RIA ÜLEVAADE | Milline oli möödunud aasta küberturvalisuse vaatenurgast? Kuidas andmeid paremini kaitsta?

Autor: Arno Põder, Riigi Infosüsteemi Amet

Kui vaadata küberintsidentide statistikat laiemalt, siis oli RIA juba oktoobri lõpuks kirja pannud pea sama palju juhtumeid kui terve 2022. aasta jooksul kokku. Valdkondade kaupa pikemaajalist statistikat paraku ei koostata.

Tervishoiuasutusi tabanud intsidendid on olnud erinevad – alates tehnilistest tõrgetest ja inimlikest eksimustest kuni sihitud rünneteni välja. Meedikutele ei antud küberrindel rahu ka jõulude ja uusaasta ajal. Ühe Tallinna perearsti postkasti logis tundmatu isik ja kuna arst kasutas postkasti ka suhtluseks patsientidega, siis võis lekkida tundlik info, sealhulgas patsientide terviseandmed. Peale juhtunust teadasaamist vahetati kiirelt konto parool ja rakendati mitmikautentimine. Paar päeva hiljem kaaperdati ühe erakliiniku veebileht ja sinna paigutati õngitsusleht inimeste pangaandmete varastamiseks.

Küberturvalisuse eest vastutab teenuse tellija

Kõige laiema mõju ja tõsisemate tagajärgedega juhtumid olid mullu kindlasti perearstikeskuste tarkvara viga ja geenitestide andmeleke. Nimelt sattusid Medisofti arendatud tarkvara Perearst3 vea tõttu tervise infosüsteemi valeandmed: veast oli mõjutatud 55 perearstikeskust ja mitusada haiguslugu. Geenitestide läbiviimisega tegeleva ettevõtte Asper Biogene veebilehte tabas aga sihitud rünnak ning sealt laeti alla ligi 10 000 inimese analüüsitulemusi. Juhtumi osas algatati kriminaalmenetlus.

RIA järelevalve osakonna juhataja Ilmar Toom märkis, et terviseandmed on tundlik ja kriitiline info, mistõttu on taolised juhtumid väga kahetsusväärsed: „Üks laiem õppetund on see, et teenuste või tarkvara sisseostmisel tuleks lepingutes võimalikult täpselt reguleerida nende eraettevõtete küberturvalisust puuduta­vad kohustused, kes pakuvad teenu­seid avalikule sektorile või elutähtsate teenuste osutajatele, aga ei ole ise küberturvalisuse seadusega hõlmatud.“

Vastutus hangitava teenuse turvalisuse eest on tellijal ja seda ka juhul, kus vastavat teenust või tarkvara pakkuva­te ettevõtete ring on piiratud. „Seetõttu tuleks lepingus lahti kirjutada ka teenu­sepakkujatele esitatavad nõuded ja kohustused, näiteks turvaintsidentide korral,“ märkis Toom.

Riigi jaoks on aga tema sõnul mõttekoht, kas tulevikus oleks otstarbekas laiendada küberturvalisuse seaduse nõudeid ka neile ettevõtetele, kelle pakutavatest teenustest avalik sektor ja muud olulised teenuseosutajad sõltuvad. Majandus- ja kommunikatsiooniministeerium tegeleb parajasti seaduse ülevaatamisega ja kaalub muudatuste vajalikkust.

Aastaid parandamata turvanõrkused

„Levinumad turvanõrkused Eesti ettevõtetes, sealhulgas tervishoiuasutustes on sarnased muude riikide ja ettevõtete omadega,“ selgitas RIA juhtivekspert Perit Kirkmann-Raave, kes tegeleb igapäevaselt tervishoiuasutuste nõustamisega küberturbe teemadel.

Tema sõnul leitakse pea iga ettevõtte testimisel mõni server või muu võrku ühendatud seade, millel on avalikult teadaolevad turvanõrkused. Tihtipeale on tegemist aastaid vanade ja väga tuntud nõrkustega, mida kasutavad levimiseks krüptoviirused ja mille kuritarvitamine küberkurjategijate poolt võib ettevõtte töö peatada.

Selliste leidude puhul on tavaliselt juurpõhjuseks puudulik riistvarainventuur – kas lihtsalt ei teatud, et seade on võrgus, unustati see ära või vahetus IT-töötaja. Samuti võib põhjuseks olla nõrk tarkvarauuenduste paigaldamise protsess. Olenevalt tegevusvaldkonnast võib ühe IT-töötaja kohta olla ettevõttes sadu seadmeid, mida kõiki on vaja hallata, kuid ilma läbimõeldud protsesside ja automatiseeritud tööriistadeta pole see nii suure hulga seadmete puhul võimalik.

Teiseks levinud probleemiks on Kirkmann-Raave hinnangul puudulik ülevaade tarkvaradest, mida ettevõtte töötajad kasutavad. Näiteks on tavapärane, et kasutatakse vananenud versioone veebibrauseritest, uuendamata on kontoritarkvara ja lisarakendused.

Täiendavaid probleeme tekitab olukord, kus ettevõttes pole kokku lepitud tarkvarakomplekti, mida kõikides arvutites kasutatakse ja nii võib ühes seadmes olla samal ajal mitu versiooni kontoritarkvarast, kolm erinevat rakendust, millega PDF-e genereerida jne. Enamasti kasutatakse reaalselt siiski ühte tööriista ning ülejäänud on seadmetesse ununenud ja uuendamata. Küberkurjategijad kasutavad selliseid olukordi osavalt ära, saadavad laiali kindlaid nõrkusi kasutavaid õngitsuskirju ning ka kõige paremini koolitatud lõppkasutajad ei suuda vahet teha õigel ja pahavaraga nakatunud PDF-il.

Sulge lahkunud töötaja kontod

Kolmanda levinud probleemina toob Kirkmann-Raave välja nõrgad paroolid ja kontode halduse. Tihti leidub ettevõtete võrgus tehase vaikeparooliga seadmeid: IP-kaameraid ja võrguseadmeid, aga samuti võrku ühendatud kontrollereid, hooneautomaatika juhtpaneele jms.

Neid seadmeid paigaldavad ka välised partnerid ning ettevõtted ise nende turvalisust enamasti üle ei kontrolli. Internetti ühendatud seadmed leitakse aga kiiresti üles ning nende toimimist on lihtne segada. Kehvemal juhul saab sellisest seadmest uks ettevõtte sisevõrku ning isegi kui seadmetele on ligipääs ainult sisevõrgust, ei peaks neile kindlasti ligi pääsema kõik töötajad ja külalised, kes kohalikku WiFi-sse lubatakse.

Harvad pole eksperdi kinnitusel ka juhused, kus aastaid tagasi töölt lahkunud töötajate kontod on endiselt ettevõtte IT-süsteemides avatud – ka neid kontosid on võimalik kasutada kaugligipääsu loomiseks internetist. Selliseid kontosid on lihtne ära kasutada nii pahastel endistel töötajatel kui ka küberkurjategijatel, sest endised töötajad enam paroole ei vaheta.

Näiteks leidis mullu ühes maakonnahaiglas aset intsident, kus endine töötaja kustutas failiserverist asutuse igapäevatööd puudutavad andmed, kuid terviseandmed jäid õnneks puutumata. Juhtunu tõttu oli mõnda aega häiritud tugiteenuste pakkumine, näiteks toitlustus. Haiglal olid siiski olemas toimivad tagavarakoopiad, tänu millele suudeti andmed taastada.

Samas pole Kirkmann-Raave sõnul olukord kaugeltki lootusetu. Töötajate koolitamine levinud küberohtude teemal on ettevõtetes järjest populaarsem. Valdav osa ettevõtted, keda RIA on testinud, õpetavad oma töötajaid mingil tasemel küberohte ära tundma ning nendest teada andma. Paraku kipuvad koolitused küll jääma ühekordseteks ning valdavalt teeb neid IT-spetsialist muu töö kõrvalt. Lõppkasutajate koolitamiseks ei pea palju ressursse kulutama – esmase koolituse võib läbi viia kasutades avalikke materjale, näiteks RIA kübertesti: https://www.ria.ee/kuberturvalisus/kuberruumi-analuus-ja-ennetus/kubertest. Oluline on kasutajatele ka põhitõdesid regulaarselt meelde tuletada.

Alates eelmsiest aastast pakub RIA koostöös EAS-iga ettevõtetele ka küberturvalisuse parandamise toetust: https://eas.ee/toetused/kybertoetus. See on mõeldud väikestele ja keskmistele ettevõtetele ning on kaheosaline: kuni 10 000 olukorra kaardistamiseks ja kuni 50 000 olukorra parandamiseks ehk kuni 60 000 eurot ühe ettevõtte kohta. Praegu on toetusvoor avatud ja kõik ettevõtjad on oodatud raha taotlema.

Pea meeles turvalise käitumise põhireegleid!

Erinevaid küberturbe teemalisi juhendeid leiab nii RIA kodulehelt ria.ee kui ka veebilehelt itvaatlik.ee.

• Kasuta eri keskkondades erinevaid tugevaid paroole.
• Uuenda oma paroole regulaarselt ja ära jaga neid teistega.
• Rakenda keskkondades alati kaheastmeline autentimine, kui see on võimalik.
• Ära ava tundmatuid kirju, linke ja manuseid. Kui su tuttav saadab tavapärasest erineva suhtlusviisi ja/või tekstiga lingi või manuse, küsi alati üle, millega tegu.
• Ära võta sotsiaalmeedias vastu tundmatute kasutajate sõbrakutseid.
• Veendu, et veebileht, kuhu on tarvis isiklikke andmeid sisestada, on kaitstud turvalise krüpteeritud ühendusega: aadressi alguses on https.
• Veendu, et kasutad õiget veebilehte, mitte sarnase nimega petulehte (google.com vs g00gle.com).
• Eelistada tasub suhtluskanaleid, mis kasutavad otspunktkrüpteerimist (end-to-end encryption).
• Turvalisem on kasutada mobiilset andmesidet kui avalikku WiFi-võrku.
• Proovi vältida ühiste ja avalike seadmete kasutamist. Kui see ei ole võimalik, veendu, et oled end kõikidest külastatud ja sisselogitud kohtadest alati välja loginud.
• Hoia oma arvuti ja nutiseadmete tarkvara uuendatuna.
• Laadi rakendused telefoni ainult ametlikust poest: Google Play Store, Apple App Store.
• Paigalda oma arvutisse ja nutitelefoni viirusetõrje.
• Tee oma failidest nii arvutis kui ka telefonis regulaarselt tagavarakoopiaid. Kasutada tuleks kas erinevaid pilveteenuseid või kettaid, mis ei ole seotud peamise süsteemiga, millest koopia tehakse ja mis on kas offline või asuvad teises võrgus.