Kas kakukaamera või ukseandur toob ka meie oma Colonial Pipeline?
Kogu maailmas sai hiljuti palju meediatähelepanu suur küberrünnak Ühendriikides, kus ühe suurima sealse energiaettevõtte 9000 kilomeetri pikkune torujuhe oli ligi nädal rivist väljas. Olukord meenutas Eestit taasiseseisvumise alguses - ülipikad tanklajärjekorrad, piiratud kütusekogus või lihtsalt silt kirjaga "No fuel" ehk "Kütust ei ole". Kütusetransiit küll viimaks taastati ja selleks kulus (väidetavalt) 5 miljonit dollarit lunarahana. Ent tegu on ka väga väärtusliku ja ilmeka õppetunniga sellest, milliste küberohtudega võime olla silmitsi me kõik – ka siin Eestis. Kas siis eraisiku, ettevõtja või ka mõne avalikku teenust pakkuva asutusena.
Tõsi, sedavõrd suuremahuline otserünnak ohustaks meie mastaabis pigem väga suurte ettevõtete/organisatsioonide sihtimist küberkurjategijate poolt - olgu siis suunatult või ka automatiseeritud õngitsemisega (phishing). Ning eks ettevõtted jõudumööda ka küberturbega tegelevad, eriti just selliste kõnekate ja laialdast tähelepanu saanud juhtumite valguses. Kuid siin on üks AGA, millele kiputakse tihtipeale kas mugavusest või ka teadmatusest läbi sõrmede vaatama ning mis kujutab endast märkimisväärset ohtu - nii meile eraisikutena, aga ka ettevõtete või avaliku sektori organisatsioonide toimimisele.
Selleks agaks on – asjade internet. Paljukiidetud ja -kõneldud IoT, millest oodatakse mõnes kontekstis päris tihti justkui mingit tuleviku messiast. Kuid tegelikult on asjade internet meie kõigi ümber juba täna olemas ning seda tegelikult palju aastaid. Kodu- või kontoriprinter; valve-, ilma- või kakukaamera; erisugused infot edastavad tootmisseadmete andurid; targa kodu seadmed; beebimonitorid; Alexa, Google Home, Apple HomePod; nutitelerid, nutikell, kaugjuhitav saunakeris jne jne – iga seade, mis on internetis, ongi "asjade internet".
Kui mina, minu pereliige või töökaaslane pääseb sellisele seadmele ligi, siis üldistatult öeldes pääseb sellele ligi igaüks. Õigemini – võib pääseda igaüks ja teha sellega midaiganes, sealjuures väga palju pahandust.
Kurja juur - tehaseseaded
Mõelgem korra sellele, kui palju me oleme tavaliste inimestena oma koduste seadmete tehaseseadeid muutnud? Tänapäeval muidugi enam ei ole võrku ühendatava seadme administraatori kasutajanimi vaikimisi ilmtingimata admin ja salasõna 123456. Mistap me reeglina ju neid superligipääsu andmeid ka ei muuda.
Või võtame mõne vanema seadme, sedapuhku ettevõtluse vallast. Oletame, et mõni tootmisettevõte on ca 4-5 aasta eest teinud tuntava - näiteks 30 000-eurose - investeeringu mingisse protsessi osa automaatikasse. Pole võimatu, et ta töötabki oma algseadetega tänaseni. Õigemini see on pigem tõenäoline – mitte, et kasutaja ei hooliks, vaid et seade on kõik see aeg töötanud probleemideta. Mistõttu pole olnud põhjust seda "näppida". Ega me ju oma koduste ruuterite-printerite superligipääse pole ülemäära sagedasti muutnud, kui üldse.
Ent ka keerukamad tehaseseaded ei ole pahalastele probleemiks. Just hiljuti pandi ühes häkkerite keskkonnas müügiks fail ca 600 tootja seadmete vaikimisi kasutajanimede ja salasõnadega. Iseenesest polnud need andmed isegi tõenäoliselt kurjal teel saadud, kuna kõigil tootjatel - a la Samsung, Sony, Dell, Hikvision jne jne - on kasutusjuhendid täiesti vabalt netis saadaval. Lihtsalt nüüd leidus keegi, kes kammis väga suure hulga neid läbi ja pani sealt leitud ca 40 000 (!) toote kasutajanimed ja paroolid müügiks. Hinnaks tühine 250 000 eurot ...
Nüüd võiks ju küsida, et mis mul ikka juhtuda saab ning ega mind eraisikuna või maailma mastaape arvestades väikese ettevõtte juhi-omanikuna see puuduta. Eks rünnatakse ju ikka Colonial Pipeline-suguseid suuri tegijaid, kellelt miljoneid lunarahana nõuda.
Otsapidi on sel loogikal muidugi alust. Ligipääs minu kodu või laoplatsi valvekaamerale esmapilgul ei vääri küünlaid. Küllap polegi, kui oled igati ontlik ja seadusekuulelik inimene. Ent siin on – taaskord – üks suur AGA.
Selle aga nimi on protsessor. Igat seadet, millel on protsessor ja mis on ühendatud võrku, saab panna tegema "asju". Üks pool on nt häiringud - a la valvekaamera video transleerimine kogu maailmale ja sinu kodust-ettevõttest "kakukaamera" tegemine.
Teine ja tõsisem on võimalus häirida mingit protsessi - markantseim ja värskeim näide ongi Colonial Pipeline, millele ligi pääseti arvatavasti õngitsedes, kuid töö peatamises oli üsna suure tõenäosusega oma roll mingil IoT seadmel, mille üle pahalased kontrolli said. Kui seda üritada mastaabilt meile veidi arusaadavamaks tuua, siis võtame näiteks mõne keskmise suurusega tootmisettevõtte ükskõik millises Eesti nurgas. Kui pahalased pääsevad su asjadele ligi, siis satuvad ohtu nii su tundlikud andmed, tootmis- ja kliendiandmed jne. Aga on oht ka, et löögi all on töökohad, kui näiteks õnnestub peatada masinate töö. Just nii juhtus eelmise avalikuks tulnud suure taristurünnakuga 5. veebruaril ühele Florida veepuhastusjaamale, kui rünnaku käigus anti seadmetele korraldus lisada naatriumhüdroksiidi tavapärasest 100 korda enam. Õnneks märkas võõrast tegevust puhastusjaama operaator ja peatas koheselt jaama töö.
Minust saab – botnet
Kuid on ka kolmas ja peidetum aspekt. Sinu kaaperdatud seade ei pruugi sulle endale mitte midagi teha, ehkki ühel hetkel tõenäoliselt su andmeid ikka krüpteerida ja nende eest luna nõuda üritatakse. Küll aga võidakse see muuta väikeseks kurjaks botnetiks, kes saadab sinu IP-aadressilt laiali spämmi, paha- ja õngitsusvara, osaleb DDoS-rünnakutes jne. Rohujuuretasandil tähendab see, et sinu IP-aadress võib parimal juhul lihtsalt musta nimekirja sattuda. Sa ei saa oma tööd teha, meile välja saata või kui ka saad, oled spämmikaustas jne. Halvemal aga ka lisasekeldusi ametivõimudega kaasa tuua.
Nüüd aga jõuame tagasi uuendamata tehaseseadete juurde. On tõsi, et ühe või kahe ehk minu ja sinu seadmega arvestatavat rünnakut kellegi vastu ei korralda. Ent peame arvestama, et pahalaste mootorid kammivad pidevalt mööda internetti ringi ja otsivad "auke", justkui kultusfilmi Matrix seirerobotid Sentinelid, arsenalis kümnete tuhandete seadmete ligipääsud.
Nii võibki mõni sinu kodusest või kontoris asuvast seadmest olla vaid üks kümnest-kahekümnest tuhandest ning anda seeläbi oma väikese, kuid siiski tuntava panuse mõnele järgmisele suurrünnakule, mis võib väga palju pahandust tekitada ja nii ühiskondlikult kui rahaliselt väga kalliks osutuda.
Kuidas end kaitsta?
Esimene samm peaks olema eelneva põhjal iseenesestmõistetav - vaata kohe üle kõik oma võrku ühendatud seadmed kodus ja kontoris ning muuda seal ära tootjapoolsed kasutajanimed-salasõnad. Ühtlasi kontrolli, kas sul on peal automaatne tarkvarauuendus ning kui ka on, vaata, kas sul ikka on ka kõige värskem tarkvara. Eks meist paljud ole arvutites-telefonides tarkvarauuendusi edasi lükanud, kuna see võib olla omajagu tüütu. Ent kui teinekord süveneda uuenduse selgituse puhul tekstile "What's new", siis 9 juhul 10 on seal ka viide parandatud turvalisusele ühes või teises aspektis. Sestap tuleb tunnistada - tootjad ei tee oma uuendusi lihtsalt lõbu pärast, vaid ikka kindlatel põhjustel.
Teine samm, ennekõike töökohtades - vaata, kas oleks otstarbekas luua spetsiaalsed DNS-tsoonid, et minimeerida igaühe ligipääsu absoluutselt kõigele. Ja loomulikult varukoopia kõigest vajalikust.
Kui me aga räägime elementaarsest kaitsest ettevõttele, siis kõik eelnev on küll vajalik, ent tegeliku kaitse annab tulemüür. Tõsi, see võib tunduda üleliigse kuluna, eriti väiksemale ettevõttele. Kuid pannes selle kaalukausile võimalike ohtudega ja statistikaga, mille kohaselt 99% "pihtasaavatest" ettevõtetest ei ole suurkorporatsioonid, siis olenemata ettevõtte suurusest ei tohiks siin tegelikult valikuküsimust olla.
Korralik "lukk" oma seadmetele
Eelnev on aga vaid nö vundament, mis peaks niiehknaa olema. Mõnevõrra klišeelikku näidet tuues – kasutajanimede-salasõnade muutmine ja tarkvarauuendused ning tulemüür on nagu majauks, millel on tavaline ukselukk. Selline, mis küll ust lukus hoiab, aga mille võtmest saab lukksepa juures kerge vaevaga varukoopia teha. Täiendava kaitse ja meelerahu saamiseks aga valime kodus ju pigem unikaalse turvaluku, mis annab suurema kaitse.
Et oma võrguseadmetele panna korralik "turvalukk", on mõistlik läbi viia küberturbe audit. Mis seadmed üldse võrgus on, kes mida kasutab, kellel on millised ligipääsud, mis seadmed milliseid andmeid välja saadavad ja kuhu. Ning mida rohkem seadmeid võrku läheb, olgu nendeks kasvõi süütuna näivad seadmed á la kontori sisevõrguga ühenduvad töötajate nutikellad, seda olulisem on kõik kitsaskohad kaardistada. Ja auditi baasil juba vastavad lahendused planeerida.
Häirekell riigisektorile
Viimasel ajal on üsna palju avalikkuses kõneldud erinevate avaliku sektori organisatsioonide ja asutuste IT-arendustega seonduvast, sh ka mitmesugustest probleemidest, mis IT-süsteemide arendamise ja haldamisega seotud. Enamasti on kitsaskohtadeks olnud olemasolevate süsteemide täiendamine mõne uue funktsionaalsuse näol, olgu kõige värskema näitena toodud välja vaktsineerimisejärjekorra broneerimisüsteemi liitmine Digilukku ning sellega kaasnenud ülipikad ootejärjekorrad.
Kuid vähem on kõneks olnud aspekt, mis puudutab juba olemasolevate süsteemide haldust. Sageli on mitmesuguste IT-süsteemide puhul praktika selline, et (riigi)hankega tellitakse üsna kulukate ja keerukate süsteemide arendus sisse, kuid ühel hetkel - kolme, nelja või ka viie aasta pärast - saab hange nö "täidetud" ja jääb siis oma elu elama.
See tähendab, et tänaseks võivad nii mitmedki vaikides taustal töötavad süsteemid olla küll töökorras, ent tänaste küberohtude valguses moraalselt vananenud. Paralleelina võib tuua taas Oldsmari veepuhastusjaama juhtumi Floridas, kus kasutusel oli tänaseks täiesti iganenud Windows 7 operatsioonisüsteem, mis oluliselt lihtsustas ründajatele ligipääsu süsteemile. Samamoodi vajavad ka meie riigi ja muud avaliku sektori IT-süsteemid kriitilist küberturbe auditit, et vältida olukordi, kus me süsteemid on rünnatavad ja andmed haavatavad. Olgu siis rahaliselt või ka geopoliitiliselt motiveeritud ründajatele.
Mihkel Kägo, Elisa küberturbe lahenduste insener