Eesti osalusel läbi viidud rahvusvaheline ühisoperatsioon Eastwood paljastas mastaapsemalt kui kunagi varem, et Venemaa on võtnud kübermaailmas ründesihikule Ukraina kõrval ka kõik riigid, kes teda võitluses agressori vastu aitavad. Meie jaoks tähendab see jätkuvat vajadust hoida küberkaitse igal ajahetkel ja absoluutselt kõigis elutähtsates süsteemides maailma parimal ja kaasaegseimal tasemel.

Operatsioon toimus 14.–17. juulini ning koordineerijad olid sel korral nii Europol kui ka Eurojust. Paljude Euroopa riikide ja USA õiguskaitseasutuste sihtmärgiks oli Venemaa sõjalist ja poliitilist agendat täitev küberkuritegevuse võrgustik NoName057(16).

Tulemus oli pehmelt öeldes vapustav. Läbi lõigati enam kui sajast häkitud arvutisüsteemist ja serveritaristust koosneva ründeinfrastruktuuri "toitekaablid". Rahvusvaheliselt tagaotsitavateks kuulutati seitse võrgustiku taga olevat isikut, neist kaks vahistati kohe. Tuvastati enam kui tuhat kaasabilist, läbi otsiti kümneid ruume mitmel pool Euroopas.

Ründamise viisiks oli valitud teada tuntud kõige labasem, aga ühtlasi kaitsjatele kõige tüütum viis: teenusetõkestusrünnakud ehk (DDoS). See ei eelda suuri tehnilisi oskusi, ent sellised rünnakud saab muuta robotvõrgu abil vägagi massiivseks: veebisait või võrguteenus uputatakse lihtsalt liiklusega üle ja muudetakse kasutuskõlbmatuks.

Loomulikult pole üllatav, et kogu seda võrgustiku juhiti Venemaalt, seitsmest tagaotsitavaks kuulutatud juhtisikust kuus on Venemaa kodanikud. NoName057(16) eesmärk oli rünnata riike, misda Venemaa peab enda poliitilisteks ja ka sisuliseks vaenlaseks. Tsiviliseeritud maailma õnneks ja praeguse Venemaa režiimi õnnetuseks ei ole neid vähe. Rünnati nii Ukrainat kui teda toetavaid riike, peamiselt NATO liikmeid.

Edukas operatsioon ja sõnum selge: likvideeriti agressorriigi poolt pea kogu Euroopas ideoloogiliselt laetud küberrünnakuid korraldanud jõuk.

Tabatud rühmituse tegevus Eestis

Nüüd võib välja öelda, et Riigi Infosüsteemi Ameti (RIA) küberturvalisuse üksus CERT-EE on NoName057(16) rühmituse tegevust sõja algusest saati aktiivselt monitoorinud ning nende rünnakute põhjal kogutud infot ja analüüse partnerasutustega jaganud.

NoName057(16) on sõja algusest saati Eestile suunanud kümneid koordineeritud DDoS-kampaaniaid. Nende sihtmärgid olid avaliku sektori veebilehed, pangad, transpordisektor, telekommunikatsioon ning hulk muid kodanikele vajalikud teenuste pakkujaid.

Selliste sihitud rünnakute eesmärk on riigi elanikkonna hirmutamine ning nende igapäevaelu ebamugavamaks tegemine. Üks Eesti kontekstis kõlavamaid näiteid NoName057(16) tegevusest olid nende rünnakud tehnoloogiaettevõtte Ridango vastu, mis viisid selleni, et ühistranspordi piletite müümise ja valideerimise süsteem oli mitmel korral halvatud.

RIA monitooring täheldas ka Europoli poolt kinnitatut: viimase aasta jooksul on NoName057(16) häktivistide kogukond oma kurikuulsust ja mõjuvõimu ära kasutanud selleks, et kaasata mitmekümneid teisi häktivistide rühmitusi, et koos laiendada rünnakuid Ukraina ja teiste Euroopa riikide vastu.

Nagu eelpool märkisin, on NoName057(16) ründevõimekuse aluseks nende enda robotvõrgustik (botnet). Selle eripära seisnes selles, et iga tavakodanik sai sellega vabatahtlikult liituda ning oma seadmega NoName057(16) DDoS-rünnakutega kaasa lüüa.

Lihtsustatult toimub see nii:

• suvalised venemeelsed kodanikud tõmbasid oma arvutisse NoName057(16) Telegrami kanalilt saadud pahaloomulise skripti;
• skript paneb kasutaja arvutit ühendama NoName057(16) juhtserveriga;
• juhtserver ütleb kasutaja arvutile milliseid veebilehti rünnata;
• kasutaja arvuti hakkab neid veebilehti ründama.

Tänu sellele olid NoName057(16) DDoS-ründed üle maailma laiali asuvate tavainimeste poolt võimendatud ja tänu sellele oli rühmitusel piisavalt palju ressurssi, et mitme aasta jooksul igapäevaselt sadu rünnakuid läbi viia.

Rahvusvaheline üldsus on saanud üksjagu muiata, isegi parastada, millist ajast-ilmast strateegiat ja taktikat kasutab Venemaa Ukraina sõjas, kasvõi tankide kasutamist ja rünnakuid silmas pidades. Venemaa küberkuritegevus ei ole kaos, või kui on, siis suunatud, sihipärane kaos. See on osa Venemaa tööstusest. Võib ka öelda osa edukast sõjatööstusest. Selle alahindamine viib väga valusate tagajärgedeni ka ajal, kui otsene sõjaoht puudub.

Mida saab Eesti teha

Eesti teab juba pronksiöödest saati, millist ohtu võib endast kujutada agressorriigi küberrünnak. See on teinud meid ettevaatlikuks, tähelepanelikuks, ajendanud tegutsema, valmis olema ja muutnud kokkuvõttes tugevaks. Leian tõesti, et meie riigi teenuseid ümbritseb maailma parim küberkaitse. Ka see rühmitus oli meil juba pikka aega sihikul.

Siiski on üks suur aga. Selle rühmituse reaalne mõju Eestile oli kokkuvõttes ainult see, et bussipileteid ei ole saanud vahepeal osta. Ent selle rühmituse mõju saanuks olla Eestis palju suurem, kui me ei oleks aastaid süstemaatiliselt tegelenud küberkaitse võimekuse suurendamisega. Kuna ründajad muutuvad iga päevaga järjest nutikamaks, sh kasutavad tehisintellekti selleks, et rünnakuid paremini disainida ning mõju suurendada, siis peame ka ise sellega järjepidevalt tegelema..

Oht oli aga veelgi reaalsem meie riiklikele infosüsteemidele. Küberanalüütika ettevõte Sekoia on rühmituse tegevust analüüsinud ja oma blogi graafikul välja toodud, et üle poole selle sihtmärkidest olid riigisektori teenused, riigivastane tegevus oli organisatsiooni peamine eesmärk.

Aga rahuloluks pole kohta. Tõhus küberkaitse vajab pidevat investeerimist, nii tehnoloogiasse kui ka inimestesse. Ja küberturvalisus tõesti on tõusnud valitsuse selgelt kõrgema prioriteediga valdkonnaks. Kui vaadata arve, siis valitsuse 2025. aasta riigieelarve ja 2025–2028 riigi eelarvestrateegia kohaselt investeeritakse riigi küberkaitsevalmidusse täiendavalt 5,3 miljonit eurot.

See eraldis on osa laiemast algatusest "Hästi kaitstud Eesti", mis näeb ette 5,6 miljardit eurot sõjaliseks kaitseks järgmise nelja aasta jooksul. See selgesõnaline eraldis küberkaitsevalmiduseks rõhutab selle tunnustamist riikliku julgeoleku eraldiseisva ja elutähtsa komponendina, eraldi üldistest IT-infrastruktuuri investeeringutest.

Ka digiühiskonna arengukava, mis hõlmab ka küberturvalisust, on näidanud märkimisväärset kasvu: 2020. aasta 52,6 miljonilt eurolt 2024. aasta 149 miljoni euroni. Mis veelgi olulisem, selle arengukava küberturvalisuse osa on samal perioodil kasvanud 3,9 miljonilt eurolt (7,4 protsenti arengukava eelarvest) 16,1 miljoni euroni (10,8 protsenti arengukava eelarvest). Ka see näitab selget ja kasvavat pühendumust küberturvalisusele riiklikul tasandil.

Lisaks riigi otsestele investeeringutele oleme rõhku pandud ka koostööle ettevõtlusega, pean silmas näiteks ettevõtluse ja innovatsiooni sihtasutuse küberturvalisuse toetusprogramme ettevõtetele.

Strateegiliselt on selge, kui ettevõtete puhul saame rääkida projektipõhisest rahastusest, siis riik ise peab tagama oma küberkaitseteenustele püsiva rahastuse. Riigi Infosüsteemi Ametil on see rahastus olemas praegu ja saab olema edaspidi. Ta on neid investeeringuid ka vägagi õigustanud.

Euroopa vajab päris oma satelliidiühendusi

Reaalne küberoht varitseb ka meie internetiühendusi, Venemaalt lähtuvatest GPS-i häiringutest ja selle mõjust meie piirkonna lennuliiklusele on saanud reaalsus, aga me tegeleme aktiivselt ka sellega.

Käisin juunis Euroopa Liidu telekommunikatsiooniministrite kohtumisel Luksemburgis ja ütlesin seal väga selgelt välja: Euroopa vajab päris oma satelliidipõhist internetisüsteem. Et tagada ühenduste säilimine kriisiolukordades, et tagada Euroopa tehnoloogiline suveräänsus ja konkurentsivõime ning ühtlasi selleks, et kindlustada ühenduste olemasolu ka hajaasustusega piirkondades.

Alternatiivsete sideühenduste arendamine on meie piirkonnas erilise olulisusega, arvestades ka hiljutisi merekaablite tahtliku lõhkumise intsidente Läänemerel ning nüüdseks juba püsivaiks muutnud tahtlikke GPS-i häiringuid.

Täpsemalt tervitasid ministrid seniseid algatusi nagu IRIS2 ja avaliku sektori asutustele mõeldud GovSatCom ja leidsid, et Euroopa peab olema ambitsioonikam, vähendama oma sõltuvust kolmandate riikide teenusepakkujatest ning olla konkurentsivõimelised selliste lahendustega, mida pakuvad SpaceX ja Amazon.

Praegu on Euroopa Liidu ettevõtted rahvusvahelises võrdluses selgelt maha jäänud, eriti mis puudutab maalähedase orbiidi satelliitsüsteeme. Lisaks peavad need moodustama maapeasete võrkudega koostoimiva süsteemi ning asuma pakkuma üle-euroopalisi teenuseid.

IRIS² on selge samm EL-i autonoomia suurendamise suunas. Ukrainas toimuv näitab, kui oluline on toimiv satelliitside autonoomia jaoks, see on seotud ka laiemate kaitseküsimustega. Teisisõnu on EL-i autonoomia tugevdamine satelliitsides meie vastupidavuse, valmisoleku ja ühtse turu kaitsmise seisukohast hädavajalik. Satelliitühendus on eluliselt tähtis, kui maapealne infrastruktuur pole kättesaadav või on ohus.

EL-i turvalise satelliidikonstellatsiooni IRIS² kasutuselevõtt on plaanitud 2030. aastaks. Aastal 2027 toimub sellega seoses 2 GHz sagedusala koordineeritud jagamine. Ja Eesti on osaleb IRIS² satelliidiprogrammis Euroopa Liidu ja Euroopa Kosmoseagentuuri (ESA) liikmesriigina.

Äsjase operatsiooni tulemused näitavad, et meid varitseb pidev reaalne küberoht, ent me oleme tugevad ja me tegutseme. Kõik ettevõtted saavad riigile selles püsivas sõjas abiks olla sellega, et annavad julgelt CERT-EE'le teada neid tabanud rünnetest.

Lisainfo

Küberintsidendid kuue kuu jooksul 2025. aastal.

2025. aasta esimesel poolaastal registreeriti kokku 5083 mõjuga intsidenti. Intsidentide jaotus kuude lõikes:

• jaanuaris registreeriti 1121 mõjuga intsidenti,
• veebruaris registreeriti 909 mõjuga intsidenti,
• märtsis registreeriti 533 mõjuga intsidenti,
• aprillis registreeriti 1000 mõjuga intsidenti,
• mais registreeriti 1107 mõjuga intsidenti,
• juunis registreeriti 413 mõjuga intsidenti.

Võrreldes 2024. aasta sama perioodiga, mil registreeriti kokku 2607 mõjuga intsidenti, on intsidentide koguarv 2025. aastal kasvanud ligi kahekordseks (kasv 95 protsenti).

RIA andmeil toimus Eestis 2024. aastal kokku 6515 mõjuga küberintsidenti, see on ligi kaks korda rohkem kui 2023. aastal.

Juba 2025. aasta esimesel poolaastal on registreeritud 5083 mõjuga küberintsidenti, mis viitab jätkuvale tõusutrendile ja näitab, et käesolev aasta võib potentsiaalselt ületada 2024. aasta koguarvu, eeldusel, et trend püsib.