- Novembris viidi läbi ummistusründeid Tallinna ja Tartu veebilehtede vastu. Tallinnas asuvat ettevõtet tabas lunavararünne. 18. novembril mõjutas tehniline rike Cloudflare’i võrguteenuseid.
- Viisime läbi koostööõppuse „Küberreserv 2025“. Jätkusid E-ITS töötoad ja kaasamisseminarid ning toimus hooaja teine RIA CyberMeetUp.
- Taani valitsusveebe ja kaitsetööstusettevõtteid tabas ummistusrünnete laine. ESET avaldas ülevaate riikliku taustaga rühmituste tegevuse kohta. Prantsuse sotsiaalteenuste vahendaja Pajemploi teatas suurest andmelekkest.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele. Juunikuus registreeritud intsidentide arvu võis mõjutada üleminek uutele seiretööriistadele.
Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke. Hüppelise tõusu taga on Badbox 2 robotvõrgustikuga nakatunud iOT-seadmed, Eesti kontekstis peamiselt digiboksid.
Petulehed moodustavad suurema osa CERT-EE registreeritud intsidentidest.
Olukord Eesti küberruumis
1. novembril ajavahemikul 14.23 kuni 18.25 ei toiminud automaatne piirikontrolli süsteem ehk ABC väravad. Katkestuse põhjustas serveri sertifikaadi aegumine.
Alates 9. novembrist kella 21.07 kuni 10. novembril kella 11.13ni ei olnud kättesaadav Tervisekassa avalik dokumendiregister adr.tervisekassa.ee. Intsidendi põhjustas tõrge sertifikaadiahelas.
17. novembril krüpteeris lunavara Tallinnas tegutseva ettevõte serveris olnud andmed ja ründajad saatsid ohvrile lunarahanõude. Ettevõttel oli andmetest varukoopia, mille abil teenused taastada. Tuletame meelde, et RIA ei soovita kurjategijatele alluda ja lunaraha maksta, kuna see ei garanteeri andmete tagasisaamist ega takista pättidel neid edasi müüa. Loe ka IT-vaatlikust, et kuidas hoiduda lunavararündest.
Toimusid ummistusründed Tallinna ja Tartu veebilehtede vastu. 11. novembril ajavahemikul 7.30 kuni 13.22 oli tallinn.ee töös mitu katkestust, neist pikim kestis 41 minutit. Katkestuste põhjuseks oli teenusetõkestusrünne. 12. novembri toimus veebilehe tartu.ee vastu teenusetõkestusrünne, mistõttu oli ajavahemikul 9.00 kuni 17.00 selle töös mitu lühiajalist katkestust ja aeglust. Rünnak sarnanes eelneval päeval tallinn.ee vastu tehtule. Tartu.ee töös oli katkestusi ka 13. novembril ajavahemikul 8.21 kuni 11.49. Sel korral oli põhjuseks veebilehe aktiivne kaardistamine.
18. novembril tabas mitmetunnine tehniline rike globaalse internetitaristu-ettevõtte Cloudflare võrguteenuseid. Rike mõjutas teenuste toimimist paljudes riikides, sealhulgas Eestis – paar tundi olid kättesaamatud mitmed uudisteportaalid (Delfi, Eesti Ekspress, Õhtuleht), samuti etv.ee ja vikerraadio.ee. Lisaks oli häiritud LuxExpressi ja Elroni veebikeskkondade töö, mistõttu ei saanud nende kaudu pileteid osta, ja Enefiti koduleht. Cloudflare’i blogipostitusest selgub, et tõrke põhjustas andmebaasi rutiinse uuendamise käigus tehtud apsakas, millest alguse saanud tehniline jada mõjutas suurt osa globaalsest internetist.
Nii nagu ka möödunud kuul, nägime taas mitmeid erinevaid telefoni- ja internetipettuseid. Näiteks teatas 3. novembril kannatanu, et langes pettuse ohvriks ja kandis endaga seotud MTÜ kontolt petturitele üle 120 tuhande euro. Esimene pettur, kes ohvrile helistas, esitles end elektrikilbi paigaldajana. Kuna kannatanu ootaski oma ehitisele kilbi paigaldamist, leppis ta aja kokku. Kõne lõpuks palus pettur kinnitada toiming Smart-ID abil ja ohver sisestaski PIN1. Sellele järgnesid kõned petturitelt, kes esitlesid end politseiniku ja panga töötajana ning väitsid, et ohvri pangakontole on ebaseaduslikult sisenetud ja tehtud seal mitmeid toiminguid. Nende tagasipööramiseks paluti korduvalt sisestada PIN1 ja PIN2. Kui ohver vaatas enda MTÜ pangakontot, siis selgus et sealt on tehtud ülekandeid rohkem kui 120 tuhande euro eest. Soovitame jätkuvalt taolised kõned koheselt katkestada ja kindlasti ei tohiks jagada telefoni teel ega sisestada enda isikuandmeid või PIN-koode. Tuletame taas meelde, et ükski ametiasutus, pank ega ettevõte ei küsi telefoni teel selliseid andmeid.
RIA tegevused küberturvalisuse parandamisel Eestis
Viisime läbi koostööõppuse „Küberreserv 2025“, mille eesmärk oli testida ja tugevdada võimet reageerida kriitilise taristu vastu suunatud küberohtudele. Õppus tugines stsenaariumile, milles pandi proovile elektri põhivõrgu juhtimise toimepidevus olukorras, kus ründe käigus võinuks elektrisüsteemi juhitavus kaugteel olla ohustatud. Õppus hõlmas RIA, Eleringi, Justiits- ja Digiministeeriumi, Kliimaministeeriumi ja Riigikantselei esindajaid. Esimest korda osalesid meie õppusel ka rahvusvahelised partnerid Singapurist. Tähtsal kohal oli partnerasutustega kooskõlastatud kommunikatsiooni korraldamine ning valmisolekuastmete korra testimine.
13. novembril toimus selle hooaja teine RIA CyberMeetUp. Sel korral tegid etteasted Bohumila Vančurová (NUKIB), Furkan Senan (Outer Heaven), Siim Alatalu (ESTDEV) ja Lauri Tankler (RIA). Osalejad said ülevaate olukorrast Tšehhi küberruumis, läbistustestimise tõhusamaks muutmisest, uuest algatusest Ukraina küberturvalisuse tugevdamiseks Tallinna Mehhanismi all ja küberturbe projektide rahastamisest. Ürituse salvestusi saab vaadata siit. Järgmine RIA CyberMeetUp toimub 10. detsembril.
Avaldasime ID-tarkvara uue versiooni 25.10, mis toetab novembri teises pooles kasutusele võetavat uut ID-kaarti. Uus ID-kaart toob kaasa muudatused nii kaardi välimuses, kiibi tehnoloogias kui ka selle tarkvaras, mistõttu on selle elektroonseks kasutamiseks vajalik ID-tarkvara uuendamine. Uue ID-kaardi elektrooniliseks kasutamiseks, näiteks autentimiseks ja digiallkirjastamiseks, peavad kasutajad, kes saavad oma ID-kaardi pärast 17. novembrit, uuendama ID-tarkvara versioonile 25.10. Pärast uue ID-kaardi kättesaamist tuleb muuta ära ID-tarkvaras PIN2-kood. Alles seejärel saab uut ID-kaarti kasutada digiallkirjastamiseks.
Novembris toimusid nii E-ITS töötoad kui ka kaasamisseminarid. Kaasamisseminaridel jagame E-ITSi rakendajatele praktilisi nõuandeid ja soovitusi, mis lihtsustavad standardi sisust arusaamist ja selle rakendamist. Praktilistes töötubades aga räägime oktoobri alguses jõustunud muudatustest küberturvalisuse nõuetes. Kõigi toimunud ja tulevaste sündmustega saad end kursis hoida E-ITS portaalis.
Avaldasime RIA blogis kaks uut postitust. Esimeses toome välja 10 soovitust turvalise kaugtöö tegemiseks. Teises postituses aga kirjutame ettevõtteid tabavatest pettustest ja rünnetest. Loe mõlemaid RIA blogist.
Rahvusvaheline olukord
Küberturbefirma ESET avaldatud ülevaates riikliku taustaga rühmituste (APT-d) tegevuse kohta 2025. aasta teises ja kolmandas kvartalis nähtub, et kõige aktiivsemalt tegutsevad Hiina ja Vene taustaga rühmitused – vastavalt 39,8% ja 25,7% kõikidest APT-de rünnetest, mida ESET jälgis. Vene taustaga rühmituste peamine fookus on Ukrainal, aga rünnatakse ka Ukrainat toetavaid riike Euroopa Liidus ja mujal. Vene taustaga Gamaredon arenes ESETi hinnangul sel perioodil nii rünnete arvu kui keerukuse poolest, lisaks tegi Gamaredon koostööd teise Vene rühmitusega Turla. Hiinaga seotud rühmituste puhul tõi ESET välja, et nad on laiendanud oma tegevust varasemast rohkem ka Ladina-Ameerikasse.
6. novembril olid mõnda aega kättesaamatud Belgia sõjaväeluurega seotud kodulehed, ründe omistas endale Kremlimeelne häktivistide rühmitus NoName057. Samuti sihiti ummistusrünnetega Belgia telekomiettevõtteid Proximus ja Scarlet. Kuna samal nädalal häirisid mitmete Belgia lennujaamade tööd tundmatud droonid, spekuleeriti mõnel pool meedias, et need tegevused võisid olla omavahel koordineeritud.
Luksusautode tootja JLR avaldatud majandustulemustest selgub, et sügisese küberründe otsene kahju ulatub 196 miljoni naelani (ligikaudu 222 miljonit eurot). Kogukulu on sellest veel mitmeid kordi suurem ning analüütikute hinnangul on teadaolevalt tegemist seni kõige suurema kahjuga küberründega Ühendkuningriigis. Rünne ja sellega kaasnenud andmevargus leidsid aset septembris ning selle eest võttis vastutuse ScatteredLapsusHunters nimeline rühmitus. Rünne häiris tõsiselt JLR globaalseid tarneahelaid, mitmed tehased olid viis nädalat kinni ja UK valitsus oli sunnitud andma ettevõttele suure laenu tootmise taaskäivitamiseks. Ettevõtte esindajate sõnul on nüüdseks kogu tegevus taastunud ja ründekahjud ei mõjuta järgmise viie aasta peale planeeritud investeeringuid.
Taani valitsusveebe ja kaitsetööstusettevõtteid tabas ummistusrünnete laine, mõned veebid olid ründe tõttu ka lühiajaliselt maas. Ründe omistas endale taas NoName057. Ründed toimusid kohalikele valimistele eelneval nädalal ja nende eesmärk võis olla avaldada pahameelt Taani tugeva toetuse vastu Ukrainas.
Prantsuse sotsiaalteenuste vahendaja Pajemploi teatas suurest andmelekkest, mille käigus on nende andmebaasist varastatud tundlikke isikuandmeid. Potentsiaalselt võib mõjutatud olla 1,2 miljonit inimest ning lekkinud andmete seas on nimed, sünniajad, aadressid, sotsiaalkindlustusnumbrid ja Pajemploi kliendinumbrid. Ükski lunavararühmitus pole seni ründe eest vastutust võtnud.
24. novembril andsid kolm Lääne-Londoni linnaosavalitsust teada, et nende teenuseid häirib küberrünnak. Mõjutatud omavalitsused kasutavad sama IT-taristut ja et kriitilised teenused oleksid tagatud, tuli aktiveerida hädaolukorra plaan. Üks mõjutatutest, Westminsteri administratsioon on Ühendkuningriigi olulisemaid omavalitsusi, kuna seal piirkonnas asuvad nii parlament, valitsusasutused kui ka mitmed populaarsed turismi- ja kaubandussihtkohad. Ründe olemust ei ole ametlikult kommenteeritud, ent ekspertide sõnul on alust arvata, et see oli lunavararünnak IT-teenuse pakkuja vastu.
Viimati uuendatud 04.12.2025
