Kuidas kaitsta end küberrünnakute eest? Katse näitas, et paroolid võib kätte saada imelihtsalt

Riigi Infosüsteemi Ameti ekspert Andres Klemm rääkis peremeditsiini kriisikonverentsil küberrünnakutest – kuidas vältida ja mida teha rünnaku korral.

Andres Klemmi sõnul ei pea iga perearst olema ka IT-inimene, aga kuna arvuti on meditsiinis hetkel juba vähemalt sama oluline tööriist kui skalpell, siis kahjuks või õnneks peab sinna valdkonda natuke panustama.

„Kui arvuti töötab hästi, on võimalik ka inimesi oluliselt paremini ravida,“ märkis ta.

Klemm tõi välja 2022. aastal Eestis toimunud mõjuga intsidendid, mis on RIA-le teada. RIA-l on andmed ainult nende asutuste ja ettevõtete kohta, kes on kohustatud raporteerima. See tähendab, et näiteks erasektor, kes ise pole tulnud abi küsima või tunnistanud, et nendega midagi juhtus, selles ei peegeldu. 2022. aasta jooksul registreeriti 2672 mõjuga intsidenti. Kasv võrreldes eelneva aastaga oli 19%. Ligi poole moodustavad õngitsused: paroolid ja pangakaartide andmed. Õngitsuste arv ja osakaal kasvab: lekkinud parool avab ukse järgmisteks rünnakuteks.

Klemm rääkis, et RIA on ise teinud sel aastal õngitsusi umbes 10 000 inimesele.

„Kõige halvem, mida olen näinud, on see, kui küsisime inimestelt viisakalt, kas nad sooviksid oma paroolid meie veebi sisestada ja saime 60% inimeste paroolid kätte,“ rääkis Klemm. „Normaalne vahemik normaalses asutuses on 10-20% nendest, kes e-maili said.“ Ta lisas, et kui e-mail sisaldab mingisugust linki, siis 30-40% inimestest sellele lingile ka klikib. „Ehk tegelikult me kõik istume suurema või väiksema pommi otsas. Me võime inimesi koolitada, see kindlasti aitab, aga see 10-20% on tegelikult nendest asutustes, kus inimesi on juba koolitatud.“

Klemm soovitas lisaks keerulistele paroolidele kasutada kahefaktorilist autentimist nii palju kui võimalik. Tähtis on see, et ainult parooliga ei oleks võimalik asju üle võtta.

Klemm rääkis lunavararünnakutest perearstikeskuste vastu. Kui perearstikeskused on saanud lunavararünnakuga pihta, siis reeglina on põhjused olnud triviaalsed: „Suure tõenäosusega hakkavad enamus põhjused sealt pihta, et inimesed lasevad oma paroolid lekkima.“

Probleemkohana tõi ta välja kaugtöölaua (remote desktop). Tüüpiline häkkeri käitumine olevat järgmine: kuskilt saadakse paroolid, logitakse sisse, krüptitakse ära, küsitakse lunaraha.

Lisaks rääkis Klemm ühest tervishoiuasutuse vastu tehtud sisemisest rünnakust, kus inimesega lõpetati töösuhe, lahkuminek polnud sõbralik, inimese kontot kinni ei pandud. Ta kustutas hulga asju lihtsalt ära.

„Õppimise koht on see, et kui teil inimesed lähevad, pange kontod kinni,“ rääkis Klemm. „Kui te ei lähe sõbralikult lahku, siis tegelikult oleks tark konto kinni panna enne, kui inimese vestlusele kutsute.“

Klemm tõi välja, et sageli on kolmandatel osapooltel asutuse infosüsteemidele juurdepääs kaugelt.

„Näiteks, kui teil on mingisugused raamatupidamistarkvarad, siis tihtipeale antakse juurdepääs raamatupidamistarkvara tuge pakkuvale ettevõttele. See pole iseenesest vale, aga oleme näinud mitut kaasust, kus nendes ettevõtetes pole infoturbega asjad väga hästi,” rääkis Klemm. „Kurjategijad võtavad teenusepakkuja üle ja sealtkaudu liigutakse edasi klientide võrkudesse. Neid pihta saamisi oli eelmisel ja sel aastal ja ma arvan, et tuleb veel.“

Kindlasti tuleks mõelda, kas esitada mingisugused nõuded, kuidas teine osapool peab käituma või tegema midagi muud, et ta ei saaks paroole salvestada ja kurjategijatele mugavat hüppelauda teie asutuse võrku teha.

Mida teha küberintsidendi korral?

Küberintsidendi korral paneb seadus perearstidele kohustuse teavitada CERT-i. Seda saab teha veebis, samuti võib saata vabas vormis e-kirja. Klemm kinnitas, et kedagi ei sildistata, ei hinnata ja see pole alus, mille järgi keegi teeks järelevalvet. See on pigem ülevaate saamise koht.

„Kui intsident on juhtunud, siis on soov hästi kiiresti taastuda ja panna asjad üles, nagu nad olid, et edasi töötada ja ebameeldiv moment ära unustada. Tegelikult enne seda, kui hakkame asju varukoopiast või puhtalt uuesti üles panema, tuleks kokku koguda ja säilitada küberjäljed, mis võisid ründest maha jääda,” rõhutas Klemm. „See on oluline intsidendi uurimiseks. Teisest küljest on see oluline, sest kui saite pihta ja taastate oma keskkonna nii, nagu ta oli enne rünnet, te ei uuri jälgi ega tea, kuidas sisse tuldi, siis miks te arvate, et homme sama rada pidi uuesti sisse ei tulda? Samad uksed on ju lahti. Või kui teil on suurem taristu, siis kust te teate, et suutsite pahalased oma keskkonnast välja visata? Jäljed on nii RIA-le kui teie enda jaoks hästi olulised.“

Klemm ütles, et kui on väiksem intsident ja on vaja teist arvamust, nõu või soovitust, siis RIA CERT osakond on valmis aitama. Teine asi on RIA küberreserv, mis koosneb CERTi töötajatest, teistest riigi IT-majade töötajatest ja küberkaitseliidust. Selle abi tuleb eelkõige siis, kui tegemist on suure mõjuga küberintsidendiga, mille lahendamisega intsidendi ohver ise ei saa hakkama ja see põhjustab olulise kriisi. Tõenäoliselt võiks suure perearstikeskuse puhul sellest rääkida.

Kuidas olla valmis?

Klemm ütles, et tuleks olla informeeritud sellest, mis toimub. RIA-l on kaks erinevat infokanalit, mille kaudu infot jagatakse: esimene on igahommikune tehnikutele mõeldud infokiri ja teine on iganädalane uudiskiri, milles räägitakse üldisest olukorrast ja olulisematest rünnetest. See viimane on n-ö inimkeeli ja mõeldud asutuste juhtidele.

„Lisaks on erakorraline teavituskanal, kus anname teada juhul, kui on mingid asjad, mis vajavad viivitamatut tegutsemist ja mis on suure ulatusega,“ ütles Klemm. „Teine asi, mida teha saab, on inimesi koolitada. Vähemalt mingil tasemel teadmised võiksid igal inimesel olla, sest nagu meie praktika näitab, siis tunduvalt lihtsam, kui teie süsteemidesse tehniliselt sisse murda, on inimesi mõjutada ja nad annavad ise juurdepääsud.“

Klemm tõi olulisena välja veel osalemise RIA perearstide infopäevadel ja E-ITS töötubades.

Ta soovitas koguda kontrolljälgi (logisid), millega võiks tegeleda keskuse IT-teenuse pakkuja: „Seadistage oma olulised teenused kontrolljälgi tekitama. Neid ei saa tagantjärgi tekitada. Need tuleb enne ära seadistada ja siis nad kogunevad ja kui midagi juhtub, siis saate vaadata, mis juhtus, millega ja kes tegi. Kui neid ei ole, siis olete intsidendi korral väga suures määramatuses. Kontrolljäljed tuleb koguda väljaspoole servereid.“

Tehnilises mõttes ei näe Klemm selleks pilve kasutamises probleemi, õiguslikus mõttes ei sobi see teatud tingimustel. Probleem on selles, et sageli kasutatakse Gmaili teenust, mis tähendab, et andmeid hoitakse USA-s, aga tegelikult GDPR-i (isikuandmete kaitse üldmäärus) mõistes ei tohiks neid Euroopa Liidust väljaspool hoida.