- Kahel päeval esines tõrkeid Mobiil-ID töös. 8. juulil ei toiminud Eesti äpis isikut tõendavate dokumentide ega teiste teenuste päringud. Juulis registreerisime mitmeid teenusetõkestusründeid.
- Alates 7. juulist on Eesti äpi kasutajatel võimalik tõendada oma isikusamasust nutitelefoni kaudu. Uuendasime Eesti Infoturbestandardi rakendusjuhendit, millega saab tutvuda E-ITS portaalis.
- Microsoft sulges 3000 meilikontot, mille taga olevat Põhja-Korea IT-töötajate petuskeemiga seotud inimesed. New Yorgis kehtestati lunavararündest teatamise kohustus. Austraalia lennufirma Qantas kinnitas, et hiljutise küberründe tagajärjel lekkisid rohkem kui miljoni kliendi andmed.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele. Juunikuus registreeritud intsidentide arvu võis mõjutada üleminek uutele seiretööriistadele.
Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke. Hüppelise tõusu taga on Badbox 2 robotvõrgustikuga nakatunud iOT-seadmed, Eesti kontekstis peamiselt digiboksid.
Petulehed moodustavad suurema osa CERT-EE registreeritud intsidentidest.
Olukord Eesti küberruumis
30. juunil ajavahemikul 15.30 kuni 16.35 ei toiminud hädaabiteadete menetlemise infosüsteem SOS2. Sel ajal töödeldi kõikides Häirekeskustes hädaabiteateid paberil, mistõttu võttis see tavapärasest kauem aega ning tekitas kõnejärjekordi. Intsidendi põhjustas keerukale sündmusele reageerimine: sündmust avasid ja täiendasid korraga paljud kasutajad, mistõttu pidi süsteem arvutama üha uusi väljasõiduplaane. Tavapärasest oluliselt suurema koormuse tõttu sai serveri vahemälu täis ja tekkisid tõrked SOS2 töös.
Mitmel korral oli häiritud Mobiil-ID toimimine. 3. juulil esines katkestusi Mobiil-ID töös: Tele2 võrgus ajavahemikul 14.21 kuni 14.25, Telia ja Elisa võrgus ajavahemikul 14.51 kuni 15.01. Katkestuste põhjuseks oli teenusetõkestusrünne. Telia Mobiil-ID töös oli tõrkeid ka 5. juulil 13.21 kuni 14.01, kuid nende põhjus pole meile teada.
Juulis registreerisime mitmeid teenusetõkestusründeid:
-
7. juulil ajavahemikul 17.30 kuni 20.50 toimus teenusetõkestusrünne Registrite ja Infosüsteemide Keskuse (RIK) halduses olevate veebilehtede suunas: avaandmed.ariregister.rik.ee, rik.ee, prokuratuur.ee, statistika.rik.ee, juristaitab.ee, kohus.ee, konkurentsiamet.ee, inimoigusteraamat.ee, korruptsioon.ee, ekei.ee, keeleamet.ee. Sel ajal võis olla lühiajalisi katkestusi nende lehtede töös.
-
14. juulil toimus kaks DDoS-rünnet, millest esimene oli suunatud Kaitseministeeriumi nimeserveri vastu ning teine oli suunatud Justiits- ja Digiministeeriumi nimeserveritele. Mõlemal rünnakul õnnestus nimeserverite töös lühiajalisi teenusekatkestusi tekitada, kuid laiemat mõju nendel rünnakutel polnud.
-
21. ja 23. juulil toimusid ummistusründed Ettevõtluse ja Innovatsiooni SA veebilehe eis.ee ja 26. juulil piirijärjekorra haldamise infosüsteemi eestipiir.ee vastu. Seetõttu oli nende töös lühiajalisi katkestusi. Taas esines teenusetõkestusründeid RIA, CERT-EE, SMITi ja TEHIKu nimeserverite vastu, kuid neil polnud mõju.
8. juulil ajavahemikul 9.50 kuni 10.55 ei toiminud Eesti äpis isikut tõendavate dokumentide ega teiste teenuste päringud. Kuna päev varem lisandus võimalus tõendada äpi kaudu oma isikusamastust, esitades selle kaudu ID-kaardi või passi digitaalsed andmed, kasvas hüppeliselt rakenduse kasutajate hulk ja päringute maht. See tõi ilmsiks seadistusvea, mis väiksema koormuse korral ei avaldunud.
Juulis jätkusid Tervisekassa nimel tehtud petukõned. Mõni kuu tagasi olid petukõned enamasti vene keeles, kuid nüüd kuuleme üha enam korrektses eesti keeles rääkivatest petturitest. Kõnes väidetakse, et isikul on jäänud kasutamata Tervisekassa poolt pakutav hüvitis ja see soovitakse nüüd kas tagasi maksta või järgmisesse aastasse üle kanda. Tervisekassa töötajad ei võta inimestega omal algatusel ühendust ega küsi nende dokumendi numbrit, PIN-koode või muid isikuandmeid. Soovitame taolised kõned katkestada ja mitte jagada enda isiklikke andmeid. Loe ka Tervisekassa kodulehel olevat infot petukõnede ja -kirjade kohta.
RIA tegevused küberturvalisuse parandamisel Eestis
Alates 7. juulist on Eesti äpi kasutajatel võimalik tõendada oma isikusamasust otse nutitelefoni kaudu, esitades teenusepakkujale rakenduses ID-kaardi või passi digitaalsed andmed. Lahenduse kasutamine on nii teenusepakkujatele kui ka kasutajatele vabatahtlik ja selle kasutuselevõtt toimub koostöös teenusepakkujatega järk-järgult. Tuleb arvestada, et Eesti äpis olevaid dokumendi andmeid saab kasutada ainult Eesti territooriumil ning see ei asenda füüsilist dokumenti rahvusvahelisel tasandil. Kuula ka Vikerraadio "Uudis+" saadet, kus RIA peadirektori asetäitja Taavi Ploompuu käis rääkimas uuest isikusamasuse tõendamise funktsioonist Eesti äpis.
Uuendasime Eesti Infoturbestandardi rakendusjuhendit, millega saab tutvuda portaalis eits.ria.ee. Juhendis on kirjeldatud infoturbe halduse samme juhul, kui infoturbe strateegia põhineb Eesti Infoturbestandardi (E-ITS) rakendamisel. Iga sammu alguses esitatakse tegevuse vajalikkust rõhutavad viited regulatsioonidele ja seosed teiste infoturbe halduse rakendamise sammudega.
Levila veebilehel avaldati artikkel TikToki kasutamise kohta riigiasutuses, kuhu andsime sisendit küberohtude teemal. Kuna rakendus kogub tavapärasest palju rohkem andmeid ja neile on ligipääs ka Hiina julgeolekuasutustel, siis on Eesti riigiasutused oma töötajate telefonides rakenduse kasutamise ära keelanud.
Tuletame meelde, et juba mõne kuu pärast lõpetab Microsoft Windows 10 tootetoe. Alates 14. oktoobrist 2025 ei pakuta Windows 10 Enterprise, Education, Home ja Pro versioonidele turvavärskendusi, uusi funktsioone ega tehnilist tuge. Kirjutasime aasta alguses RIA blogis riskidest, mis kaasnevad vananenud tarkvara kasutamisega ning tõime välja erinevad valikud, kuidas valmistuda Windows 10 tootetoe lõppemiseks.
Rahvusvaheline olukord
Microsofti sõnul sulgesid nad hiljuti 3000 Outlooki ja Hotmaili meilikontot, mille taga arvatakse olevat Põhja-Korea IT-töötajate petuskeemiga seotud inimesed. Skeemi kohaselt muudavad Põhja-Korea IT-töötajad tehisaru abil oma välimust ja identiteeti ja üritavad tööle saada lääne tehnoloogiaettevõtetesse. Eesmärgiks on Põhja-Koreale tulu teenimine, aga ka infiltreeritud ettevõtete kompromiteerimine ja intellektuaalomandi vargused. Microsoft on jälginud seda tegevust juba aastaid ning kirjeldas hiljutises blogipostituses viimase aja dünaamikat, sealhulgas kuidas petturid kasutavad järjest rohkem häälemuutmistehnoloogiaid ja muid tehisaru võimalusi oma tegeliku identiteedi varjamiseks.
New Yorgi osariigi kuberner kehtestas regulatsiooni, millega kõik osariigi kohalikud omavalitsused ja nendega seotud teenused (transport, tervishoid, politsei, kohtud, elektriettevõtted jne) on edaspidi kohustatud teavitama lunavararünnetest ja raporteerima, kui nad on ründe tagajärjel otsustanud lunaraha maksta. Lunarahamaksest tuleb teada anda kõigest 24 tunni jooksul. Kuberneri sõnul aitab selline regulatsioon kaasa kriitiliste teenuste turvalisemaks muutmisele ja on loodetavasti eeskujuks ka teistele osariikidele.
Tööstusseadmete küberturvalisusele keskenduv ettevõte Nozomi Networks andis teada, et nende andmetel on kasvanud Iraani riikliku taustaga häkkerite ründed USA tööstusseadmete vastu. Mais ja juunis tuvastati 28 rünnet USA tööstusklientide vastu, samas kui eelneva kahe kuu jooksul oli see arv 12. Ründajate peamine huvi näib olevat transpordi- ja tootmissektoril. Aktiivseimate rühmitustena toodi välja MuddyWater, APT33, OilRig, CyberAv2ngers, FoxKitten ja HomelandJustice.
Austraalia lennufirma Qantas kinnitas, et hiljutise küberründe tagajärjel lekkisid rohkem kui miljoni kliendi telefoninumber, sünniaeg ja kodune aadress. Veel ligikaudu nelja miljoni kliendi puhul lekkis nende nimi ja meiliaadress. Rünne toimus kolmanda osapoole ehk lennufirma kasutatava kõnekeskusplatvormi kaudu. Qantase esindaja sõnul ei ole neil andmeid, et varastatud isikuandmeid oleks seni kuskil avaldatud. Samas kinnitas ettevõte, et ründaja on nendega ühendust võtnud väljapressimise eesmärgil.
Juulis lekkisid sajad miljonid dokumendid, milles olid detailsed andmed Rootsi kodanike ja ettevõtete kohta. Lekkinud andmete hulgas olid isikute nimed, isikukoodid, sünniajad, sugu, aadressid, maksuandmed jm. Andmebaas oli internetis leitav ja sisaldas kokku üle 100 miljoni andmekirje ajavahemikul 2019 kuni 2024. Tõenäoliselt olid andmed pärit andmeanalüüsi firmast Risika ja põhjuseks oli valesti seadistatud Elasticsearchi server.
Viimati uuendatud 07.08.2025
