Eesti suurendab vastupidavust küberruumis

Olukord

Ukraina sõja vahetu mõju Eesti küberruumile on siiani olnud piiratud, mõjuga intsidentide arv püsib tavapärasel tasemel ja elu häirivaid ründeid, mida saaks konfliktiga seostada, ei ole toimunud. Samas on CERT-EE täheldanud järgmist:

1. Välismaistelt IP-aadressidelt lähtuv haavatavuste kaardistamine veebruaris ja märtsis on olnud tavapärasest aktiivsem, sealhulgas vahetult enne Vene invasiooni algust. Seda on näha nii riigiasutuste kui ka näiteks finantssektori internetile avatud teenuste puhul.
2. Väga palju proovitakse meili teel levitada pahvara (enamasti trooja pahavara erinevaid variatsioone, mis sisalduvad meiliga kaasas olevas dokumendis ja käivituvad selle avamisel). Selliseid laineid oleme näinud ka varem, ent praegused mahud on tavapärasest suuremad. Mõnel juhul on peibutisena kasutatud sõjaga seonduvaid teemasid, ent rohkem liigub varasemast tuttavaid teemasid (arve, hinnapakkumine jne).
3. On olnud mõned üksikud intsidendid, mis võivad olla poliitiliselt motiveeritud. Näiteks häkiti sisse ühele kogukonna uudistelehe ja eemaldati sealt Ukraina konflikti kajastav sisu. On olnud ka mõningaid teenusetõkestusründeid meediaettevõtete vastu.
4. On teateid üksikutest juhtumitest, kus suvalised petturid on püüdnud Ukraina teemat ära kasutades inimestelt raha välja petta.

RIA Hinnang

Geopoliitilised pinged ja vastasseis jäävad ilmselt kauaks püsima ning isegi kui sõjategevus kineetilises maailmas leeveneb ja ühel hetkel vaibub, võib see tähendada, et konflikt kolib järjest enam küberdomeeni. Oht küberrünneteks, nii konkreetselt sihitud kättemaksuaktsioonideks (teenusetõkestusründed, näotustamine, andmete vargus ja/või avalikustamine) kui ka laia kaasmõjuga tarneahelarünneteks (kompromiteeritakse mõni suurem teenusepakkuja või laialt kasutatav tarkvarakomponent) on tavapärasest oluliselt suurem.

Mida arvata ülal mainitud aktiivsest haavatavuste kaardistamisest? Selline kaardistamine (vulnerability scanning) on iseenesest tavapärane tegevus küberruumis, seda teevad nii tavalised küberkurjategijad, organiseeritud rühmitused kui ka riiklikud ohustajad, kes niimoodi oma potentsiaalseid sihtmärke kombivad. Sõltuvalt tellijast on ka kaardistamise eesmärgid erinevad, näiteks veebilehe kaitsemeetmete ja koormustaluvuse testimine, oluliste turvanõrkustega tarkvara tuvastamine, või ka lihtsalt veebilehtedel olevate kontaktide korjamine, et saata neile hiljem suunatud õngitsusi või pahavaraga faile. Kaardistamine ei tähenda, et kõiki tuvastatud nõrkusi kunagi ära kasutatakse, ent nõrkuste olemasolu ja paikamata jätmine suurendab rünnete tõenäosust. Tänases julgeolekukeskkonnas on aga igal inimesel, asutusel ja ettevõttel vaja viia enda vastased ründevõimalused nii madalale kui võimalik.

RIA on sarnaselt mitmete teiste riikide küberametitele andnud ohuhinnanguid ja soovitusi, kuidas end tänasel päeval küberruumis kaitsta. RIA hallatavale riigivõrgule, mida kasutab suur osa avalikust sektorist, on alates veebruarist üles seatud täiendav tulemüür, mis tuvastab ja peab kinni tuhandeid rünnakukatseid igapäevaselt. Mitmed elutähtsate teenuste pakkujad on samuti oma kaitsemeetmeid tugevdanud ja konsulteerivad RIA-ga pidevalt aktuaalse ohupildi osas. Ehkki seni on agressor oma potentsiaali küberdomeenis kasutanud tagasihoidlikult, peame olema valmis, et see muutub.