Vaid mõni päev tagasi sattus Ukraina elektrisüsteem rünnaku alla, kui Sandworm üritas riigi energeetikafirma vastu kasutada malwaret nimega Industroyer2. Industroyer2, mille avastas ESETi ja CERT-UA poolt läbi viidud reageerimistegevus, on uus variant keerukast malwarest nimega Industroyer, mis kustutas 2016. aasta detsembris Kiievi osades tule.
Lisaks sellele katkestasid 2015. aasta detsembris BlackEnergy operaatorid Ukraina Ivano-Frankivski piirkonnas mitmesaja tuhande inimese elektrivarustuse mitmeks tunniks pärast mitme elektrijaotusettevõtte süsteemide saboteerimist.
Need juhtumid olid karm äratuskell kõigile, kes arvasid, et sellised sündmused on ulme. Ja ometi ei olnud ükski neist esimene kord, kui malwaret kasutati rünnakuks kriitilise tähtsusega taristu vastu.
Juba 2010. aasta juunis tabas Iraani tuumakütuse rikastamise rajatist Natanzis Stuxnet, keerukas malware, mis hävitas arvukalt tsentrifuuge, vähendades selle tulemusena Iraani rikastatud uraani tootmisvõimet. Stuxnet on tänapäeval tuntud kui esimene avastatud tööstussüsteeme sihtiv malware ja tänapäevase kriitilise tähtsusega taristu esimese küberrünnaku taga olev malware.
Need rünnakud tuletavad meile ühiselt meelde erinevat tüüpi kriitilise tähtsusega taristu ees seisvaid riske. Ajalugu näitab, et omamoodi ulatub see ajastutesse ammu enne tänapäevaste digitaalarvutite leiutamist.
Küberründed kriitilise tähtsusega taristu vastu – 200-aastane oht?
18. sajandi lõpuks ehitas Prantsuse keiser Napoleon Bonaparte sidesüsteemi, et anda oma armeele kiire ja usaldusväärne salajase teabe edastamise süsteem. Optiline telegraafisüsteem, mida nimetati „semaforiks“, leiutati Prantsuse inseneri Claude Chappe poolt ja see võimaldas krüpteeritud optilisi sidevahendeid, mida sai dešifreerida ainult salajase koodiraamatuga, mis oli teatud torni ohvitseridel.
Süsteem tugines 16 kilomeetri kaugusel üksteisest kõrgetel küngastel asuvate tornide võrgustikule. Iga torni otsas olid kaks mehaanilist puidust kätt, mis liikusid justkui nukukäed ja mida juhtis teleskoobiga varustatud ohvitser. Käte asendiga kodeeritud sõnum kopeeriti tornist torni, kuni see sihtkohta jõudis.
Ja nii sai Prantsuse valitsus saata sõnumi pikkade vahemaade taha palju kiiremini kui ükski hobupostiljonjon. Viimasesse torni jõudes tõlkis ohvitser sümbolid koodiraamatu abil prantsuse keelde.
See oli tolle aja tõeline revolutsioon – Napoleoni armeel oli nüüd salajane ja eksklusiivne sidekanal. Või nii ta arvas. Mõni aasta hiljem sai esimene pikamaa sidesüsteem ka üheks esimeseks häkitud kriitilise tähtsusega taristu süsteemiks. 1834. aastal toimetasid kaks venda, François ja Joseph Blanc, toime panid selle, mida sageli nimetatakse esimeseks traadiga pettuseks või isegi esimeseks küberrünnakuks.
Vennad kauplesid valitsuse võlakirjadega Bordeaux’ börsil, mis kasutas Pariisi börsi indikaatorina oma kursside tõusu ja languse jaoks. See teave liikus aga hobusega, võttes Prantsusmaa edelasse jõudmiseks kuni viis päeva. Kui nad vaid teaksid, mis Pariisi börsil toimub enne kõiki teisi, arvasid nad ilmselt.
Semafor pakkus täiuslikku lahendust ja trikk oli lihtne: Pariisi tornis oleva kaasosalise abil edastati rutiinne sõnum, mis sisaldas Blancide loodud erilist sümbolit, kuni see nendeni jõudis. See väike kood oli tehtud nii, et see näiks süütu veana, ja nagu semafori protokoll ette nägi, kontrollisid ja eemaldasid selliseid vigu ainult suurtes linnades asuvates mõnedes postides paiknevad tornijuhid. Teel Bordeaux’sse oli Toursi tornis üks neist juhtidest, nii et François ja Joseph altkäemaksuga teda, et ta nende signaali ei parandaks.
Samal ajal jälgis üks viimane kaaslane Bordeaux’s torni, et tuvastada need vead ja edastada need Blancidele. François ja Joseph said pika aja jooksul ilma märkamata teada viimased andmed Pariisi börsilt. Nad kasutasid riigi rahastatud kallist võrgustikku oma isiklikuks kasuks, teenides suurt kasumit ja häirides samal ajal Prantsuse armee sidevahendeid.
Kahe aastaga teenisid nad nii palju raha, et inimesed hakkasid nende õnne kahtlustama. Lõpuks avastati pettus.
Tänapäeval saavad ründajad oma rünnakuid läbi viia uutel ja salakavalamatel viisidel.
Parlamentide, pankade ja teadusasutuste häirimine – ja kütusehindade tõstmine
Ajalugu võib meile palju õpetada, kuid võib-olla eelkõige seda, et ajalugu kordub – või vähemalt riimub. Praegu tabavad küberründed tuhandeid väikseid eraettevõtteid, üksikisikuid ning suuri avalikke ja valitsusorganisatsioone.
2021. aasta uuringu kohaselt, mille viis läbi Claroty ja milles küsitleti 1000 IT- ja OT-turbe spetsialisti kriitilise tähtsusega taristus USA-s, Ühendkuningriigis, Saksamaal, Prantsusmaal ja Austraalias, väljendas 65% muret kriitilise tähtsusega taristu rünnakute pärast. Nendest 90% teatasid rünnakute kogemisest 2021. aastal.
Kuigi Blanci vendade telekomipettus ei mõjutanud suurt rahvast, mõjutasid rünnakud Ukraina elektrisüsteemi sadu tuhandeid inimesi. Nende otseste mõjude risk muutub üha ärevamaks.
Eesti: esimene kord, kui kogu riigi võrk seisis silmitsi küberrünnakuga
27. aprilli hommikul 2007. aastal, nagu doominoklotsid, lakkasid töötamast Eesti valitsuse sideteenused, pangad, telefonioperaatorid, meediaveebisaidid, ATM-automaadid, parlamendi veebisait ja paljud teised veebiteenused. Kõik tundsid rünnaku lõputut mõju, mis kestis 22 päeva.
Digitaalselt arenenud riik nägi oma küberturvalisust rünnaku all. Juba 2007. aastaks oli Eesti üks maailma digitaliseeritumaid riike. Inimesed kasutasid oma telefone parkimise eest tasumiseks, valitsuse teenused olid veebis, isegi valimissüsteem oli veebis ja kõikjal oli Wi-Fi! Kuid silmapilguga muutus Balti riik veebimaailmast digitaalseks kaoseks.
Ründajad kasutasid mitmeid tuntud taktikaid, alates ping floodidest, mis on denial-of-service (DoS) rünnaku tüüp, kuni vigase kujundusega veebipäringuteni ja e-posti rämpsuni, millest enamik pärines Eestist väljastpoolt. Nii suur ja pidev tegevus kohtas vaid väheseid kaitsekihte, kindlasti vähem kui oleks võidud rakendada. Raske kogemus oleks pidanud saama eeskujuks, mis oleks pidanud hoiatama teisi riike nende enda turvanõrkuste eest.
Koheseid lahendusi polnud saadaval ja rünnakud kestsid põhimõtteliselt nii kaua, kui ründajad soovisid. Kuid kuna enamik neist viidi läbi välismaalt, hakkasid nii avalikud kui ka erasektori organisatsioonid blokeerima kogu välisliiklust oma veebisaitidele, et võita aega, et identifitseerida ja filtreerida välja pahatahtlikud liikluse allikad maailma internetiteenuse pakkujate abiga.
Järgnev kriminaaljuurdlus ei jõudnud üllatuslikult väheste järeldusteni õiguslike mehhanismide puudumise ja konkreetsete aadresside ja inimeste väljaselgitamise võimatuse tõttu. Dmitri Galuškevitš, 20-aastane Eesti üliõpilane, oli ainus tuvastatud ründaja, kuna ta tegutses Eestist. Galuškevitš kasutas oma arvutit Eesti peaministri erakonna, Eesti Reformierakonna veebisaidi ründamiseks ja talle määrati trahv 17 500 krooni (tol ajal umbes 700 USA dollarit).
COVID-19: võidujooks info pärast
Miski ei ühendanud maailma nii palju kui vajadus COVID-19 vaktsiini välja töötada. Selle ülesande lähenemisviisid olid aga erinevad. Paljud laborid üle maailma alustasid maratoni, et saada esimese ja kõige ohutuma süsti auhind. 23. aprillil 2020 teatas Maailma Terviseorganisatsioon (WHO) viiekordsetest küberrünnakutest oma töötajate vastu, lootes, et see aruanne teenib järgmisteks kuudeks hoiatuse.
Vaid mõni päev hiljem hoiatas Ühendkuningriigi riiklik küberturvalisuse keskus (NCSC), et riigi ülikoolid ja laborid, mis viivad läbi COVID-19 uuringuid, kannatavad mitmete häkkerite rünnakute all, sealhulgas teiste riikide rünnakud, mis püüavad koguda andmeid vaktsiinide väljatöötamisega seoses.
Mõni kuu hiljem, 9. detsembril, teatas ELi tervishoiu järelevalveasutus, Euroopa Ravimiamet (EMA), et see on kogenud küberrünnakut. Samal päeval kinnitas BioNTech, et mõned EMA serveritesse salvestatud dokumendid selle vaktsiini heakskiitmiseks olid „ebaseaduslikult ligipääsetavad“. EMA jätkuva teate kohaselt 22. detsembril 2020 sihtisid häkkerid eranditult COVID-19 teavet, rikkudes ühe avalikustamata IT-rakenduse. Varastatud andmed lekkisid 13. jaanuaril 2021.
Juhtumit uurisid CERT-EU ja Hollandi politsei. Järeldused ei avalikustatud aga kunagi ametlikult. Hollandi ajalehe deVolkskrant kohaselt said ründajad EMA süsteemidele juurdepääsu pärast seda, kui nad varastasid uute töötajate mitmeastmelise autentimise seadistamiseks kasutatava märgi. Väljaanne paljastab ka, et juhtumiga lähedalt seotud inimesed usuvad, et tegemist oli riikliku luuretegevusega, mis sihtis ELi COVID-19 strateegiat.
Kütusevarude kontrolli kaotamine
7. mail 2021 ründas DarkSide ransomware grupp Colonial Pipeline’i, kasutades ära mitmeid haavatavusi ja kompromiteeritud paroole. See oli kõik, mis oli vaja, et grupp lammutas USA suurima kütusejaotustoru süsteemi operatsioonid viie päeva jooksul. See oli esimene kord ettevõtte 57-aastase ajaloo jooksul ja nõudis Valge Maja otsest sekkumist.
Sel ransomware rünnakul olid suured tagajärjed, sundides mitmed suured tanklaketid ajutiselt sulgema kütusepuuduse tõttu. Kütusehinnad USA-s tõusid kõrgeimale tasemele alates 2014. aastast.
Kui rünnaku ulatus algselt keskendas kõik jõupingutused võimaliku riiklikult toetatud häkkimise uurimisele, siis selgus hoopis, et see oli motiveeritud rahateenimisest. DarkSide tunnistas vastutust rünnaku eest, kuid eitas igasugust poliitilist motivatsiooni: „Meie eesmärk on teenida raha, mitte tekitada ühiskonnale probleeme,“ öeldi. Rühm on aga teadaolev kui ransomware teenuse pakkuja sidusettevõtetele ja sai 4,4 miljoni USA dollari suuruse lunaraha, millest pool taastati hiljem FBI poolt.
Küberründed on siin, et jääda
Uskumatu võim, mis võimaldab meil kõigil koheselt ühendust luua, tuleb hinnaga. Rohkem ühenduvust tähendab ka rohkem haavatavusi, rohkem rünnakuid ja keerukamaid strateegiaid. Selline suurenenud ühenduvus digitaalse ja reaalse maailma vahel avaldab survet avaliku ja erasektori infrastruktuuri sektoritele uute ohutusreeglite kasutuselevõtmiseks.
