Riigi Infosüsteemi Ameti (RIA) kuuülevaatest selgub muu hulgas, et augustis toimus Eestis kaks lunavararünnakut, turvanõrkust ära kasutades tungiti Transpordiameti süsteemi ja Omniva nime kuritarvitades saadeti massiliselt õngitsussõnumeid.
RIA intsidentide käsitlemise osakond (CERT-EE) registreeris augustis 499 mõjuga küberintsidenti, mille tagajärjel inimesed ja ettevõtted kaotasid oma andmeid ja raha või oli infosüsteemide töö häiritud. Tänavu esimese kaheksa kuu jooksul on kirja pandud juba 3781 mõjuga juhtumit ehk 90 protsenti rohkem kui mullu samal ajal.
Suurima osa mõjuga intsidentidest moodustasid augustis jätkuvalt õngitsuslehed, mida CERT-EE tõkestas 313. Viimastel kuudel on andmepüük suurenenud ja ka augustis levitati massiliselt Omniva nimel saadetud õngitsussõnumeid. Sõnumite sisu oli erinev, kuid peamiselt väideti, et pakki ei saa kohale toimetada vale aadressi tõttu ja kutsuti oma andmeid uuendama. Mõnes sõnumis nõuti ka saatekulu või tollimaksu tasumist.
Kõigi sõnumitega oli kaasas kahtlane link, mis viis õngitsuslehele ning paljud oma andmed sisestanud inimesed jäid ilma sadadest või isegi tuhandetest eurodest. RIA tuletab meelde, et kullerfirmad ei saada taolisi sõnumeid ega palu klientidel oma andmeid tundmatutele linkidele sisestada.
Olulisemad küberründed ja teenusekatkestused
Augustis teatati RIA-le kahest lunavararünnakust. 16. augustil krüpteeriti lunavaraga Järvamaa kutsehariduskeskuse serverid. Kõik seal olnud andmed hävisid ja varukoopiaid nendest ei olnud. Päev hiljem krüpteeriti aga ühe Lõuna-Eesti jaekaubandusettevõtte serveris olnud andmed. Kuna ründajad pääsesid ligi ka varundusserverile, siis kustutati varukoopia ära. Rünnaku tõttu ettevõtte töö seiskus. Need juhtumid näitavad RIA hinnangul taaskord andmete varundamise tähtsust ja kindlasti tuleks varukoopiaid hoida muudest süsteemidest eraldatuna.
15. augustil anti RIA-le teada, et ründajatel on õnnestunud pääseda Transpordiameti lõppkasutajate seadmete keskhaldussüsteemi. Transpordiamet viis koostöös CERT-EE ja partneritega läbi analüüsi, mille käigus selgus, et rünnakuks kasutati ära märtsis avalikustatud haavatavust Fortineti tarkvaras. Hetkel teadaolevalt ei õnnestunud ründajatel siiski andmeid süsteemist välja viia.
RIA märgib, et Transpordiamet tegi juhtumi lahendamisel kiiret ja head koostööd. Tehnoloogia arengu tõttu leitakse tarkvarades turvanõrkusi pidevalt ja viimastel aastatel kasutatakse neid järjest kiiremini ära. Seetõttu on oluline haavatavused võimalikult ruttu parandada ja turvauuendused võimalusel automatiseerida.
Suurema mõjuga teenusekatkestustest tuuakse RIA kuukokkuvõttes välja juhtum 6. augustil, kui ligi tunni aja jooksul esines tõrkeid e-politsei infosüsteemis Apollo ja piirikontrolli infosüsteemis PIKO. Patrullid ei saanud süsteeme kasutada, kuna x-tee päringud ei läinud läbi. Intsidendi põhjustas tehniline rike. Samal päeval esines e-posti tarkvara vea tõttu probleeme e-äriregistrist kirjade saatmisel.
Kuu teisel poolel, 22. augustil katkes ligi kolmeks tunniks TeliaTV töö klientidel, kes kasutasid Androidi digiboksi. 24. augustil oli aga mitme tunni jooksul katkestusi 67 veebilehe töös, mida haldab Rahandusministeeriumi infotehnoloogiakeskus (RMIT). Rikke põhjustas RMITi nimeserveri seadistusviga.
RIA kuukokkuvõttest saab lugeda ka tegevustest küberturvalisuse parandamisel Eestis ning olukorrast mujal kübermaailmas. Muu hulgas avastasid Ukraina eksperdid sealseid valitsusasutusi sihtinud pahavarakampaania ning küberünnaku ohvriks langesid maailma üks suuremaid naftatöötlusettevõtteid Halliburton ja USA pooljuhtide tootja Microchip Techology.