kokku lepitud, et turvalisuse huvides kasutatakse kõikjal kindlaid programme?
Meie tänane eelistus on sellised programmid, mis meil on endal „kõhu all" - ehk näiteks Skype for Business. Tegeleme sellega, et leida ka teisi lahendusi, kuna Microsoft on sellele programmile peagi toe kaotamas. Peame vaatama otsa lepingulistele garantiidele, tehnilistele võimekustele ja seadistustele.
Kaugtöö osas on kindlasti kõige mõistlikum kasutada VPN-i - nii, et kas arvuti pääseb internetti ainult läbi VPNi või pääseb ettevõtte sisesele infole ligi ainult siis, kui arvuti on VPN-i otsas. Mida kriis väga selgelt välja tõi on see, et mitte kõikides asutustes ei olnud seda võimekust olemas - ja väga palju andmeid liikus läbi avatud interneti ja ükskõik, mis teed pidi.
Kriis tõi probleemid kähku välja, aga lahendused väga kiirelt ei tule. Loodame siiski, et enne kui sügis tuleb, oleme palju tugevamad.
Milline kõige olulisem märksõna on, mida teie kriisist kaasa võtsite?
Murekoht on see, et väga paljudel inimestel ei ole jätkuvalt kodus kiiret internetti. Elektrilevi viimase miili projekt tuli natukene liiga hilja - just sellesama kriisi võtmes. Väga paljud inimesed istuvad endiselt mitte just kõige parema interneti otsas.
Kodus töötades on kiire internet palju olulisem, kui seal niisama uudiseid sirvides. Kui ikka videokonverentsi ajal hakkab pilt või heli hakkima, siis on see natuke rikutud koosolek kõigi jaoks. Sellest hakkab kõik muu pihta.
Või mis puutub küberintsidentidesse, siis on meie tagantjärele sõnum: sõbrad, sellised asju ei juhtu mitte ainult mujal - neid juhtub ka Eestis.
CERT-EE saadab korra päevas kõigile telekomidele ülevaateid nende klientide turvanõrkuste kohta. Kui me vaatame statistikat, siis tundub, et numbrid ei taha kuidagi väheneda - mis tähendab, et teenusepakkujad ei saada alati seda infot oma klientidele edasi ega vähenda seeläbi rünnaku õnnestumise tõenäosust.
TAUST
Aprilli alguses nakatati ühe väiksema perearstikeskuse server lunavaraga. Forte andmeil oli tegemist Võrus asuva perearstikeskusega, mille klientide andmebaasile saadi ligi RDP (Remote Desctop Protocol) protokolli nõrkust ära kasutades, andmed krüpteeriti ja asuti andmete vabastamise eest nõudma lunaraha.
Perearstikeskus asus Riigi Infosüsteemi Ameti (RIA) andmeil faile taastama, kuid selgus, et regulaarne varundamine ei toiminud. Lõpuks õnnestus siiski üks töötav varukoopia leida, andmebaas saadi töökorda ning lunarahanõudjad jäid pika ninaga.
Muretult ei möödunud eriolukord ka pealinnas - turvanõrkuse tõttu patsiendiportaalis kompromiteeriti aprilli keskel Ida-Tallinna Keskhaigla server.
Arendaja sulges seetõttu turvanõrkuse parandamiseni ITK patsiendiportaali. Kuna eriolukorra tõttu oli sellel hetkel vähe kasutajaid, oli patsiendiportaali sulgemise mõju väike.
„Meile teadaolevalt ei olnud kummalgi juhul spetsiifiliselt sihitud tervishoiuteenust pakkuvaid asutusi," teatas RIA.
Aprillis toimus ka mitmeid DDoS ehk teenustõkestusrünnakuid, mis mõjutasid reaalselt ka Eesti e-teenuste kättesaadavust hoolimata sellest, et taoliste rünnakute vastu on võimalik tehniliste kaitsemeetmetega võidelda.
3. ja 4. aprillil tabasid DDoS rünnakud rämpsposti ja pahavara vastu võitleva Spamhause'i teenust, mille üht koopiat majutavad CERT-EE ja riigivõrk. Riigivõrgus rakendatud kaitsemeetmete tagajärjel lakkas töötamast vananenud võrguseade, mistõttu oli 4. aprillil ajavahemikus vähemalt poole tunni jooksul ühendusprobleeme osadel riigivõrgu klientidel. Teiste seas oli häiritud Digiretsepti töö.
Alates 18. aprillist nägi RIA sarnase käekirjaga teenustõkestusrünnakuid järgmiste e-teenuste vastu: eesti.ee, id.ee, emta.ee, elron.ee ja elisa.ee.
Samuti anti RIAle märku teenustõkestusrünnakutest digitaalset päevikulahendust pakkuva eKool.eu vastu ning elektroonilist identiteeti pakkuva SK ID Solutions teenuste vastu.
22. aprillil oli aga häiritud Luminor panga kodulehe kättesaadavus ühe Leedu teenusepakkujale tehtud DDoS rünnaku tagajärjel.
