häkkerid tungisid firma arvutisüsteemi ja nõudsid lunaraha

Tammer OÜ juht Anti Tammo kinnitas, et otsus lunaraha maksta ei tulnud kergekäeliselt: «Kaalusime läbi kõik muud variandid, meie IT-inimesed töötasid väsimatult erinevate lahenduskäikude kallal. Kuna lunarahanõue oli kordades väiksem, kui oleksid olnud kulud nullist ülesehitamisel, otsustas juhatus proovida.»

Indrek Kinki hinnangul sai rünnak võimalikuks mitme halva sündmuse kokkulangemise tõttu: «Tänaseks oleme oma süsteeme täiendanud just turvaaspektist ja lisanud veel ühe, täielikult offline tagavarakoopia tegemise.»

Kuna küberrünnakutest ei soovita tavaliselt avalikult rääkida, kiidab Jürgen Erm ettevõtteid julguse eest: «See aitab ära hoida järgmisi võimalikke ohvreid. Hetkel on valdav enesetsensuur, kardetakse mainekahju. Aga see näide on elav tõestus, et kahju rääkimisest ei teki – pigem vastupidi.»

Lunarahanõuded tabasid mitut suurt tootmisettevõtet

2023. aastal teatati RIA intsidentide käsitlemise osakonnale (CERT-EE) mitmest lunavararünnakust, mille ohvriks langesid Eesti mõistes suured, sadade töötajatega ettevõtted.

Näiteks langes oktoobris rünnaku alla üks Tallinna suurettevõte, kus pahavaraga krüpteeriti kahes serveris olnud andmed. Ründajad kasutasid lõppsihtmärgini jõudmiseks raamatupidamisfirmat, mille süsteemidesse tungiti kaugtöölaua protokolli (RDP) kaudu. Õnneks olid ettevõttel lukustatud andmetest värsked varukoopiad, mistõttu oli võimalik süsteemid taastada.

Kolm õppetundi

Selle juhtumist võib ammutada korraga lausa kolm õppetundi. Esiteks on Eestis ja ka mujal maailmas kasvav probleem tarneahelarünnakud, mille käigus kasutatakse peamiselt IT- ja raamatupidamisteenuseid pakkuvaid ettevõtteid selleks, et jõuda nende hoopis suuremate ja jõukamate klientideni. Seetõttu tasub ettevõtetel teenuste sisseostmisel tõsiselt analüüsida, kas partnerite küberturbe olukord on ikka piisavalt hea ja millistel süsteemidele on otstarbekas neid ligi lubada.

Samamoodi on levinud riskikoht nõrgalt kaitstud kaugtöölaud või VPN-võrk. Paraku näitavad CERT-EE monitooringuandmed, et Eestis leidub endiselt üle tuhande avalikult internetist kättesaadava kaugtöölaua, kuigi nende omanikke teavitatakse sellega kaasnevatest ohtudest sideettevõtete kaudu regulaarselt.

Ette on tulnud kurioosne lugu, kus IT-mees pani tööpäeva lõpus ajutiselt kaugtöölaua püsti, kavatsedes selle hommikul uuesti maha võtta, aga enne sai ettevõte rünnakuga pihta. Häkkerid seiravad võrke pidevalt ja võivad nõrku kohti mõne tunnniga ära kasutada.

Kolmandaks kinnitas oktoobrikuine juhtum taas kord töökindla ja muudest süsteemidest eraldatud varunduse olulisust rünnaku tagajärgedega toimetulekul. Sarnaselt õnnestus oma infosüsteemid ja andmed kiiresti taastada ühel Lääne-Eesti tööstusettevõttel, mida lunavararünnak tabas detsembri lõpus. Nende puhul kasutati rünnakuks ära nõrka VPN-i parooli.

Üle ega ümber ei saa me ka küberhügieenist, sest paljud lunavararünnakud algavad lihtsast õngitsusest, millega hõivatakse mõne töötaja kasutajakonto. Endiselt teevad ründajatele rõõmu seadmete vaikeparoolid, paikamata turvanõrkused ja vananenud tarkvara, mida tootjad enam ei toeta. Kui kasutada kahetasandilist autentimist ja automaatuuendusi ning vabalt veebist ligipääsetavad teenused VPN-i taha panna, siis on elu kohe palju turvalisem.

Tootmisettevõtete jaoks on oluline vahend küberrünnakuga kaasnevate ohtude maandamiseks veel võrkude segmenteerimine, et kurjamid ei saaks süsteemi sisse pääsedes kohe igale poole ligi. Tehnoloogilised seadmed peaksid asuma eraldatud võrgus, millele saavad ligi ainult kontrollitud töötajad kontrollitud seadmetest.

Kindlasti tuleks võrguliiklust ka monitoorida. Kui teenuseid hoitakse eraldi segmentides, siis peavad ründajad ringi liikudes rohkem «lärmi» tekitama, mis võib seirel nende avastamist kergendada.

Ära toida kurjategijaid

Juhul kui varundusest pole abi ja süsteeme tuleb hakata nullist üles ehitama, võib lunavararünnakuga kaasneda suur majanduslik kahju. Seetõttu on inimlikult mõistatav, miks osa ründega pihta saanud ettevõtteid on otsustanud lunaraha maksmise kasuks. Teisalt taastoodab see kuritegevust, andes häkkerirühmitustele motiivi üha uusi rünnakuid korraldada. Samuti võidakse rünnaku käigus varastatud andmed müüki paisata ja nende eest hiljem uuesti raha välja pressida või parandamata jäetud nõrku kohti jälle ära kasutada.

Seetõttu tegid 50 rahvusvahelise lunavaravastase initsiatiiviga ühinenud riiki, nende seas Eesti, 1. novembril 2023 ühisavalduse, millega nende valitsusasutusasutused lubavad edaspidi vältida lunaraha maksmist, näidates positiivset eeskuju.

Samuti rõhutati avalduses vajadust tõhustada koostööd erasektoriga. Sarnaselt enamiku maailma riikidega registreeritakse Eestis ilmselt ainult väike osa lunavarajuhtumitest, mis raskendab võitlust küberkuritegevusega. Ettevõtjad on väljendanud kartust, et kui nad riiki teavitavad, siis võib sellega kaasneda karistus küberturbereeglite rikkumise eest või mainekahju juhtumi avalikuks tuleku tõttu.

RIA kinnitab, et ei karista kannatanuid, vaid aitab neid hoopis intsidendi lahendamisel, jagades oma oskusteavet ja võimalusel ka näiteks dekrüpteerimisvõtmeid. Juhtunu kohta info avaldamine jääb iga ettevõtte enda otsustada, kuid RIA peab seda väga kiiduväärseks – näo ja nimega kogemuslood panevad märksa paremini probleemi üle järele mõtlema kui anonüümsed hoiatused.