- Tallinna Lennujaamas oli tõrkeid automaatse piirikontrolli töös. 19.märtsi hommikul katkes rongiliiklus tarkvaravea tõttu. Eesti äpis ei avanenud postkast ega dokumentide vaade.
- Avaldasime ohuhinnangu, milles kirjeldame maailma üht suurimat meditsiiniseadmete tootjat tabanud küberrünnet. Kirjutasime RIA blogis, et kuidas tehisintellekti küberrünnakutes kasutatakse, mis on robotvõrgustik ja millised petulehed hetkel levivad.
- USA avaldas riigi uue küberstrateegia. Maailma üht suurimat meditsiiniseadmete tootjat Stryker tabas suure mõjuga küberrünnak. Soome laevafirmat Viking Line tabas andmevargus.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele.
Petulehed moodustavad suurema osa CERT-EE registreeritud intsidentidest.
Olukord Eesti küberruumis
3. märtsil ajavahemikel 12.45 kuni 13.07 ja 15.33 kuni 15.35 esines tõrkeid Riigikantselei eelnõude infosüsteemis eelnoud.valitsus.ee. Infosüsteemi töös olid häired ka 4. märtsil ajavahemikul 10.16 kuni 10.30. Katkestuste põhjuseks oli tehniline viga.
9. ja 10. märtsil oli Tallinna Lennujaamas tõrkeid automaatse piirikontrolli ehk ABC väravate töös. Kuna tarkvaravea tõttu oli väravates probleeme dokumendi kiibi tuvastamise ja biomeetria võrdlusega, suunati reisijad manuaalsesse passikontrolli. Pärast väravate taaskäivitamist hakkasid neljast väravast kolm tööle, kuid viimase jaoks oli vaja tarkvara uuesti paigaldada.
15. märtsil ajavahemikul 7.20 kuni 8.12 polnud kättesaadavad registrite ja infosüsteemide keskuse (RIK) halduses olevad veebilehed oiguskantsler.ee, aki.ee, prokuratuur.ee, rik.ee, konkurentsiamet.ee ja vanglateenistus.ee. Intsidendi põhjustas tehniline viga.
16. märtsil esines tõrkeid Digiretsepti töös. Sel kuupäeval väljastatud retseptide alusel ei saanud apteegid müüa ravimeid ega meditsiiniseadmeid. Kõik tõrkeperioodil väljastatud retseptid tuli uuesti koostada. Mis tõrkeid põhjustas, ei ole CERT-EE-le teada.
19. märtsi ööl kell 2.00 tegi Eesti Raudtee hoolduspartner serveritele plaanilise taaskäivituse. Pärast seda tekkis Eesti Raudtee liiklusjuhtimissüsteemide tõrge, mille tõttu ei saanud Balti jaama liikluskorraldajad rongiliiklust juhtida. Selle tulemusel seiskus rongiliiklus läänesuunal ning olid mõjutatud ka kõik teised Balti jaamast sisse- ja väljuvad suunad. Probleemi kõrvaldamise järel taastus süsteemi töö kella 9.30 paiku ning alates sellest ajast hakati rongiliiklust järk-järgult taastama. Lõplikult taastus üle Eesti sõiduplaanijärgne rongiliiklus kell 14.
25. märtsil ajavahemikul 9.39 kuni 11.35 ei avanenud Eesti äpis postkast ega dokumentide vaade. Nende asemel näidati kasutajatele VPNiga seotud veateadet. Samal hommikul saatis kaitsevägi drooniohu kohta üleriigilise teavituse. Paljud vajutasid nupule „Sain aru“, mis suunas neid Eesti äppi sisse logima. Hüppeliselt kasvanud koormuse ja päringute tõttu rakendusid turvameetmed, mis blokeerisid osad päringud.
Märtsis levisid õngitsuskirjad, mis saadeti näiliselt LHV panga nimel. Kirjas väideti, et käes on andmete uuendamise aeg ja selleks on vaja kirjas oleva lingi kaudu sisse logida ning andmete õigsus allkirjaga kinnitada. Kirjas olev link viis petulehe, mille kaudu prooviti kasutaja sisselogimise andmeid õngitseda. Kirju saadeti erinevatelt kahtlastelt domeenidelt, näiteks [email protected], mis ei kuulu LHV pangale. Tuletame taas meelde, et pangad ei palu andmeid uuendada e-maili teel ja ei saada selleks kahtlast linki. Lisaks saadeti möödunud kuul ka e-kirju, milles väideti, et kasutaja LHV panga postkastis on lugemata sõnum. Teate nägemiseks paluti sisse logida internetipank ja ka sel korral viis link petulehele.
RIA tegevused küberturvalisuse parandamisel Eestis
RIA peadirektori asetäitja küberturvalisuse alal Gert Auväärt käis saates „Olukorrast digiriigis“ rääkimas, et mis möödunud aastal Eesti ja maailma küberruumis tegelikult toimus. Möödunud aasta arengud näitasid selgelt, et küberjulgeolek ei ole ammu enam pelgalt IT-entusiastide kitsas pärusmaa. See on ühiskonna toimimise alus, mis puudutab korraga ettevõtlust, avalikke teenuseid, energiajulgeolekut ja inimeste igapäevast turvatunnet. Kuula saadet Kuku pleieri lehelt.
Selgitasime RIA blogis, kuidas tehisintellekti küberrünnakutes kasutatakse ja milliseid arenguid tasub tähele panna. Tehisintellekti abil saavad küberkurjategijad luua veenvaid õngitsuskirju sekunditega, automatiseerida rünnakuid ning kohandada pahavara kiiremini kui kunagi varem. See kõik muudab ka küberohtude olemust – rünnakud muutuvad järjest nutikamaks ja paremini sihituks. Milline on tehisintellekti kasutamise prognoos küberrünnakutes lähiaastateks, millega peaks arvestama ja milleks valmis olema? Seda kõike saad lugeda RIA blogist.
19. märtsil toimus selle aasta kolmas RIA CyberMeetUp. Sel korral tegid ettekanded Patrik Maldre ja Lauri Maldre (Guild Security), Andres Elliku (Wise), Vashek Matyas (Masaryk ülikool) ja Lukaš Malina (Brno ülikool) ning Lauri Tankler ja Kaisa Lindenburg (RIA). Ürituse salvestusi saab järele vaadata Youtube’ist. Järgmine RIA CyberMeetUp toimub 16. aprillil.
CERT-EE on viimasel ajal tuvastanud mitmeid Eesti veebilehtedele suunatud küberrünnakuid, kus ründajad on esmalt veebilehed üle võtnud ning seejärel üritanud nakatada nende külastajate seadmeid. Nakatamiseks kasutatakse ründajate loodud võlts-CAPTCHA kontrolli. Selgitasime RIA blogis, kuidas see rünne toimub ning kuidas võlts-CAPTCHAt ära tunda.
Avaldasime ohuhinnangu, milles kirjeldame maailma üht suurimat meditsiiniseadmete tootjat tabanud küberrünnet. Märtsi keskpaigas selgus, et Iraani taustaga rühmitus on asunud riiki tabanud rünnakute eest kätte maksma küberruumis ning valis oma sihtmärgiks USA ettevõtte Stryker. Ründe tagajärjel oli ettevõtte töö tugevalt häiritud. Ehkki konkreetne rünnak tabas USA meditsiiniettevõtet, on kasutatud ründevektori tõttu potentsiaalselt ohus ka teised riigid ja sektorid. Loe ründe ja RIA soovituste kohta täpsemalt meie ohuhinnangust.
Eesti internetiruumis on hakanud hoogsalt levima erinevad petulehed, mis matkivad riigiasutusi ja meediaportaale ning mille kaudu peibutatakse ohvreid oma raha investeerimisplatvormile kandma. Selgitasime RIA blogis, kuidas see skeem töötab ja kuidas petureklaame ära tunda.
Kirjutasime ka postituse, kus selgitame mis on robotvõrgustik ehk botnet. Keskmises kodus on tänapäeval internetiga ühendatud seadmete hulk märkimisväärne – võrgus on nii nutitelefon, arvuti kui erinevad värkvõrgu seadmed nagu näiteks nutiteler, ruuter, turvakaamerad, külmik, robottolmuimejad jne. Nendega aga kaasnevad mitmed uued küberriskid, millest üheks on seadmete robotvõrgustiku osaks saamine. Loe blogist, mille jaoks robotvõrgustikku kasutatakse ja kuidas oma seadmeid kaitsta.
Rahvusvaheline olukord
Märtsi alguses avalikustas Trumpi administratsioon riigi uue küberstrateegia. Strateegiadokument on lühike ja rõhutab küberründe- ja -kaitseoperatsioonide kõhklematut kasutamist kõigi ohustajate vastu, regulatiivse koorma vähendamist, föderaalvõrkude kaasajastamist ja kaitset, kriitilise taristu kaitse tõhustamist ja nende tarneahelate turvalisemaks muutmist, tehisaru lahenduste kasutuselevõttu küberturbes ning kübertööjõu arendamist. Strateegia rõhutab ka riigi ja erasektori koostöö vajadust.
11. märtsil tabas maailma üht suurimat meditsiiniseadmete tootjat, mitmekümnes riigis tegutsevat USA ettevõtet Stryker suure mõjuga küberrünnak. Rünnaku eest võttis avalikult vastutuse Iraani taustaga rühmitus Handala, mille peamisteks sihtmärkideks on seni olnud Iisraeli ettevõtted ja asutused. Esialgsel hinnangul said ründajad ligipääsu Strykeri Microsoft 365 Globaalse Administraatori õigustes kontole ning kasutasid Microsoft Intune tööriista selleks, et kustutada lõplikult andmed ligikaudu 200 000 seadmest, mis olid töötajate valduses. Rünnak takistas paljude tehaste tööd ja häiris globaalselt tellimuste ja tarnete menetlemist, haiglates kasutusel olevad meditsiiniseadmed mõjutatud ei olnud.
Märtsis selgus, et FBI oli tuvastanud veebruari keskel kahtlase tegevuse ühes oma infosüsteemis, milles hallatakse jälitustegevusega seotud andmeid. Intsidendi uurimine on alles varajases staadiumis, ent väljaande Wall Street Journal andmetel kahtlustavad USA uurijad, et ründe taga on Hiina riikliku taustaga ohustajad. FBI esindajad seda väidet kommenteerinud ei ole.
Häkkerite rühmitus ByteToBreach teatas edukast sissetungist globaalse IT-firma CGI Rootsi haru CGI Sverige võrku ning avalikustas Rootsi e-valitsuse platvormi lähtekoodi. Samuti olevat häkkerite valduses CGI Sverige töötajate isikuandmeid, elektroonilise allkirjastamisega seotud tehnilisi andmeid ja Rootsi kodanike isikuandmeid. CGI Sverige pressiesindaja kinnitas, et häkkeritel õnnestus ligi saada kahele sisemisele testserverile, kus hoiti lähtekoodi vanemat versiooni.
Soome laevafirma Viking Line andis teada, et neid tabas andmevargus. Laevafirma pressiesindaja sõnul toimus see tõenäoliselt Viking Line’i digitaalse teenusepakkuja Digitalist Experience kaudu. Lekkinud andmete hulgas on klientide nimed, e-posti aadressid, telefoninumbrid, sõidukite registreerimisnumbrid ning ka töötajate nimed, ametikohad ja parooliräsid. Esialgsetel andmetel ei mõjutanud leke kõiki laevafirma kliente, vaid neid, kes olid teinud eeltellimusi tax free poodidest.
Saksa politsei, Europoli ja veel 22 riigi mitmeaastase politseioperatsiooni „Operation Alice“ tulemusel võeti maha kuritegelike platvormide võrgustik tumeveebis. Platvormide kaudu reklaamisid kurjategijad lastega seotud seksuaalset sisu ja erinevaid küberkuritegevusega seotud teenuseid. Enamasti oli tegemist petulehtedega, mille kliendid tasusid krüptorahas, kuid ei saanud kunagi lubatud teenuseid või materjale. Võrgustikuga oli seotud vähemalt 300 serverit, millest rohkem kui kolmandik asub Saksamaal. Peamine kahtlusalune, 35-aastane Hiina kodanik olevat võrgustiku abil teeninud vähemalt 350 000 eurot tulu.
Euroopa Komisjoni tabas küberrünnak – nende esindaja kinnitas, et europa.eu veebiplatvormile häkiti sisse ja varastati veebilehtedega seotud andmeid. Väljaande BleepingComputer info kohaselt on häkkerid ligi saanud vähemalt ühele Komisjoniga seotud Amazoni AWS kontole. Ründe omistas endale rühmitus ShinyHunters, kes avaldas tumeveebis 90 gigabaiti varastatud andmeid ja kinnitas veel palju tundlikemate andmete nagu lepingud, konfidentsiaalsed dokumendid ja töötajate isikuandmed, valdamist. Komisjoni esindaja sõnul puudutas rünnak osaliselt nende pilvetaristut, aga mitte komisjoni sisemisi süsteeme. Intsidendi täpne ulatus ja mõju on uurimisel.
Viimati uuendatud 07.05.2026
