Riigi infosüsteemi amet (RIA) tuvastas novembris kolmel erineval juhul sarnase käekirjaga rünnakud kolme ministeeriumi vastu,  kurjategijad said kätte ka isikuandmeid.

Küberrünnakud tabasid majandus- ja kommunikatsiooniministeeriumi, sotsiaalministeeriumi ja välisministeeriumi servereid, teatas RIA. Mõjutatud riigiasutused on koostöös RIAga tuvastanud, kuidas rünnak ellu viidi ning tegutsenud selle nimel, et piirata edasist andmete vargust. Kõigi kolme ründe käekiri on sarnane ning rünnati veebilehti majutavat serverit.

Tegemist oli tõsiste intsidentidega,

ütles RIA küberturvalisuse teenistuse juht Lauri Aasmann.

“Tänaseks on olukord kontrolli all. Oleme nii avaliku kui ka erasektori partneritele andnud infot, mis aitab vähendada selliste rünnakute õnnestumise tõenäosust. RIA jätkab küberintsidentide täpsema analüüsiga. Oleme suhelnud tarkvara loojatega ja praeguseks on turvanõrkustele paigad olemas,“ lisas Aasmann.

Majandus- ja kommunikatsiooniministeeriumi puhul õnnestus ründajatel ligi pääseda haldusala serveritele, millest mitme puhul tuvastati kuritegevusele viitavaid tegevusi.

Sotsiaalministeeriumi haldusalas õnnestus kurjategijatel ligi pääseda informatsioonile, mis puudutab 9158 inimest. Tegemist oli nakkushaiguste leviku asjaolude väljaselgitamisega seotud andmetega. Tervise ja heaolu infosüsteemide keskus (TEHIK) elimineeris ründaja juurdepääsu süsteemidele 8 tunniga. Terviseamet koostöös TEHIKuga saadavad lähipäevil personaalse teavituse inimestele, keda juhtum puudutab.

Keskkriminaalpolitsei alustas kriminaalmenetlust seoses süsteemidele ebaseadusliku ligipääsu hankimisega. Menetlust juhib riigiprokuratuur.

Riigiprokurör Eleliis Rattam selgitas, et rünnakute uurimiseks on eelmisel kuul alustatud kriminaalmenetlus. “Me oleme tuvastatud juhtlõngu, mille suunas aktiivselt töötame, kuid detailse info avalikustamine selle kohta, mida õiguskaitseasutused on teada saanud, ei ole praegusel hetkel võimalik. Rünnaku läbiviijat tuvastatakse ja seetõttu peame hetkel arvestama ka võimalusega, et kogu avalikkusele antud teave võib jõuda ründajani, kellel on siis omakorda võimalik seda infot kasutada enda paremaks varjamiseks õiguskaitseasutuste eest,” täpsustas Rattam.

Keskkriminaalpolitsei küberkuritegude büroo juht Oskar Grossi sõnul on rünnaku motiiv ja toimepanija selgitamisel. “Peame tõenäoliseks, et ründaja eesmärk oli süsteemist võimalikult paljude andmehulkade kätte saamine, et nende sisuga tutvuda alles pärast ründe lõppu. Ründaja varastas ametiasutuste serveritest erinevat infot, mis ei ole seotud ühegi konkreetse valdkonnaga. Sellise rünnaku toimepanemine vajab keskmisest paremat teadmist infosüsteemides toimuvast, kuid teoreetiliselt saab sellise rünnaku korda saata ka üks inimene. Seda, kas praegusel juhul on tegemist ühe või mitme inimese ründega, on selgitamisel,” ütles Gross.

Kõige rohkem mõjutas rünnak majandus- j kommunikatsiooniministeeriumi haldusala asutusi. “Rünnakute tõsidusest hoolimata puudub praegu oht, et riigi teenused katkeksid. Oleme kaasanud olukorra lahendamisse IT-eksperte nii avalikust kui ka erasektorist. Esmased turvameetmed on rakendatud ja nüüd töötame nii MKM-i haldusalas kui ka riigi üleselt selle nimel, et sarnased rünnakud tulevikus ei õnnestuks,“ ütles riigi küberturvalisuse poliitika juht Raul Rikk.

RIA-l on praegu olemas esialgne info, kuidas küberrünnakuid toime pandi ning jagas seda avaliku sektori, sealhulgas kohalike omavalitsuste infoturbejuhtide ning elutähtsat teenust osutavate asutuste IT-kogukonnaga.

Hüppeliselt tõusnud e-õppele suundund õpilaste ja kodukontoris töötavate inimeste arv on tunduvalt aktiivsemalt muutnud ka küberkurjategijad, kes kasutavad võimalust jõuda nüüd inimesteni, kellel on digimaailmas tegutsemise ja sealsete turvariskide osas vähem kogemusi.

CERT-EE on saanud teateid petukirjadest, mis pakuvad näiliselt kodutöövõimalusi või infot koroonaviiruse kohta. Riigi infosüsteemi amet soovitame selliste kirjade suhtes ettevaatlik olla. 

Koroonaviirusega kaasnevat segadust kasutavad agaralt ära küberkurjategijad, kes leiavad järjest uusi mooduseid, kuidas inimesi ninapidi vedada. Nüüd oleme näinud kirju, mis pakuvad mugavaid kodutöövõimalusi, kuid kirjas sisalduvatele linkidele vajutamine võib nakatada teie arvuti pahavaraga,“ sõnas CERT-EE juht Tõnu Tammer. 

Selliste kirjade puhul tuleb hoolega uurida saatja meiliaadressi. Näiteks peaks ettevaatlikuks tegema olukord, kui saate kirja „ettevote.ee“ töötajalt Mati Karult, kuid kiri tuleb tegelikult mingilt suvaliselt aadressilt nagu officemail40 @naver.com, isegi kui nimi on meiliaadressi ees õige. Kahtlased kirjad soovitame viivitamatult kustutada,“ lisas Tammer. 

Eelmisel nädalal levis Terviseameti ametlikku infot kopeeriv libakiri, mis kandis vigast pealkirja „Tervis hoiuministeeriumi poolt heaks kiidetud teade COVID-19 viiruse levikus“ ja milles oli link pahavarale. 

Kui olete klõpsanud kahtlases kirjas olevale lingile ja laadinud pahavara sisaldava faili arvutisse, on parim tegutsemisviis arvuti kohe sulgeda ja spetsialistide juurde puhastusse viia. Vahetage kindlasti välja ka brauserisse salvestatud paroolid. Kui olete brauserisse salvestanud pangakaardi andmed, siis teavitage sellest panka, sest kurjategijad võivad kasutada teie pangakaarti, ja vajadusel tellige uus kaart. Kahtlastest kirjadest andke teada aadressil See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud..