RIA küberturvalisuse aastaraamat: oli enneolematu ummistusrünnete aasta

«Tavapärastele hõlptulu otsivatele küberkurjategijatele lisandusid möödunud aastal poliitiliselt motiveeritud ründed, mille taga olid Kremli-meelsed häktivistid ja rühmitused. Samuti täheldasime, et kutsumata külalised uurisid Eesti küberruumis asuvaid veebilehti ja teenuseid tavapärasest aktiivsemalt,» kirjutas RIA oma aastaraamatus. 

Otsiti kõike, mis võimaldaks kutsumata külalisel kergemini sisse murda: kas kuskil on mõni turvaauk, oluline tarkvara jäänud uuendamata või midagi valesti seadistatud. Selline eelluurega kogutav info annab ründajatele hea ülevaate, kas ja kuhu tasub juba tõsisemate kavatsustega tagasi tulla. 

Üle saja korra suurem rünnetelaine kui pronkssõduri ajal

«Ennetamaks suure mõjuga intsidente ja vajadusel neile kiiresti reageerida, tegutseb RIA eelmise aasta jaanuarist tõstetud valmisolekus. Teisisõnu: kohandasime oma igapäevatöö muutunud ohupildile vastavaks,» rõhutas RIA.

Lisaks tõhustas amet ka tehnilisi kaitsemeetmeid, mida nad pakuvad riigiasutustele, sh kaitset teenusetõkestusrünnete vastu. «Nagu järgnenud kuud näitasid, kulusid need marjaks ära.»

«2022 tõi Eestile ummistusrünnete lained, mille sarnaseid pole me varem näinud. Rünnakute mahud olid kohati üle saja korra suuremad kui 2007. aastal, mil pronkssõduri eemaldamise järel idanaaber meie e-teenuste tööd ja selle kaudu igapäevaelu masspäringutega häiris. Viisteist aastat tagasi olid nad selles edukamad, eelmise aasta rünnakuid tavakasutaja enamasti ei märganud. Vahel toimis mõni oluline veebileht või teenus tavapärasest aeglasemalt või katkes selle töö lühikeseks ajaks, kuid suurem osa teenusetõkestusrünnakutest õnnestus tõrjuda nii, et avalikkus ei pannud tähelegi, et olulised lehed või teenused olid massiivse rünnaku all,» kirjutas RIA. 

18. oktoobril sattus riigikogu veebileht ründelaviini alla vahetult pärast Venemaa režiimi terroristlikuks kuulutamist.

RIA tõi näite 18. oktoobrist, kui riigikogu võttis vastu avalduse, milles mõistis hukka Ukraina territooriumi annekteerimise ja kuulutas Venemaa režiimi terroristlikuks. Sellele järgnes ummistusrünne riigikogu.ee vastu – ööpäeva jooksul tehti lehe vastu rohkem päringuid kui tavaolukorras 7,5 aasta jooksul. Lehe külastajad aga rünnakut ei märganud, sest tänu kaitsemeetmetele toimis see nii, nagu poleks midagi erilist juhtunud.

Kui tavapärasel ajal registreerib RIA alla kümne märkimisväärse ummistusründe kuus, siis 2022. aasta aprillis 25, augustis 66, novembris 43. Kaheteistkümne kuuga kogunes neid 302, mis tähendab aasta võrdluses neljakordset kasvu. Neist mõjuga rünnakuteks luges amet sadakond.

«Cloudfare’i andmetel olime 2022. aasta teises kvartalis rakenduskihi vastu suunatu ummistusrünnete arvu poolest maailmas 7. kohal. Taustaks teadmine, et rahvaarvu poolest asume 150 piirist allpool,» selgitas RIA. 

Sihikul valitsusasutuste, transpordi ja meediaga seotud veebilehed

Ameti hinnangul olid ründajate lemmiksihtmärgid ootuspärased: valitsus.ee, riigikogu.ee, president.ee, eesti.ee, politsei.ee, id.ee. Ent ka sihiti näiteks transpordisektorit ja meediaettevõtteid. 

«Kui varasematel aastatel nägime teenusetõkestusründeid, mille taga oli rahaline motivatsioon (maksa, muidu ründame suurema mahuga ja kauem!), siis mullu olid enamiku ummistusrünnete taga Kremli-meelsed häktivistid, kes sel moel oma rahulolematust väljendasid. Küll pahandas neid Narva tankimonumendi teisaldamine,  küll ei meeldinud Vene telekanalite edastamise peatamine ega meie toetus Ukrainale,» kirjeldas RIA. 

Kui 2021. aastal olid ummistusrünnete sihtmärgiks sageli ka õppeinfosüsteemid ja koolid, siis eelmisel aastal nägi RIA neid varasemast vähem. Nende rünnete ajastust ja käekirja vaadates võib arvata, et enamasti olid nende taga õpilased ise.

«Esimene intensiivsem ummistusrünnete laine tabas Eestit aprillis – samal ajal, kui Tallinnas käis rahvusvaheline küberjulgeolekuõppus Locked Shields. Rünnati nii transpordiettevõtete kui ka riigiasutuste veebilehti. Ründajatel õnnestus mõni rünnaku alla sattunud veebileht muuta maksimaalselt kuni paariks tunniks kättesaamatuks, laiem mõju puudus,» kirjeldas RIA. 

Augustis tabas Eestit järgmine suurem DDoS-rünnakute laviin. Sel kuul tehti rekordilised 66 ummistusrünnet – üle 16 korra rohkem kui 2021. aasta samal ajal. Peamiselt sihiti avaliku sektori veebilehti, lisaks transpordi- ja finantssektorit. RIA hinnangul oli rünnakute suur hulk ilmselt seotud Narva punamonumentide teisaldamisega. Enamikul rünnakutel polnud nähtavat mõju. Pärast augustit rünnakute hulk stabiliseerus ja jäi iga kuu paarikümne juurde.

Lisaks nägid nad ka seda, et teatud poliitiliste otsuste või sõnavõttude järel algasid taas DDoS-rünnakud. Näiteks 18. oktoobril sattus riigikogu veebileht ründelaviini alla vahetult pärast Venemaa režiimi terroristlikuks kuulutamist.