RIA proovib kübersõjas uusi kaitserelvi

Küberõppus.
Küberõppus. Autor/allikas: Rene Suurkaev / ERR

Riigi infosüsteemi amet on kübermüüride tihendamiseks appi võtnud nii preemiarahad headele häkkeritele kui ka oma rünnakumeeskonna, mis on seni pääsenud kõigi testitud asutuste võrkudesse.

Alates märtsist, kui riigi infosüsteemi amet häkkeritele preemiat hakkas maksma, on raha saanud kuus inimest. CERT-EE osakonnajuhataja Tõnu Tammeri sõnul on neil turvanõrkuste otsijatele kindlad reeglid. Nii näiteks ei tohi korraldada teenustõkestusrünnakut või saata õngitsuskirju. Pigem ootab RIA, et häkkerid otsiks veebilehtedelt nõrkusi, mis lubavad süsteemi sisse saada või kasutajate andmeid varastada.

"Kui inimene selle nõrkuse leiab, paneb ta ilusti kirja, mida ta tegi, et ka meil oleks võimalik seda viga korrata," selgitas Tammer. "Siis vaadatakse need raportid loetud tundide jooksul üle ja üldiselt toimuvad ka väljamaksed loetud päevade jooksul."

Seni on leitud lihtsamaid vigu, mis suurt ohtu ei kujuta. Nende eest on makstud 250 eurot. Kõige kriitilisemate nõrkuste eest on RIA valmis maksma kuni 3000 eurot.

"Kriitiline nõrkus tähendab näiteks sellist, mille abil on võimalik saada autentimata ligipääs kellegi andmetele või panna süsteem jooksutama pahatahtliku koodi," ütles Tammer. 

Häkkerid otse RIA-ga kokku ei puutu. Kogu asjaajamine käib läbi spetsiaalse Hackerone'i platvormi. Sama platvormi kasutavad paljud riigid, aga ka suurfirmad nagu Lufthansa ja Microsoft.

Praegu saavad selle süsteemi kaudu RIA-le vigadest teata anda valitud häkkerid. Tammer palub neil, kes soovivad programmis osaleda, RIA-le kirjutada. Tulevikus soovitakse programmiga ka päris avalikuks minna, aga siis, kui on kindel, et häkkerite tööriistad süsteeme üle ei koorma.

"Kui hästi mitu häkkerit hakkab korraga toimetama, siis süsteem puhtalt testimise all ei pruugi vastu pidada," selgitas Tammer.

RIA maksab hetkel ainult nende vigade eest, mis on leitud nende hallatavatest süsteemidest. Tulevikus soovitakse programmi laiendada, kuid enne maa-ameti infosüsteemi või näiteks e-tervise punti võtmist tahab RIA need oma tööriistadega üle vaadata. Tammeri sõnul pole mõtet maksta vigade eest, mille RIA ise üles leiaks.

"Kui me praegu oleme niimoodi pisteliselt seiranud, siis me näeme, et vajadus sellise täiendava filtri järele on ilmselt olemas," sõnas Tammer.

Riigi arvutivõrkudesse saab ligipääsu viisakalt küsides

Teine programm, punane tiim, on aga kokku pandud just teistele asutustele appi minemiseks. Praegu kahe-, kuid peagi kuueliikmeline meeskond pakub turvatestimist nii riigiasutustele, omavalitsustele kui ka elutähtsa teenuse osutajatele.

Meeskonna juhi Andres Klemmi sõnul ei testita kellegi süsteeme tagaselja, vaid ikkagi teise asutuse palvel. "Koostöös saame kokku panna testimise plaani ja testimise läbi viia. Tagantjärgi tuleb see kõik kokku võtta ja kliendile ära kirjeldada, ja anda ka soovitused, mida peaks tegema selleks, et olukorda parandada," selgitas Klemm.

Keerulist tehnilist testimist hakatakse tegema siis, kui meeskond suuremaks kasvab. Aga juba praegu on kõik kliendid punaselt tiimilt üksjagu soovitusi saanud. Nimelt keskendutakse peamiselt inimeste testimisele ning seal pole turvaauke keeruline leida.

"Postkastist võib ikka leida igasuguseid huvitavaid kirju selle kohta, kuidas on võimalik kiiresti ja lihtsalt rikkaks saada," kirjeldab Klemm iga kontoritöötaja argipäeva. "Meie samamoodi imiteerime selliseid ründeid, saadame kirju, teeme sobiva veebilehe, kus oleks võimalik näiteks oma paroolid ära anda."

Ühegi kliendi juures pole punane tiim tühjade kätega jäänud. Andes Klemmi sõnul piisab süsteemile ligi pääsemiseks ainult ühest inimesest, kes oma parooli ära annab. Ning kõige paremini saab paroolid kätte viisakalt küsides.

"Tuleb mõelda välja mõni hea ettekääne, võib-olla natukene lähtuda asutuse spetsiifikast või sellest, millega inimesed seal igapäevaselt teevad. Ja paluda siis mingil ettekäändel võltsitud veebilehele sisse logida," rääkis Klemm.

Taolisi katseid ei tellita ega tehta sugugi nalja pärast. Selliste inimlike rünnakutega on üle maailma varastatud miljoneid eurosid, tohututes kogustes infot ja jooksutatud kokku elutähtsaid süsteeme. Niisiis peaks ka testimise läbinud asutustes järgnema põhjalik koolitus ja infosüsteemide turvalisemaks uutmine.

Toimetaja: Barbara Oja

Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: