"Tegemist oli tõsiste intsidentidega," ütles Riigi infosüsteemi ameti (RIA) küberturvalisuse teenistuse juht Lauri Aasmann. "Tänaseks on olukord kontrolli all. Oleme nii avaliku kui ka erasektori partneritele andnud infot, mis aitab vähendada selliste rünnakute õnnestumise tõenäosust."

Riigi infosüsteemi amet (RIA) tuvastas novembris kolmel erineval juhul sarnase käekirjaga rünnakud kolme ministeeriumi vastu, kurjategijad said kätte ka isikuandmeid.

Küberrünnakud tabasid majandus- ja kommunikatsiooniministeeriumi, sotsiaalministeeriumi ja välisministeeriumi servereid, teatas RIA. Mõjutatud riigiasutused on koostöös RIAga tuvastanud, kuidas rünnak ellu viidi ning tegutsenud selle nimel, et piirata edasist andmete vargust. Kõigi kolme ründe käekiri on sarnane ning rünnati veebilehti majutavat serverit.

“Tegemist oli tõsiste intsidentidega,” ütles RIA küberturvalisuse teenistuse juht Lauri Aasmann. “Tänaseks on olukord kontrolli all. Oleme nii avaliku kui ka erasektori partneritele andnud infot, mis aitab vähendada selliste rünnakute õnnestumise tõenäosust. RIA jätkab küberintsidentide täpsema analüüsiga. Oleme suhelnud tarkvara loojatega ja praeguseks on turvanõrkustele paigad olemas,” lisas Aasmann.

Kurjategijate saagiks langesid terviseandmed

Majandus- ja kommunikatsiooniministeeriumipuhul õnnestus ründajatel ligi pääseda haldusala serveritele, millest mitme puhul tuvastati kuritegevusele viitavaid tegevusi. “See puudutas kokku 11 serverit, millele saadi ligipääs,” ütles riigi küberturvalisuse poliitika juht Raul Rikk. “Maanteeamet, Tarbijakaitse- ja tehnilise järelevalve amet, Lennuamet, Veeteede amet, Geoloogiateenistus,” loetles ta.

Kõige rohkem mõjutaski rünnak majandus- ja kommunikatsiooniministeeriumi haldusala asutusi. “Rünnakute tõsidusest hoolimata puudub praegu oht, et riigi teenused katkeksid. Oleme kaasanud olukorra lahendamisse IT-eksperte nii avalikust kui ka erasektorist. Esmased turvameetmed on rakendatud ja nüüd töötame nii MKM-i haldusalas kui ka riigi üleselt selle nimel, et sarnased rünnakud tulevikus ei õnnestuks,” ütles Raul Rikk.

Kätte saadi tema sõnul 350 gigabaidi ulatuses andmeid, millest lõviosa moodustasid vana dokumendihaldussüsteemi avalikud andmed. “Aga tõenäoliselt saadi ligi ka muudele andmetele, selles suhtes täpsustamine käib,” selgitas Rikk ja kinnitas, et riigisaladusega kaetud dokumente kindlasti lekkinud ei ole. “Nende töötlemiseks on täiesti eraldi süsteem.”

Välisministeeriumi puudutas rünnak kõige vähem ning Rikki sõnul saadi kätte üksnes veebiserveri haldamisega seotud kontode andmed.

Sotsiaalministeeriumi haldusalas õnnestus kurjategijatel ligi pääseda informatsioonile, mis puudutab 9158 inimest. Tegemist oli nakkushaiguste leviku asjaolude väljaselgitamisega seotud andmetega. Tervise ja heaolu infosüsteemide keskus (TEHIK) elimineeris ründaja juurdepääsu süsteemidele 8 tunniga.

Terviseamet koostöös TEHIKuga saadavad lähipäevil personaalse teavituse inimestele, keda juhtum puudutab. “Nende inimeste kaitseks me ei saa praegu kahjuks öelda, mis andmetega täpselt tegu on. Kuid kõiki neid isikuid teavitatakse terviseameti nimel personaalselt,” lubas TEHIK-u turvajuht Tõnis Komp.

“Praeguse seisuga on kõik tööprotsessid täiendavalt ülevaatamisel. Vaatame üle, kas meil on midagi kahe silma vahele jäänud, kas peaks midagi veel parandama, täiendama, et tagada süsteemide kvaliteet ja mõistagi ka ründekindlus,” rääkis Komp, kelle kinnitusel töötatakse vahetustega ööpäev läbi.

Eesmärk oli võimalikult palju andmeid varastada

Keskkriminaalpolitsei alustas kriminaalmenetlust seoses süsteemidele ebaseadusliku ligipääsu hankimisega. Menetlust juhib riigiprokuratuur.

Riigiprokurör Eleliis Rattam selgitas, et rünnakute uurimiseks on eelmisel kuul alustatud kriminaalmenetlus. “Me oleme tuvastatud juhtlõngu, mille suunas aktiivselt töötame, kuid detailse info avalikustamine selle kohta, mida õiguskaitseasutused on teada saanud, ei ole praegusel hetkel võimalik. Rünnaku läbiviijat tuvastatakse ja seetõttu peame hetkel arvestama ka võimalusega, et kogu avalikkusele antud teave võib jõuda ründajani, kellel on siis omakorda võimalik seda infot kasutada enda paremaks varjamiseks õiguskaitseasutuste eest,” täpsustas Rattam.

Rattami sõnul tehakse küberründaja tuvastamiseks aktiivselt rahvusvahelist koostööd. “Me ei saa öelda, millal intsidendid aset leidsid. Aga me alustasime kriminaalmenetlust novembris. Oleme aktiivses tõendite kogumise faasis ja me ei saa väga palju avalikult rääkida,” nentis Rattam.

Tema sõnul saab kinnitada, et tehakse aktiivselt tööd, et ründaja tuvastada, sealhulgas käib ka rahvusvaheline koostöö. “Praegu ole võimalik spekuleerida ründaja ja tema asukoha üle,” ütles Rattam, kelle sõnul tehakse koostööd mitme välisriigiga ning see on küllalt aeganõudev.

Keskkriminaalpolitsei küberkuritegude büroo juht Oskar Grossi sõnul on rünnaku motiiv ja toimepanija selgitamisel. “Peame tõenäoliseks, et ründaja eesmärk oli süsteemist võimalikult paljude andmehulkade kätte saamine, et nende sisuga tutvuda alles pärast ründe lõppu. Ründaja varastas ametiasutuste serveritest erinevat infot, mis ei ole seotud ühegi konkreetse valdkonnaga. Sellise rünnaku toimepanemine vajab keskmisest paremat teadmist infosüsteemides toimuvast, kuid teoreetiliselt saab sellise rünnaku korda saata ka üks inimene. Seda, kas praegusel juhul on tegemist ühe või mitme inimese ründega, on selgitamisel,” ütles Gross.

Grossi sõnul ei ole teada, mida varastatud andmetega edasi sooviti teha ja kuidas neid realiseerida.

RIA-l on praegu olemas esialgne info, kuidas küberrünnakuid toime pandi ning jagas seda avaliku sektori, sealhulgas kohalike omavalitsuste infoturbejuhtide ning elutähtsat teenust osutavate asutuste IT-kogukonnaga.