18.05.2007, 13:13

Eestist saab NATO kübersüda ja IT-polügoon

Kadri Jakobson, Lemmi Kann

Kübersõja kuumematel päevadel Eestit väisanud NATO tippspetsialistid olid pigem õpipoisid, sest maailma esimese kübersõja rünnaku objektiks sattunud riigina hakkame meie oma kogemusi teistele jagama.

“Küberkeskuse kohavalik oli NATO jaoks nagu rusikas silmaauku ja keskuse tulevane tegevus näiteks rünnaku analüüsimisel kujuneb epohhi loovaks,” ütleb kaitseministeeriumi IT-juht Mihkel Tammet.

Kolmenädalane õppus

Plaan luua küberkaitsekeskus Eestisse oli NATO-l ammu, aasta otsa on Tammeti eestvedamisel selleks pinda ette valmistatud. “Täna oleme nii kaugel, et aasta otsa on inimesed juba tööl Sideinfotehnoloogia Väljaõppe- ja Arenduskeskuses, kus on ka küberkaitse osakond. Need inimesed hakkavad hiljem tööle NATO keskuses,” ütles ta. Ametlikult saab selle nimeks NATO kooperatiivse küberkaitse kompetentsi keskus.

NATO spetsialistid käisid Eestis neil päevil, mil küberrünnakud olid eriti teravad.

“Nemad käisid siin pigem õppimas kui õpetamas. Nad vaatasid, kuidas rünnakud välja näevad, ja viisid selle info NATOsse,” ütles Tammet. “Ilmselt oleme meie Eesti riigis need, kes hakkavad neid õpetama. Oleme kolme nädalaga õppinud väga palju võtteid ja nippe, kuidas rünnakuid ära hoida,” lisas ta.

Tammeti sõnul pole nii selgelt poliitilise ja niisuguse mastaabiga rünnakut maailmas varem tehtud. “Saime alles nüüd aru, mida tegelikult küberrünnak tähendab. See pole see, kui häkitakse kuhugi valitsuse leheküljele ja proovitakse mingit infot varastada. Kübersõja mõte on halvata riigi töö,” rääkis Tammet.

“Kujutate ette, et te ei saa teha internetitehinguid ega bensiini tankida — see oleks juhtunud siis, kui Riigi Infosüsteemide Keskus oleks istunud, käed rüpes,” jätkab ta. See on tavaline vene inimene, kes teab, et meil on siin fašism, ning ei mõtle selle peale, et oma tööarvutist tegutsedes annab ta ennast välja. Tõnu Samuel, IT-spetsialist Kremli IP-aadressidelt tulnud rünnakute kohta

Tammeti sõnul on kasulik mõelda ka kübersõja plussidele. “Eesti on end kirjutanud sajandiks kübersõja õpikutesse,” sõnas ta. Samas toonitas Tammet, et taolistele rünnakutele on vajalik anda kaitsepoliitiline julgeolekuhinnang.

Terroristlikud rünnakud

“Ei tohi minna libedale teele ja rääkida riikidevahelisest tülist, vaid küberterroriaktist,” ütles ta. “Unustame sageli ära, kuidas rünnakud hakkasid. Neile eelnes tõsine poliitiline agitatsioon, leiti toetajad, nende abil rünnati. Nii käituvad terroristlikud organisatsioonid,” selgitas Tammet.

Pangad: me pole rahalist kahju kokku löönud

SEB Eesti Ühispanga IT-valdkonna juhi Ain Rasva sõnul ei pruugi kübersõda lõppenud olla.

“Olime ründeks valmis, kuid paratamatult kulub ründe tõrjumiseks aega, mil teenuste kättesaadavust ei saa garanteerida,” ütles Rasva. “Rahalisi kahjusid ei ole veel võimalik kokku lüüa.”

SEB Eesti Ühispank sattus nn teenustõkestusrünnaku alla 15. mai keskpäeval, kui ülekoormuse tekitamisele suunatud rünnakute tõttu ei olnud poolteise tunni jooksul võimalik kasutada internetipanka ega panga kodulehekülge.

Hansapanga IT-direktor Tarmo Pajumets ei usu, et rünnakud muutuksid ohtlikumaks. Hansapank oli rünnaku all möödunud neljapäeval, poolteise tunni jooksul olid häiritud hanza.neti ja Telehansa töö.

IT-spetsialistid: saame rünnakutega hakkama

Neljandat nädalat küberrünnakute all olnud Eestil on ekspertide sõnul vedanud, et Venemaa ei ole meie vastu suunanud organiseeritud IT-raskekahurväge.

Eesti vastu suunatud küberrünnakute laviini anatoomia on Riigi Infosüsteemide Arenduskeskuse (RIA) infoturbeintsidentide käsitlemise osakonna juhataja Hillar Aarelaiu sõnul kirev ja mitmekesine — alates lihtsamatest ping’idest lõpetades professorite tehtud kõige keerukamate ja jälitamatute rünnakutega.

Ometi ei saa Aarelaiu hinnangul toimuvat päris kübersõjaks nimetada. “Sõda on juhitud aktsioon rünnakuplaanide ja -kaartidega, mida juhitakse kindralstaabist. Kui keegi oleks neid “professoreid” kindrali tasemel juhtinud, ei ole ühelgi riigil ellujäämislootust,” rääkis Aarelaid.

Aarelaiu sõnul pole välistatud, et Eesti jääb mõneks ajaks ilma välisühenduseta, kuid riigisisest internetti oleks võimalik tappa ainult seestpoolt. Nimelt on Eestis piisavalt palju selliseid süsteeme, kuhu mööda traati sisse ei saa, ning on ilmsiks tulnud juhuseid, kus arvuteid zombistavaid rünnakukoode on kohale toimetatud USP-pulga abil.

Eesti relvaks küberrünnakute tõrjumisel on Aarelaiu sõnul meie väiksus ning küberkaevikutes rünnakuid tõrjuvate IT-meeste raugematu fanatism.

“See, kes selle esimese tiku põlema pani, ei arvestanud, et Eesti riik on oma interneti poolt vaadatuna nii väike, et on võimeline ennast kaitsma,” muheles Aarelaid, rääkides, et IT-inimeste ringkonnas tunnevad kõik kõiki ja annavad üksteisele kas või telefoni kaudu nõu. “Aga proovige seda näiteks Ameerika Ühendriikides teha! Ei ole võimalik,” laiutas Aarelaid käsi.

Spetsialistide kommentaarid

Linnar Viik, IT Kolledži õppejõud

Toimunud küberründed näitasid, et enamik riigi toimimiseks vajalikest infosüsteemidest on projekteeritud viisil, et nende tööd saab küll takistada, kuid ründajad ei saa neid oma kontrolli alla.

Samas on meil väga vähe ettevõtteid ja organisatsioone, kes on teinud küberkuritegevuse ennetamiseks kriisikava. Iga ettevõte peaks läbi mõtlema, mida tal oli sellest sündmusest õppida ja kuidas seda ennetada.

Praegu oleme ööd ja päevad ametis tõrjetegevusega ning sellestki arusaamine ja väljaütlemine, et rünnatakse riiki, võttis aega.

Tõnu Samuel, IT-spetsialist

Pilt oleks hoopis teine, kui kübervägesid juhatataks tõesti Kremlist. See on tavaline vene inimene, kes teab, et meil on siin fašism, ning ei mõtle selle peale, et oma tööarvutist tegutsedes annab ta ennast välja. Venemaa osa on selles, et nad küll näevad, mis toimub, kuid ei ole huvitatud rünnakute lõpetamisest.

Kõige mustem stsenaarium oleks infoleke. Sealt tulenev PR-kahju võiks Eesti asutustele kas või e-valimisi silmas pidades tunduvalt rängemat kahju tekitada.

Küberrünnakud Eesti vastu

* Reede, 27. aprill Rünnakud Eesti valitusasutuste veebide pihta.
* Korraga rünnati väga palju lehekülgi (valitsus, peaminister, president jne).
* Piirati ajutiselt väljapoole Eestit jäävate kasutajate ligipääsu rünnatavatele kodulehekülgedele.

* Laupäev, 28. aprill Rünnakute allikaid oli palju.
* Tegemist oli DDOS-ründega (distributed denial of service) DDOS-rünnakute abil suurendadakse pahatahtlikult veebiserverite koormust eesmärgiga tõkestada asutuste kodulehekülgede kättesaadavus ja ummistada andmesidevõrgu ühendusi.

* Pühapäev, 29. aprill Selgelt pahatahtlikud küberründed Eesti vastu tulevad välismaalt.
* Rünnetega võitlemiseks tuli piirata Eestist väljapoole jäävate kasutajate ligipääsu valitsusasutuste kodulehekülgedele.

* Esmaspäev, 30. aprill Küberründed ei ole vaibunud.
* Lisaks veebiserverite töö tõkestamisele tehti katseid seisata kogu riigiasutuste andmesidevõrgu töö.

* Teisipäev, 1. mai Varahommikul kordistati rünnakuid Eesti küberruumi vastu.
* Jätkusid rünnakud eelkõige valitsusasutuste veebi- ja nimeserverite vastu.
* Rünnete maht oli järk-järgult kasvanud, kuid olukord oli kontrolli all.
* Lühikesi katkestusi esines kodulehekülgede kuvamisel ka Eesti-siseselt, ent need olid tingitud uute meetmete rakendamisest rünnetega võitlemiseks.
* Kell 20, südaööl ja öösel kell üks tehti kolm tõsist rünnet Eesti veebiliikluse vastu, kuid pärast seda olukord normaliseerus.

* Kolmapäev, 2. mai Internet toimis tavapäraselt ning ka välismaal internetis olles olid Eesti valitsusasutuste koduleheküljed (vähemalt osaliselt) kättesaadavad.

* Neljapäev, 3. mai Internetiliikluse maht oli endiselt tavapärasest suurem.
* Mitme turvameetme rakendamise ja võimsuste lisamisega õnnestus hoida andmesidevõrguteenused käigus.
* Lisaks valitsusasutustele hakati ründama ka haridusasutusi, meediaväljaandeid ning eraettevõtteid.
* Öösel toimus taas sihilik suurem DDOS-küberrünnak Eesti valitsusasutuste internetiliikluse ja veebiserverite vastu, mis tõrjuti koostöös internetiteenuse pakkujatega.

* Reede, 4. mai Sagenesid teated rämpsposti suurenenud mahu kohta.
* Ründega ei suudetud siiski korda saata muud kui varahommikul segada väljaspool Eestit olevate külastajate võimalusi Eesti kodulehekülgi külastada.

* Laupäev, 5. mai Olukord oli rahulikum.

* Pühapäev, 6. mai Olukord oli rahulikum.

* Esmaspäev, 7. mai Rahvusvaheline koostöö rünnete tõrjumisel hakkas andma selgeid tulemusi.
* Võimalike ohtude vähendamiseks paluti kõigi riigiasutuste ja erasektori ettevõtete IT-töötajatel ning kodukasutajatel pöörata kõrgendatud tähelepanu turvaseadistustele, kuna iga ebaturvaline arvuti või kodulehekülg võib sattuda pahatahtlike häkkerite kontrolli alla, mida võidakse rakendada ka küberrünnetes Eesti vastu.

* Teisipäev, 8. mai Hilisõhtul kell 23 algas suuremahuline küberrünnak, mis kestis pikka aega.
* Sihtmärkideks olid jätkuvalt eelkõige valitsusasutuste veebilehed ja andmesidevõrgud.

* Kolmapäev, 9. mai Küberrünnakute eesmärk võis olla Eesti infoblokaad.
* Küberrünnetega takistati adekvaatse info levikut väljapoole riiki.

* Neljapäev, 10. mai Infoblokaadi üritavad küberründed kestsid edasi.
* Paralleelselt toimusid suuremahulised ründed, mis kestsid pikka aega.
* Puudutatud olid nii avalik kui ka erasektor.
* Häiritud oli Hansapanga internetikanalite töö.
* Valmistuti võimalikuks pikaajaliseks ründetõrjumistööks.

* Laupäev, 12. mai ja pühapäev, 13. mai Suuremahulisi rünnakuid ei toimunud.

* Esmaspäev, 14. mai Kaitseminister tõstatas Euroopa Liidu kaitseministrite kohtumisel Eesti vastu suunatud küberrünnete temaatika

* Teisipäev, 15. mai Ründe all oli SEB Eesti Ühispank.

* Kolmapäev, 16. mai Südaööks vaibusid üksikud suuremad ründed nädalvahetuse tasemele.
* Üksikuid sihilikke ründeid võidakse ette võtta veel pika aja jooksul.
* Küberrünnete taseme normaliseerumise tagab jätkuv töö internetiliikluse filtreerimisel, mille jaoks teevad koostööd Eesti asutuste ja ettevõtete IT-turvalisuse spetsialistid.

Allikas: Riigi Infosüsteemide Arenduskeskus

Kommenteeri Loe kommentaare