CERTi uus juht: mullu kollitas lunavara, tänavu pannakse ohver oma teadmata krüptoraha kaevandama

Lunavara poolt krüpteeritud arvuti. Foto: Rob Engelaar/Scanpix

Kui eelmisel aastal kollitas Eesti arvutikasutajaid kõige rohkem lunavara, mis arvuti andmed pantvangi võttis ja avamise eest raha nõudis, siis nüüd teeb tõusu ohvri arvutiga krüptoraha kaevandamine, ütleb juuni algusest Eesti CERTi juhtinud Tõnu Tammer.

CERT on riigi infosüsteemi ameti (RIA) infoturbeintsidentide käsitlemise osakond, millel on ilmselt kõige parem koondpilt sellest, mis ohud Eesti arvutivõrgus valitsevad.

Kümme hoiatuskirja päevas

Jõuga kellegi teise arvutiga raha teenimine on üks sellistest ohtudest, rääkis Tammer intervjuus Geeniusele. “Põhimõtteliselt kasutatakse kellegi teise arvutusvõimsust, et omale raha teenida,” ütles Tammer. “Seda võib teha veebisaidi häkkimisega, mida külastades inimese arvuti hakkab kaevandama, või mõni “vahva” e-kiri “vahva” manusega, mis selle käivitab,” kirjeldas ta

“Me saadame päevas umbes kümme teavitust Eesti saitidele või rahvusvahelistele, et “palun selline asi maha võtta”,” kirjeldas Tammer mahtu, kui tihti tuleb sellisele tegevusele reageerida.

Kuigi küberohtude trendid vahetuvad, on inimestele enda kaitsmiseks mõeldud põhimõtted jäänud samaks. “Küberhügieen on ikka oluline,” ütles Tammer. Ka krüptoraha kaevandava pahavara vastu aitab see, kui mitte avada võõraid e-kirja manuseid, ja viirusetõrje, mis tuvastab kas või internetilehitsejas tegutseva pahatahtliku tegevuse. “Kui sul seda ei ole, siis on uks täiesti lahti. Kui sul on viirusetõrje, siis on kassi-hiire mäng, kui kiiresti viirusetõrje tootja suudab uue pahalase signatuuri oma tarkvarasse panna.”

Suuremad ja väiksemad augud avaliku sektori võrgus

Riigikontroll on Eesti kohalike omavalitsuste küberturvalisust hinnanud üsna madalalt, see on justkui Metsik Lääs. Tammer möönab, et häid inimesi igale poole ei jagu. “Kokku on IT turvalisusega tegelevaid inimesi Eestis võib olla suurusjärgus 500,” ütles ta. CERT püüab sellele kogukonnale lisaväärtust pakkuda, aga igale poole neid inimesi ei jagu.

“Mõnevõrra on parem nende omavalitsustega, kes on ASO (riigiasutuste andmesidevõrk, mida haldab RIA – H.L.) küljes, nende turvalisusse saame me veidi oma tööriistadega panustada. Aga need, kes pole, neid ei saa ka meie otse aidata,” ütles Tammer. Kui kogu avalik sektor oleks riigivõrgus, siis oleks kindlasti CERTil parem nähtavus näiteks pahavara levimise või rünnakute kohta. Samas ei pruugi olla selline tsentraliseeritus olla ka turvalisuse mõttes parim, kui lunavaraga krüpteeritakse väikeasutuse või üksikkasutaja asemel suure IT-maja andmemassiiv, hoiatas Tammer lihtsate lahenduste eest.

Tõnu Tammer juhib juuni algusest alates Eesti CERTi. Foto: RIA

Hiljuti avastas RIA, et Eesti riigivõrgus on seadmeid, mille uks on sisuliselt lahti jäetud võõrastele silmadele ja kõrvadele. Näiteks avastati videokonverentsi seadmeid, mille telneti põhised haldusliidesed olid avalikust internetivõrgust kättesaadavad.

“See on võimalus, mis ootab ära kasutamist. Parem on, et selliseid võimalusi ei ole,” ütles Tammer. Sellised asjad juhtuvad tema sõnul mõnikord nii teadmatusest, tähelepanematusest või ka hoopis soovist head teha. “Seadmeid üles peades tehakse nii palju, et töötab, aga ei mõelda, mis uks sulgeda. Aga kui töötaja tahab teha head ja mingi wifi-seadmega anda külalistele internetti, on tegelikult tehtud ligipääs sisevõrku. Perimeeter ei ole enam kaitstud.”

Värske õigus “uks maha lüüa”

Hiljuti sai Eesti uue küberturvalisuse seaduse, mis muuhulgas annab RIAle teatud tingimustel õiguse ohtu kujutav seade internetist jõuga välja lülitada, kui selle omanik seda ise ei tee. CERTI uus juht ei kipu seda õigust kasutama.

“Seaduses nii kirjas on. Niimoodi tehes jõuame sinna, et kannatama hakkavad suure lisaväärtusega teenused: meie töö kogukond. Tahame jätkata seda rada, et monitoorida nii palju kui võimalik, otsida logidest anomaaliaid, anda ettevõtetele tagasisidet. De jure meil selline õigus on, aga tegelikult ei ole nii, et meil tuleb hea mõte ja lähem lööme kohe kellegi ukse maha,” kinnitas Tammer.

Euroopa tasandil rõhutatakse aga üha rohkem seda, et küberrünnakute tegelemisel tuleks tegeleda omistamisega – teada saada, kes on rünnaku taga, ja anda vastureaktsioon.

Tammer rõhutas, et CERT ei ole karistamisega tegelev institutsioon, küll aga kogutakse ja analüüsitakse infot ning antakse edasti Eestis julgeolekuga tegelevatele asutustele. “Omistamine peaks toimuma kollektiivselt, see on mitme asutuse töö, et poliitikud saaks minna ja öelda, et see on rünnak. Aga kui vaadata WannaCry ja NotPetya rünnakuid, siis on jah tõesti leitud, et nende taga olid konkreetsed riigid,” rääkis Tammer. “Niidiotsad viivad korraldajateni välja.”

Kas ja kui palju sel aastal võiks korduda 2017 tormilised sündmused küberturvalisuses, ei tahtnud Tammer prognoosida. “See on tegelikult selle töö kõige põnevam osa: ennustamine on nii tänamatu, et kunagi ei tea, mis homne päev toob. Iga päev tuleb aga valmistuda, et midagi hakkab juhtuma.”