- 1. jaanuaril esines tõrkeid digitaalallkirja andmisel. Kaht ettevõtet tabas lunavararünne. Jaanuaris esines häireid nii Telia kui Elisa teenuste töös.
- Käisime Veebikooli juhtmisampsul rääkimas ettevõtjate seas levivatest küberohtudest. Avaldasime RIA blogis hoiatuse uuest robotseadmete võrgustikust nimega Kimwolf. Toimus järjekordne RIA CyberMeetUp.
- Euroopa kosmoseagentuuri tabas küberrünne. Tumeveebi paisati müüki andmebaas ligikaudu 17,5 miljoni Instagrami kasutaja andmetega. Iraani valitsus keeras kogu riigis kinni internetiühenduse, et takistada rahutuste edasist levikut ja inimeste vahelist infoliikumist.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele.
Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke.
Petulehed moodustavad suurema osa CERT-EE registreeritud intsidentidest.
Olukord Eesti küberruumis
1. jaanuaril kell 00.00 algasid osadel kasutajatel tõrked digiallkirja andmisel mõnede teenuste puhul. Mõjutatud olid nii Smart-ID, Mobiil-ID kui ka ID-kaardiga allkirjastamine. Muuhulgas polnud võimalik digiallkirjastada kiirabikaarte, mistõttu võtsid kiirabibrigaadid kasutusele pastaka ja paberi. Samuti ei saanud teha pangaülekandeid Swedbankis, SEBs, LHVs ja Coopis. Osaliselt said tõrked kõrvaldatud enne keskpäeva, viimased teenused said töökorda kell 14.51. Katkestuse põhjustas tarkvaratõrge: Digidoc4j alusteek ei aktsepteerinud 2026. aasta saabumisel enam senise võtmepikkusega allkirjastatud kehtivuskinnitusteenuse vastuseid. Soovitame kõikidel infosüsteemi haldajatel esimesel võimalusel uuendada oma süsteemides kasutatav DigiDoc4j teek versioonile 6.1.0. Täpsema info leiate RIA kodulehelt.
Väikesaarte ja mandri vahel liikuvate parvlaevade pileteid müüv veebileht tuuleliinid.ee ei olnud kättesaadav alates 9. jaanuaril kellast 17.12 kuni 12. jaanuaril kellani 9.01. Katkestus oli seotud piletimüügi teenusepakkuja vahetusega.
16. jaanuaril ajavahemikul 8.41 kuni 13.22 tabas laiaulatuslik kõne- ja andmesidekatkestus üht elektrijaotusettevõtet. Elutähtsate teenuste (elektrienergia müük ja jaotusvõrgu teenused) töö polnud häiritud, küll aga mõjutas see suhtlust klientidega. Lisaks ei toiminud mobiilne andmeside seadmetel, mis kasutavad SIM-kaarte. Katkestuse põhjustas telekomiettevõtte seadme rike.
22. jaanuaril arvestati tehnilise tõrke tõttu LHV osade era- ja äriklientide kaardi- ning sularahatehingud topelt. Makseid töödeldi mitmel õlal ja seadistus, mis pidanuks vältima nende topelttöötlemise, ei toiminud. Pank kandis klientidele valesti broneeritud summad tagasi.
Jaanuaris esines häireid nii Telia kui Elisa teenuste töös.
-
23. jaanuaril ajavahemikul 11.26 kuni 12.40 oli häireid Telia andme- ja kõnesides. Suurim mõju oli ajavahemikus 12.30 kuni 12.40, mil Telia suunas andmeside ümber teistele ühendustele. Sel ajal oli mõjutatud rahvusvaheline kõneside ning välisühendusega seotud internetiteenus (polnud võimalik avada osasid veebilehti, kasutada suhtlusrakendusi jmt). Katkestuse põhjustas rike Telia välispartneri võrguseadmes.
-
27. jaanuari öösel kell 2.06 tabas Elisa teenuseid laiaulatuslik katkestus. Üle Eesti oli tõrkeid kõneside, mobiilse ja kaabelinterneti, Elisa mobiil-ID, iseteeninduse, kodulehe ja voogedastusteenuse Elisa Elamus töös. Teenused hakkasid tasapisi taastuma öö jooksul. Kõik teenused said töökorda 9.30 paiku. Katkestus sai alguse elektrikatkestusest andmekeskuses.
Jaanuaris teavitasid kaks ettevõtet neid tabanud lunavararünnetest. 12. jaanuaril tabas Ida-Virumaa vee-ettevõtet lunavararünne, mille käigus krüpteeriti andmed 11 serveris ja mõnes kontoriarvutis. Serverid taastati varukoopiatest ja olulist mõju ettevõtte tööle polnud. Esialgse info kohaselt sai rünnak alguse aegunud operatsioonisüsteemiga seadmest. 13. jaanuaril sai lunavaraga pihta Harjumaal tegutsev tööstusettevõte. Pahavara krüpteeris ühes arvutis olnud andmed. Ka sel korral ei mõjutanud rünnak oluliselt ettevõtte tegevust. Vaatamata sellele, et jaanuaris toimunud lunavararünnetel ei olnud suurt mõju, võivad need halbade juhuste kokkulangemisel peatada kogu ettevõtte töö. Loe meie ennetusportaalist IT-vaatlik, kuidas ennetada lunavararünnet ja mida teha, kui oled sellise ründe ohvriks langenud.
RIA tegevused küberturvalisuse parandamisel Eestis
2026. aasta jaanuarist hakkas kehtima küberturvalisuse seaduse ja teiste seaduste muutmise seadus, millega võeti Eesti õigusesse üle Euroopa Liidu küberturvalisuse 2. direktiiv ehk NIS2. Muudatuste eesmärk on tõsta küberturvalisuse taset. Küberturvalisuse seaduse muudatus tõi kaasa olulisi uuendusi, mille tulemusel laienes märkimisväärselt nende ettevõtete ja asutuste hulk, kellele kehtivad kohustuslikud küberturvalisuse nõuded. Täpsemalt saad lugeda RIA kodulehelt.
RIA võtab veebruari lõpus riigi autentimisteenuses kasutusele Smart-ID+ funktsionaalsuse, mis muudab autentimise senisest turvalisemaks ja kasutajasõbralikumaks. Smart-ID+ võimaldab e-teenustesse sisse logida kahel viisil. Arvutis e-teenuseid kasutades kuvatakse kasutajale pidevalt muutuv QR-kood. Telefonis e-teenust kasutades avaneb Smart-ID rakendus automaatselt ning kasutaja kinnitab enda sisselogimise e-teenusesse PIN1-koodiga. Loe täpsemalt RIA kodulehelt.
RIA Analüüsi- ja ennetusosakonna analüütik Helena Jürgenson käis 9. jaanuaril Veebikooli juhtmisampsul rääkimas, et millised küberohud ettevõtjate seas levivad ja kuidas oma äri teadlikult kaitsta. Helena selgitas, et millised on hetkel levivad küberrünnete vormid, kuidas riske vähendada ja kuidas käituda, kui oled ründe ohvriks langenud. Vaata koolituse salvestust järgi siit.
22. jaanuaril toimus selle aasta esimene RIA CyberMeetUp. Sel korral astusid lavale Luca Tagliaretti (Euroopa küberkompetentsikeskus), Patrick Kobly (Rushmore Technologies OÜ), Nikolai Kunitsõn ja Kaisa Lindenburg (RIA). Räägiti nii Euroopa küberinnovatsiooni toetamisest, Eesti küberkogukonnast kui ka Hiina küberökosüsteemist. Ürituse salvestusi saab vaadata siit. Järgmine RIA CyberMeetUp toimub 19. veebruaril.
Alates jaanuarikuust avaldame RIA blogis igal nädalal olulisemad uudised rahvusvahelistest küberintsidentidest. Jaanuaris kirjutasime näiteks Euroopa kosmoseagentuuri tabanud küberründest, Iraani valitsuse poolt katkestatud internetiühendusest, Instagrami andmelekkest, detsembri lõpus toimunud küberrünnetest Poola energiataristu vastu ja mitmest teisest küberruumis toimunud intsidendist. Loe kõiki sel kuul ilmunud postitusi RIA blogist.
Avaldasime RIA blogis hoiatuse uuest robotseadmete võrgustikust ehk botnetist nimega Kimwolf, mille kaudu kasutavad küberkurjategijad tavakasutajate koduseid seadmeid küberrünnakute läbiviimiseks. Hetkel teadaolevalt on maailmas ühe kahe miljoni nakatunud seadme, mis on ühendatud Kimwolfi võrgustikku, sh ka USA valitsusasutuste seadmed. CERT-EE on tuvastanud esimesi nakatumisi ka Eestis, kuid täpne nakatunud seadmete arv on veel selgitamisel. Loe blogist täpsemalt, et kuidas robotvõrgustik toimib ja millised seadmed on nakatunud.
Riigi Infosüsteemi Amet ning Ettevõtluse ja Innovatsiooni Sihtasutus algatasid uue toetusmeetme, mis aitab küberturvalisuse valdkonnas tegutsevatel ettevõtetel koostöös teadlastega arendada uudseid rahvusvaheliselt konkurentsivõimelisi lahendusi. Meede suunab IT-sektorisse 1,5 miljonit eurot ning taotlusi hakati vastu võtma alates 12. jaanuarist. Toetus katab uute lahenduste väljatöötamist alates kontseptsiooni loomisest kuni prototüüpide testimise ning tootearenduse ja eksperimentideni. Taotlejateks saavad olla üksnes Eesti ettevõtted ja toetuse suurus ulatub 100 000 euroni. Täpsemalt saad infot EISi kodulehel.
Rahvusvaheline olukord
3. jaanuaril aset leidnud haarangus Venezuelale kasutas USA tõenäoliselt ka küberründevõimet. President Trump andis mõista, et tänu USA „teatud ekspertiisile“ olid Caracases operatsiooni ajal voolukatkestused ja staabiülemate ühendkomitee esimees kindral Caine vihjas erinevatele sõjalistele efektidele, millega operatsiooni hõlbustati. Täpsemalt ei ole USA ametivõimud ega küberväejuhatus aga teemat kommenteerinud. Sõltumatu internetiliiklust monitooriv organisatsioon NetBlocks kinnitas, et 3.01 hommikul oli Caracases näha ebatavalisi katkestusi internetiühendustes.
Euroopa kosmoseagentuur, mille liige on ka Eesti, kinnitas, et detsembris tabas neid piiratud mõjuga küberrünnak. Mõjutatud serverid ei ole osa agentuuri korporatiivvõrgust ja seetõttu ei tohiks kurjategijatel ligipääsu väga tundlikele andmetele olla. Teadaolevatel andmetel õnnestus kurjategijatel kompromiteerida piiratud arv servereid, kus hoitakse mittesalajasi andmeid teadlaste ja inseneride ühisprojektide kohta. Väljaande Security Week andmetel kasutab ründaja aliast „888“ ning on tumeveebi foorumis väitnud, et tema käsutuses on 200 gigabaiti agentuuri andmeid, sealhulgas dokumente, konfiguratsioonifaile jms.
Tumeveebi paisati müüki andmebaas ligikaudu 17,5 miljoni Instagrami kasutaja andmetega. Erinevalt varasematest leketest olevat lisaks kasutajanimedele seekord müügis ka mõnede kasutajate kodused aadressid, telefoninumbrid ja e-posti aadressid. Kuna Instagram kõiki selliseid andmeid ei kogu, siis tõenäoliselt kombineerisid kurjategijad Instagramist varastatud andmeid muudelt platvormidelt hangitud andmetega. Instagrami kasutajatel soovitatakse olla eriti tähelepanelik: mitte reageerida password-reset meilidele, vaid vahetada parool ainult rakenduse enda kaudu sisse logides, ja seadistada mitmefaktoriline autentimine.
Jaanuari teisel nädalal otsustas Iraani valitsus keerata kogu riigis kinni internetiühenduse, et takistada rahutuste edasist levikut ja inimeste vahelist infoliikumist. Internetiliikluse langemist kõigest ühele protsendile tavapärasest tasemest kinnitas netiliiklust jälgiv organisatsioon NetBlocks ja internetitaristuettevõte Cloudflare. Ka kohalik mobiililevi oli takistatud ja välismaalt tulevad kõned blokeeriti. Isegi StarLinki satelliitside ei toiminud tavapäraselt. Sellises mahus ühenduste katkestamine on Iraanis pretsedenditu, samas saab valitsus internetti ja sotsiaalmeediat edasi kasutada ning mõnedele muudele asutustele ja Telegrami propagandakanalitele näib olevat tehtud erand. Ekspertide hinnangul on Iraanil võimekus interneti mastaapseks, kuid valikuliseks piiramiseks, mistõttu kardetakse, et selline olukord võib kesta pikemalt.
Jaanuaris tabas lunavararünnak AZ Monica haiglat Antwerpenis, mille tõttu tuli ära jätta operatsioone ja suunata seitse kriitilises seisus patsienti teistesse haiglatesse. Ka haigla erakorralise meditsiini osakond ei saanud tavapäraselt töötada ja erakorralist abi vajavatel patsientidel soovitati pöörduda mujale meditsiiniasutustesse. Ründest ajendatuna hoiatas Belgia tervishoiuministeerium, et ligikaudu 75% Belgia haiglatest ei vasta tänapäeva küberturbe standarditele ning tervishoid on üks küberrünnetest enim ohustatud sektoreid.
Detsembris toimusid küberründed Poola energiataristu vastu, mille eesmärk oli elektri- ja küttekatkestuste korraldamine. Küberründed toimusid koordineeritult mitmes asukohas ja nendega üritati takistada võrguoperaatorite suhtlust tuuleparkide ja päikeseenergia tootjate ning elektrijaamadega. Poola CERT avaldas põhjaliku raporti 29. detsembril toimunud ulatusliku ründekatse kohta Poola tuule- ja päikeseenergiafarmide, kaugkütte- ning elektriettevõtte ning ühe tootmisettevõtte vastu. Raporti hinnangul oli ründe eesmärgiks taristu hävitamine ja rünnetega sihiti nii infosüsteeme kui tööstuslikku käidutehnoloogiat. Ründe läbiviimise viisi ja infrastruktuuri analüüsides leiab Poola CERT, et see kattub suuresti Venemaa Föderaalase Julgeolekuteenistusega (FSB) seotud rühmitusega, mida tuntakse nimedega Static Tundra, Ghost Blizzard ja Dragonfly. Tööstusseadmete küberturvalisusele keskenduv ettevõte Dragos avaldas intsidendi kohta ka oma analüüsi.
Viimati uuendatud 07.05.2026
