Pauk käis ära: kuidas küberrünnakust taastuda?

17.04.2023

Käis pauk, ettevõte sai pihta, toimus küberrünnak. Hoolimata sellest, kas teenustõkestusrünnak muutis kättesaamatuks teenused, krüpto-lunavara krüpteeris ettevõtte kõige olulisemad andmed, või läksid jalutama tundlikud kliendiandmed, on Elisa tootejuhi Kristjan Kuru sõnul järgmised sammud kriitilise tähtsusega, et edasisi ohte piirata ning tagada, et intsidendist saaks välja tulla nii väikeste kahjudega kui võimalik.

Ükski küberrünnak pole meeldiv, kuid kui see on toimunud, on see toimunud. Küll aga ei tähenda rünnaku avastamine seda, et lugu ongi lõppenud. Pärast esmast pauku on käes kõige kriitilisemad hetked, kus tuleb üritada taastada ettevõtte töö, mõista kahju ulatust ja probleemide sügavust ning jõuda välja punkti, kus valusast õppetunnist õppida.

Iga rünnak on omanäoline ja kahju sõltuvalt ettevõtte olemusest ja varasemast ettevalmistusest erinev, kuid tihti on sammud, mida järgmisena ette võtta, üsnagi sarnased. Seda vähemasti täna kõige sagedamini asetleidvate rünnakute puhul. Pärast rünnaku toimumist on väiksemaid ja suuremaid vajalikke tegevusi kümneid, kuid kunagi ei saa tähelepanuta jätta viit peamist.

Mõista, mis on juhtunud

Selleks, et hakata üldse millegagi tegelema, on esmalt vaja mõista, mis on juhtunud. Erinevaid potentsiaalseid viise ettevõtet rünnata on sadu, kuid täna on ühtedeks levinumateks ründevektoriteks teenustõrkerünnakud (DDoS), krüpto-lunavara ja andmete vargus. Neist esimest kaht on võimalik tuvastada üsnagi lihtsalt, näiteks märgates, et teenused on muutunud kättesaamatuks või vaatab arvutisse sisse logides vastu lunarahanõue. Andmete varguste tuvastamine võib aga olla märksa keerukam.

Parimal juhul suudavad kaitsemehhanismid muu põrumisel vähemalt märku anda, et andmed on jalutama läinud, hullemal juhul tuleb see ilmsiks hetkel, mil need mustal turul müügile paisatakse. Mõlemal juhul on aga oluline mõista, täpselt mis ja kust on varastatud, milline on lekke ulatus ja kui ulatusliku probleemiga tegu on. Ei saa küll kunagi täiesti kindel olla, et omad olukorrast täit pilti, kuid vähemalt mõõduka ettekujutuse omamine on järgmiste sammude jaoks vajalik.

Taasta teenuste töö

DDoS-rünnakute puhul on harilikult esmaseks eesmärgiks peatada rünnak ise, võttes kiiremas korras kasutusele uued tööriistad, või muuta enda või teenusepakkuja tulemüüris kiired muudatused, mis päringute laviini peatab. Kui rünnak peatatud, võivad osad süsteemid vajada taaskäivitamist ning käiku tuleks võtta püsivamad turvameetmed. Märksa keerulisemad on asjad aga lunavararünnakute puhul, kus soovitud koguse Bitcoini maksmata jätmisel ähvardatakse jätta ettevõtte andmebaasid krüpteerituks – muutes nii normaalse äritegevuse võimatuks – või need avaldada.

Ideaalis tuleb sel juhul appi varukoopia, mille abil saab praeguse krüpteeritud süsteemi taastada viimasele töötavale versioonile. Kui see varukoopia aga mingil põhjusel puudu on – või krüpteeriti ka see – on olukord üsna täbar. Sellises olukorras tuleks võimalusel protsessi kaasata eksperdid, kas avalikust sektorist või erasfäärist, ning üritada mõista, mida saaks teha, on olukord lahendada. Kõige ekstreemsemates oludes tuleks ka kaaluda võimalust, kas nakatunud äri osa oleks võimalik kõikide muude võimaluste ammendumisel uuesti üles ehitada.

Lunaraha maksmine on midagi, mis peab jääma iga ohvri enda südametunnistusele. Ühteaegu on mõistetav, et oma vara soovitakse tagasi, teisalt toidab iga uus makse kuritegeliku organisatsiooni tegevust. Ühel pool on kaalukausil äriline toimepidevus, teisel pool eetika ja moraalinormid. See, kumb pool on kaalukam, on midagi, mida saavad otsustada vaid ettevõtte juhid.

Lapi esmased augud

Kui teenuste normaalne töö on taastatud – või isegi selle tegevusega paralleelselt – tuleks hakata otsima eduka rünnaku juurpõhjuseid. Mõneljuhul on see lihtne. Näiteks kui ettevõtet tabas teenustõrkerünnak, mille läbiviimine ei eelda ligipääsu ettevõtte süsteemidele, on selge, kuidas see toimus. Harilikult on üsna lihtne ka oletada, miks just konkreetne ettevõte ründe ohvriks langes. Teistel juhtudel tuleb aga näha rohkem vaeva, et mõista, kuidas sai edukas rünnak üldse toimuda.

Krüpto-lunavara rünnakute puhul on harilikult ründe lähtekohaks mõne töötaja poolt hooletult avatud fail, veebileht, või uuendamata süsteem, mille kaudu oli võimalik pahavara süsteemis käivitada. On oluline mõista, kes ja millisel viisil pahalase tuppa lasti. Seda kindlasti mitte selleks, et süüdlast karistada, vaid et mõista, kas sarnane oht varitseb ka teisi töötajaid. Mõistes probleemi tuuma saab juba hakata otsima lahendusi, kuidas tulevikus sarnaseid olukordasid vältida, olgu lahenduseks koolitused, rangemad turvamehhanismid, või hoopis midagi muud.

Kui jalutama on läinud andmed, on harilikult ründe täpse toimumise viisi leidmine kõige keerukam. Tihti on asja juures raskendavaks olukorraks seegi, et lekke täpse toimumise hetke võib olla keeruline mõista. Pädev IT-personal peaks olema suuteline aga logide, tuntud turvaaukude ning lekkinud andmete täpse iseloomu toel lekke alguspunkti leida.

On kriitiline, et õhku ei jääks oletusi. Lekke põhjused on tarvis leida. Neid teadmata on võimatu rakendada vajalikke muudatusi, et tulevasi edukaid rünnakuid vältida.

Mõista probleemi sügavust

Turvaaukude lappimise kõrval on oluline ka mõista, kui sügavale probleemi juured ulatuvad. See, et jalutama läksid mingid konkreetsed andmed, või krüpteeriti hetkel ära mingi osa ettevõtte IT-süsteemidest, ei tähenda, et sellega asjad piirduvad. Pahavara võis lisaks andmete krüpteerimise need ka kopeerida ja kuskile levitada. Hetkel võisid lekkida andmestikud X ja Y, kuid pahalased võisid tee peal kaasa haarata ka andmed A ja B. On oluline mõista, kui ulatusliku probleemiga tegu on.

Niisamuti tasuks kindlaks teha, et turvaaukude lappimisel ja süsteemi kontrollimisel saavad kõik probleemide alged välja juuritud. Nutikalt loodud pahavaralahendused on tihti kui prussakad – kui nad on korra sisse saanud, võivad need endale mõnda süsteemi nurka pesa ehitada ja seal vaikselt elutseda. Täieliku kaitse saavutamiseks on oluline tagada, et puhtaks on pühitud kõik praod. Siinjuures tulevad appi erinevad viirusetõrjelahendused, konkreetse pahavara käitumise kohta varasemalt kogutud andmed ja julgus kõik veidigi kahtlane likvideerida.

Õpi

Küberrünnak võib olla laastavate tagajärgedega, seda nii majanduslikult kui ka mainekahju tõttu. Kui aga läheb õnneks ning rünnak suuremate kahjudeta üle elatakse, pole enam teha muud, kui äsjajuhtunust õppida. Kõva kooliraha sai just makstud, vähim, mida nüüd teha, on ründest saadud õppetundidest kasu lõigata. Võiks küll arvata, et välk kaks korda samasse kohta ei löö, kuid küberrünnete puhul see paika ei pea.

Mõista, miks ja milliste vigade tõttu edukad rünnakud juhtusid, analüüsi, millised protsessilised lähenemised ja küberturbelahendused oleks aidanud olukorda ennetada, mõista, millised võivad olla teisedki potentsiaalselt ettevõtet ohustavad ründevektorid ja taipa, et midagi tuleb muuta. Kui ettevõte endiselt tegutseb, läks õnneks. Järgmine kord ei pruugi enam sama hästi minna. Kasuta seda võimalust ära ja tee vajalikud muutused.

Seotud märksõnad
IT ekspert
Uus Elisa Elamus ja Huub Mine vaatama
Vanemad TV-teenused
Liitumised enne 10.08.2021
Mine vaatama
Vanemat TV-teenust saab veebis vaadata kuni 31.05.2024. Kui soovid ka edaspidi TV-d veebis vaadata, liitu Elisa Elamusega!