Küberrünnak pani 10 aastat tagasi riigikogus korraga kõik telefonid helisema

Küberrünnakud algasid samal neljapäeva õhtul, 26. aprillil 2007, kui Tõnismäelt linna valgunud märatsev rahvamass oli peksmas puruks Tallinna kesklinna kauplusi ja kõrtse. Priisalu oli jõudnud just läbi rahutu kesklinna Toompuiesteel asuvasse koju, kui talle helistas Riigi Infosüsteemide Arenduskeskuse (praegune Riigi Infosüsteemi Amet, RIA - toim.) küberintsidentide osakonna CERT juht Hillar Aarelaid ja teatas Eesti vastu alanud massiivsest rünnakust läbi arvutivõrkude. Aarelaid kutsus appi küberrünnakuid tõrjuma IT-spetsialiste, kes omakorda kaasasid oma tuttavaid entusiaste.

Järgnesid pingelised nädalad Eesti riigiasutuste ja pankade arvutivõrkude kaitsel. Kui riigiasutuste vastu suunatud küberrünnakud hakkasid tasapisi vaibuma, algas 10. mail uus massiivne rünnakutelaine, seekord pankade vastu. Aastatel 2011-2015 Riigi Infosüsteemi Ametit juhtinud Priisalu laiab, et Eesti väljus kübersõjast väärtusliku kogemusega ning kogu maailma suhtumine küberohtudesse oli muutunud.

Kuidas te saite teada Eesti vastu alanud küberrünnakutest?

Elasin sel ajal kesklinnas, olin käinud söömas ja jõudsin just läbi politseiahelike koju, kui helistas Hillar Aarelaid ja teatas küberrünnakute algusest. See, mis samal ajal tänavatel toimus, oli päris õudne, tänavatel keerati autosid katusele ja kauplusi pandi põlema. Samal ajal algasid rünnakud presidendi, riigikogu, valitsuse, politsei arvutivõrkudele, pihta sai kõik, mis omas vähegi sümboolset väärtust. Läksin kohe tööle Liivalaia tänavale Hansapanga peamajja, seal oli õnneks rahulik ja kesklinnas toimuv lõhkumislaine sinna ei jõudnud. Esimese asjana panime paika juhtimisrutiini, et küberrünnakutega võidelda.

Mida konkreetselt Eestis rünnati?

Kui rünnakud käivad läbi telekommunikatsioonivõrkude, siis tekivad kõikjal ebastabiilsused. Mingi trikiga helistati korraga kõigile riigikogu telefonidele, nii et kõik avalikult teada olevad telefoninumbrid praktiliselt ei töötanud. Ma ei tea, kuidas seda tehti, see jäi tuvastamata, kas see oli war dialing või olid need päris inimesed, kes helistasid korraga kõigile teadaolevatele riigikogu numbritele. (War dialing tähendab, et arvutiprogramm helistab automaatselt korraga kõigile etteantud telefoninumbritele – toim.) Selle tulemusel ei olnud võimalik riigikogus telefone kasutada. Riigiasutuste arvutivõrke rünnati hajutatud teenusetõkestamise rünnetega, kuid teisi nii markantseid juhtumeid praegu ei meenu.

Kuidas teenusetõkestusrünnak toimub?

Distributed Denial-of-Service Attack (DDoS) ehk teenustõkestusrünnak tähendab, et üheaegselt tehakse paljudest arvutitest päringuid ja tüüpiliselt koormatakse välisühendus üle. Selliste rünnakute puhul on filtreerida raske, kuna ühe IP-aadressi kinnipanemisega ei saavutaks midagi. Rünnakute sooritamiseks kasutati botnete ehk sisuliselt üle maailma asuvaid varastatud arvuteid, mille üle küberkurjategijatel kontroll oli.

Kuidas küberrünnakutega tõrjumine reaalselt välja nägi?

Me panime filtreid peale ja valisime kellega me üldse võrgus suhtleme. Filtreid tuli panna nii kaua, kuni nad töötama hakkasid. Iga situatsioon on erinev ja igal juhul pidi rakendama erinevaid meetmeid, sellist asja pole olemas, nagu denial service attack for dummies. Küberrünnakute puhul tuleb alati arvestada sellega, et sul on mõtlevad inimesed vastas ja iga juhtum on erinev. Filtrite panemisel alustasime nendest võrkudest, mida sa tead, et suudad kontrollida ja seejärel järjest laiendad filtreid sinna, kus su kliendid on.

Kui kaua küberrünnakud kestsid?

Suurem pauk oli 3-4 nädalat. Riigiasutuste vastu suunatud küberrünnakud said alguse 26. aprilli õhtul. Mõne nädala pärast hakkas riigiasutuste ründamine vaibuma, kui 10. mail tuli uus laine ja seekord rünnati pankasid. Meil Hansapangas algas rünne 10. mail kell 9.42. Esimese reaktsiooniga läks meil aega umbes 90 minutit, enamik aega sellest kulus inimestele selgitamiseks, et nüüd on eriolukord ja tavareeglid ei kehti. Me olime sellist asja enne harjutanud ja kogu pank läks kriisirežiimi. Kui palju küberrünnakud pangale kahju tekitasid, on keeruline öelda, kuna võrkude ründamise puhul tekib alternatiivkahju ehk saamata jäänud tulu. Ega keegi meilt raha ei varastanud, see on samamoodi, kui sa organiseerid panga ukse ette summa inimesi, kes seal lihtsalt tunglevad nii, et kliendid kontorisse sisse ei saa, siis see ei tähenda, et see rahvasumm mingil moel raha varastaks. Põhiline kahju tekkis sellest, et äri- ja IT-arenduseprojektidelt võeti ressurss maha ja pandi küberrünnakute tõrjumisega tegelema. Kõik tehtud plaanid läksid allavett. Võrdluseks võib tuua, et vahepeal olid teenustõkestusrünnakute kõige popimad sihtmärgid kihlveosaidid. Kui sa ei saa hobuste võiduajamise ajal diile teha, siis võid arvestada, kui palju sul raha saamata jäi selle tõttu, et kliendid ei saanud ligi.

Millal küberrünnakud lõplikult läbi said?

Oleneb sellest, mida lugeda rünnaku lõpuks. Kui ma 2007. aasta jaanipäeva paiku puhkusele läksin, siis mingid botid veel tiksusid, kuid rünnakute intensiivsus oli jäänud väikeseks. Ilmselt võeti botnetid Eesti pankade ründamise pealt lihtsalt maha või andsid haldajad neile uued ülesanded.

Rünnakute ajal kirjutas kogu maailma ajakirjandus Eesti vastu suunatud küberrünnakutest, miks see sündmus maailma mastaabis nii oluline oli?

See sündmus oli oluline maamärk, kuna rünnakud olid nii massiivselt riigi vastu suunatud ja selgelt oli see tänaval alanud rahutuste saatesündmus. Konflikti oli küberruumis ka varem nähtud, Hiina ja Ameerika Ühendriigid tõmblesid WTO läbirääkimiste käigus omavahel ja Iisraelis käib kogu aeg mingisugune tsirkus. Aga sellist massiivset rünnakut eesmärgiga terve riik maha võtta, ei oldud enne nähtud. Maailma ei muutnud mitte küberrünnakud ise, vaid see, kuidas Eesti poliitikud asja käsitlesid. Nad julgesid öelda, et me saime pihta. Enne seda oli küberrünnakutest rääkimine põlastusväärne tegevus, keegi ei julgenud sellest avalikult rääkida. Küberrünnakud avasid rahvusvahelise diskussiooni ja selles valdkonnas hakkasid tekkima riikidevahelised kokkulepped. Alles pärast seda tekkis arusaam, et NATOl on ka kübervaldkonnas oma roll. Kui vaadata edasisi arenguid, siis kasutas Venemaa seda ka 2008. aastal Gruusia sõjas. Kui Eesti vastu suunatud küberrünnakud kaasnesid tänavatel toimunud mäsuga, siis aasta hiljem olid küberrünnakud seal selgelt koordineeritud sõjalised operatsioonid.

Kuigi on selge, et küberrünnakute taga oli Venemaa, siis kas selle kohta on olemas ka reaalsed tõendid? Veebis jääb teatavasti igast tegevusest mingi jälg maha.

Kõige parem reaalne tõend on see, et Venemaa keeldus korduvalt täitmast riigiprokuratuuri õigusabipalveid. Eestil on Venemaaga president Boriss Jeltsini ajast parem õigusabileping, kui enamiku Euroopa Liidu liikmetega. Politsei selgitas välja Venemaal elavad inimesed, kellega oleks tahtnud küberrünnakutest rääkida, prokuratuur esitas õigusabipalve kolm korda, kuid Venemaa vastas iga kord, et õigusabileping millegipärast ei tööta ja ei saa aidata. Venemaa asus oma inimeste kaitsele. Kui sa pätte varjad, siis sa võtad sellega vastutuse. Eesti politsei tegi väga head tööd, et nende Venemaal elavate inimeste nimed teada saada. Botneti arvutid asuvad küll üle maailma laiali, kuid alati on keegi, kes rünnakuks käsu annab.

Kas küberrünnakutega Eestile tekitatud kahju saab rahas mõõta?

Ma ei tea, mis see kahju oli. Selleks peaks finantseerima uuringut, inimesed peavad tegema selleks tööd. Sellist uuringut ei ole tehtud.

Mida Eesti küberrünnakutest õppis?

2007. aasta küberrünnakud oli meie jaoks nii probleem, kui ka võimalus ja me kasutasime oma võimaluse ära. Eesti inimestel on praegu privileeg elada keskkonnas, kus infosüsteemide terviklikkus midagi tähendab. Me oleme küberrünnakuteks paremini valmis kui enamik inimesi maailmas. Meil läks hästi ja me pöörasime küberrünnakud enda jaoks kasuks.