Kas sa tead, mitu pahalast Sinu ettevõtte IT-infras täna istub?

Ehkki petturid sihivad nii suuri kui väikseid ettevõtteid, kehtib üldiselt reegel, et mida väiksem on ettevõte, seda vähem pööratakse tähelepanu küberturvalisusele ja seda lihtsam on neid rünnata. Küberpettuste ohvritest paljud Eestis on väikse ja keskmise suurusega ettevõtted, kellel ei ole eraldi infoturbejuhti või IT-meeskonda. RIA saab igal nädalal mitmeid teateid arvepettustest, õngitsuskirjadest ja lunavararünnakutest. Kahjuks puudub statistika selle kohta, kui paljud ettevõtted jätavad rünnakust teavitamata. Rünnakutega kaasnevad kahjud ulatuvad RIA sõnul tavaliselt tuhandetesse ja isegi mitmekümnetesse tuhandetesse eurodesse, lisaks veel mainekahju, mida on teinekord keeruline rahasse ümber arvestada. 
Allikas: Riigi Infosüsteemi Amet | Trendid ja tähelepanekud küberruumis – III kvartal 2020

Meie enda kogemused OIXIO-s kinnitavad RIA statistikat, kuid meie hinnangul satuvad ka keskmisest suuremad Eesti ettevõtted küberrünnakute ohvriteks. Tõsi, suuremad ettevõtted suhtuvad küll teadlikumalt küberturvalisuse tagamisse, kuid mida suurem on IT-taristu, seda rohkem on kohti, mida on vaja turvata. Ei ole harvad juhused, kus suurettevõttes on jäänud mõne pärandsüsteemi (legacy system) kaitsmine kahe silma vahele ja pahalane on just seda nõrkust kasutades saanud juurdepääsu süsteemidesse. 
 
Toome siinkohal välja kaks hiljutist kliendikaasust, kus me nõustasime kliente küberturvalisuse taseme tõstmise temal. Need kliendid langesid küberrünnakute ohvriks, mis tõi ühel juhul kaasa täieliku äritegevuse seiskumise ja teisel juhul otsese rahalise kahju.


Kliendikaasus #1

Ettevõtte suurus: >200 töötajat
Ründeliik: Lunavararünnak
Kahju ettevõttele: Täpne kahju on teadmata. Hinnanguline kahju >200 000 €, mis tulenes sellest, suurettevõtte äritegevus seiskus kaheks tööpäevaks, mis kulus süsteemide taastamiseks/taasloomiseks. 
Ründeahel:

  1. Suurettevõttes oli kasutusel arvuti, kuhu oli lõppkasutaja poolt teadlikkult paigaldatud piraattarkvara. Selline tegevus on mõistagi lubamatu, aga nagu selle kaasuse puhul ka meie üllatuseks selgus, tuleb seda ette isegi suurettevõtetes.
  2. Piraattarkvaraga võivad aeg-ajalt kaasas käia turvanõrkused, mis võimaldavad tarkvara kaudu arvuti üle kontrolli saada.
  3. Kahjuks ka selle kaasuse puhul nii läks, et pahalane võttis esmalt kontrolli selle konkreetse arvuti üle ja sealt edasi liikus juba ettevõtte serverisse.
  4. Serverisse paigaldati keylogger (nuhkvara, mille abil on võimalik näiteks kasutajanime ja parooli varastada). Selle abil saadi kätte ettevõtte tulemüüri (seade, mis peaks kaitsema ettevõtte sisevõrku internetist tulenevate ohtude eest) kasutajanimi ja parool. 
  5. Pahalane muutis tulemüüris reegleid, tegi enda jaoks tulemüüri täiendavaid „auke“ sisse ja pääses seeläbi ligi kõikidele suurettevõtte serveritele ja teenustele. 
  6. Selleks hetkeks oli pahalane kliendi süsteemides sees istunud vähemalt 3 kuud.
  7. Ühel hetkel nakatas kurikael ettevõtte serverid ja töökohad lunavara viirusega, mille tagajärjel serverite ja arvutite andmekandjad (failid, dokumendid) krüpteeriti ja muudeti kasutuskõlbmatuks. 
  8. Nüüd oli ettevõte suures hädas, töö seisis, andmed oli kasutuskõlbmatud. Dekrüpteerimise eest nõuti lunaraha, mis ei olnudki väga suur (vb mõned tuhanded), kuid lunaraha maksmisel tekkis probleeme ja dekrüpteerimise võtit (andmete lahti lukustamiseks) ei saadud. 
  9. Kõige tipuks oli samal ajahetkel ka andmete varunduslahendus (backup) katki läinud ja andmeid ei õnnestunud varundusest taastada. 
  10. Lugu päädis sellega, et ettevõte installeeris kõik töökohad üle ja paigaldas uued serverid. Tööseisak oli peaaegu 2 päeva, mille jooksul saadi vähemasti ärikriitilised teenused uuesti toimima. 
     

Kliendikaasus #2

Ettevõtte suurus: ~90 töötajat
Ründeliik: Tegevjuhi petuskeem/social engineering
Kahju ettevõttele: ~100 000 €
Ründeahel: 

  1. Nõrgalt kaitstut töötaja e-postikonto kompromiteeriti.
  2. Pahalane vaatas pealt töötaja meilivahetust ligikaudu pool aastat
  3. Pahalane sai selgeks, kes on kes ja kuidas ettevõttes rahaliigutamine käib
  4. Ühel hetkel esindas pahalane ennast ettevõtte tegevjuhina saates raamatupidajale lühikese ajaperioodi vältel mitu kiireloomulist rahaülekande nõuet
  5. Usin raamatupidaja täitis kõik ülekande nõuded eeskujulikult kandes pahalase kontodele ligikaudu sada tuhat eurot enne, kui ettevõttes asjale jälile saadi.
     

Nende mõlema kliendikaasuse ühine joon on see, et pahalane istus süsteemis sees mitmeid kuid õppides tundma kliendi IT taristut, inimesi ja protsesse. IBM ütles aastal 2019: "The average time to identify a breach in 2019 was 206 days". Sellised juhused ei ole harvad ja iga ettevõtte peaks rakendama meetmeid, et mistahes küberründed ja läbistused oleksid reaalaja lähedal tuvastatavad.

Kuidas ennast kaitsta?

OIXIO tuleb appi turvaseireteenusega, mis tagab pideva (24/7/365) küberohtude jälgimise üle kogu IT-taristu. Teenus tuvastab anomaaliad, kahtlased tegevused ja reaalsed ründed, mis jääksid muidu teiste turbetehnoloogiate poolt märkamata. 
 
Loe lisa: Turvaseire teenusena | Security Operation Center as a Service (SOCaaS) 

Kuidas oleks turvaseireteenus konkreetseid kliente kaitsnud?

#1 kliendikaasuse puhul oleks meie turvatiim esmalt tuvastanud piraattarkvara kasutamise, seejärel oleksime täheldanud nakatunud arvuti pöördumisi kahtlaste saitide ja asukohtade poole ning kindlasti ei oleks jäänud tuvastamata kahtlased logimised väljaspool Eestit (olgu siinkohal öeldud, et 99% tõenäosusega teostatakse taolisi ründeid väljastpoolt Eestit). Taoline rünnak oleks OIXIO turvatiimi poolt nurjatud sama tööpäeva jooksul, paraku antud kaasuse avastati rünnak alles 3 kuu pärast.

#2 kliendikaasuse puhul oleks meie turvatiim tuvastanud kerge vaevaga esmalt kasutaja e-postikonto parooli murdmise katsed (brute force) ja seejärel tuvastanud kahtlased logimised väljastpoolt Eestit. Taoline rünnak oleks OIXIO turvatiimi poolt nurjatud sama tööpäeva jooksul, paraku antud kaasuse avastati rünnak alles ~6 kuu pärast

Andres Vallistu
andres.vallistu@oixio.ee
Telefon +372 5628 5551

Küsi lisa:

Käesolevaga kinnitan, et olen tutvunud privaatsuspoliitikaga ning annan nõusoleku kasutada minu e-posti aadressi eesmärgiga saata mulle uudismaterjale. Olen teadlik, et mul on õigus nõusolek igal ajal tagasi võtta*