See neljasaja töötajaga ettevõte tegutseb nii Baltimaades kui Skandinaavias. Ühel päeval avastati, et ühel serveril oli turvatarkvara peale panemata ehk uks nii-öelda irvakile unustatud. See inimlik näpuviga läks kokkuvõttes maksma üle 80 tuhande euro.

Ettevõte nime me küll ei maini, kuid tegemist on reaalse äri ja tõestisündinud juhtumiga. Sel hetkel, kui avastati kogemata lahti unustatud turvaauk, oli keegi juba sisse lipsanud. Kes täpsemalt ja mis tal plaanis oli, seda ei saanud niisama ootama jääda. Ühendust võeti OIXIO küberturbe spetsialistidega, kes asusid jälgi ajama ja turvaohtu kõrvaldama.

OIXIO küberturbe ekspert ja müügiinsener Harri Uljas soovitab sellistel puhkudel ühe ennetava tegevusena viia ettevõttes läbi regulaarseid küberturbe auditeid. See on esimene pidepunkt, kust kaudu saab teada, millised uksed on nii-öelda lahti jäetud ja kas nende kaudu on jõutud ka kahju teha.

Kõik märgid viitasid ATP-rünnakule

Välja tuli see näpuviga alles logidest, kust selgus, et tehtud on kahtlasi toiminguid, faile muudetud, mõnede kontode aktiivsus oli muutunud ebatavaliselt suureks jne.

See ei tähendanud muud, kui firma oli langenud nii-öelda ATP rünnaku alla. 

ATP rünnakuga istuvad küberpätid tavaliselt vaikselt ettevõtte võrgus sees ja valmistavad ette edasisi rünnakuid või andmevargust. Suur osa sissemurdmise asitõendeid hävitati aga juba alguses, et jälgi peita.

Rünnaku täpne algus jäigi sellepärast teadmata, pealegi kirjutati serveris paljud logid juba firma enda serverirakenduste poolt üle.

Harri Uljase sõnul nägid OIXIO spetsialistid süsteemi üle vaatama hakates, et viis domeeni olidki juba üle võetud ning mitte ainult ühes kontoris, vaid erinevates riikides.

Tegutseda tuli kiirelt ja varjatult

“Panime kokku intsidendi lahendamise meeskonna, kuhu kuulusid kliendi poolt viis inimest ja OIXIO spetsialistid. Tuvastasime kohe, et ründaja oli veel süsteemis sees, teadsime ka seda, et firma IT-dokumentatsioon oli aegunud, puudusid võrgujoonised ning otsima tuli hakata üsna käsikaudu,” kirjeldab Harri Uljas OIXIO esimesi tegevusi.

Kui intsident juhtub, on küberturbe ekspertidel vaja väga kiiresti aru saada, kus millised teenused jooksevad ning kus on midagi kahtlast juhtunud. 

Algab pinev kassi-hiire mäng, mille käigus tuleb edasist kahju ära hoida, kuid ei saa ka sissetungijale kohe alguses näidata, et ta on tuvastatud, kuna siis võib ta käivitada mõne ettevalmistatud destruktiivse hävitusoperatsiooni, et jälgi kustutada või kätte maksta.

Kui keskset logihaldust pole, kirjutavad seadmed logisid mingi aja jooksul üle. Koos sellega kustuvad ka kõik jäljed pikemat aega tegutsenud sissemurdjast.

Igapäevane töö peab jätkuma, kuni küberpätti püütakse

Kõigepealt hakati kiirelt välja töötama plaani, kui suurelt saab kaitsetegevustega alustada.

Täiesti ebareaalne on nii suures ettevõttes kõik süsteemid kohe maha võtta, peab tegutsema nii, et säiliks võimalikult suures osas äritegevus.

Selleks paigaldasid OIXIO spetsialistid erinevaid turbetehnoloogiaid, kaardistasid süsteemi, üle päeva peeti firma esindajatega kriisikoosolekuid.

Lähtuda tuli küberturbe raamistikest ja levinud küberintsidendi haldamise tsüklitest.

Samas tuleb nakatunud süsteemides toimetada selliselt, et sissetungija poolt poleks vastutegevus lihtsasti avastatav. Ründajale ei tohi aimu anda, et oled tal jälil. Kärarikka “peale lendamisega” võib pikalt süsteemis istunud küberpätt hakata samuti väga kiirelt tegutsema ja tagajärjeks võib olla suur andmekahju, kui pikemalt mõtlemata kõik jälgede hävitamiseks ära kustutatakse.

“Koostasime reageerimisplaani,” jätkab Harri Uljas, “seal oli kirjas, kuidas intsidentidele jooksvalt reageerida, kui midagi veel juhtub. Paigaldasime paralleelselt erinevaid kaitsetehnoloogiaid juurde, sealhulgas ka turvaintsidentide seire ja turvaaukude paikamise lahenduse.”

Keegi ei märganud midagi, ettevõtte töö jätkus

Kuigi firma igapäevane töö oli paar kuud veidi häiritud, ei toimunud siiski ulatuslikumaid katkestusi ja äri seiskumist. Kriisiolukorras võib olla küberintsidendi lahendamise tsükkel päris pikk.

Otseselt pole tööd veel praegugi lõppenud, teenuste taastamine võib kesta peaaegu terve aasta, kuid kaitsemeetmed ja pidev olukorra jälgimine peaksid nüüd ära hoidma edasised ründed.

Häiritud oli töö vahepeal nii palju, et osaliselt tuli võtta mõned teenused maha, mõned andmekanalid olid mingil ajal osaliselt peatatud. Päris igapäevane töö kogu aeg ei toiminud, kuigi ettevõtte süsteemid polnud ka kordagi täielikult maas, vaid seisakuid rakendati väikeste juppide kaupa, minimeerides downtime´i.

Kokkuvõtteks midagi olulist ei lekkinud

Rünnak sai kiirelt piiritletud, selle ulatus tuvastati ja saadi ka aru, millistes masinates ründaja käis.

“Pidime tõmbama kindla piiri, millest enam tagasi polnud võimalik minna ja sellest punktist alates tuli lülitada kõik nii turvaliseks, et välised augud enam ligipääsetavad ei olnud,” kirjeldab Uljas, mismoodi ühel hetkel tuli kassi-hiire mängimine lõpetada ning kõik sulgeda.

Rünnaku alguspunkti logide puudulikkuse pärast ei tea keegi siiamaani, kuid praeguseks on kogu ettevõtte võrgud aktiivse seire all. Keegi ründajatest pole enam oma kõrvu näidanud ega nina välja pistnud. OIXIO tegi kliendi eest kontrolli ka Interneti mustal turul, uurides järgi, kas kuskil on ettevõtte andmeid müügiks pakutud. Õnneks midagi ei leitud.

Kokkuvõttes võib öelda, et suurem kahju jäi ära. Kuigi tuvastati, et küberpätid olid süsteemis sees, saadi ilmselt õigel hetkel jälile ja kõige mustemaid stsenaariume õnnestus vältida.

Kahju 81 640 eurot

OIXIO turvaeksperdid tegid üle 300 tunni tööd kogu juurdluse raames, lisaks sadakond tundi kulus taastetegevustele ja turvameetmete rakendamisele ning firma oma töötajatel kulus ligikaudu 200 töötundi.

Investeeringut küberkaitsesse pole lihtne hinnata, sest see on nagu kindlustus, mis aitab ära hoida võimalikku veel suuremat kahju. Samas võib nende võimalike kahjude suurus olla hiiglaslik: näiteks küberründest tekkinud isikuandmete lekke eest võib Euroopa Liidu regulatsioonide järgi saada üsna suuri trahve, nagu näiteks GDPR trahvid. Lunarahanõuete suurused on maailmas keskmiselt 258 000 eurot, kuid mainekahju näiteks paari protsendi oluliste klientide lahkumisega võib olla hindamatu.

Valemit, millega arvutada sellise investeeringu tasuvust, nimetatakse ROSI-ks (Return on Security Investment). See võtab arvesse, kui palju annab investeering kasu kahjude ärahoidmiseks.

Osad kindlustusseltsid pakuvad ka teenust küberintsidentide vastu kindlustamiseks, kuid neil on reeglina nõue, et enne peab mingile standardile vastav küberturve olema juba tehtud.

OIXIO-l on selleks olemas lai teenuste portfell. Ühe esimese asjana soovitatakse alati teha küberturbeaudit, mis annab põhjaliku ülevaate hetkeolukorrast.

“Me ei aja paberil punkte taga, vaid kaardistame ja toome välja nõrgad kohad, mille pealt saab küberturbe strateegiat planeerima hakata,” selgitab Harri Uljas, “kõik algab aga firma enda töötajatest, kes võivad olla küberturvalisuse nõrgimaks lüliks. Neid tuleb kindlasti koolitada ja harida küberhügieenist kinni pidama.”

Küberturvalisuses on alati odavam ennetada, kui tegeleda tagajärgedega. Kuidas õigesti alustada, selle kohta küsi lähemalt OIXIO küberturvalisuse ekspertidelt.

Mis on ATP rünnak?

Täiustatud püsiv oht (ehk Advanced Persistent Threat) on rünnak, mis on tavaliselt sihitud ja pikaajaline, milles kasutatakse erinevaid meetodeid, et varjatult süsteemides ringi liikuda ja laiemat juurdepääsu tagada..

See on väga hoolikalt valitud ja ettevalmistatud rünnak, selle sihtmärgiks on tavaliselt suuremad ettevõtted või valitsusvõrgustikud. 

Taoliste sissetungide tagajärjed on ulatuslikud:

• näpatakse intellektuaalomandit ärisaladustest ja patentidest töötajate igapäevase e-kirjavahetuseni
• ohustatud on kogu tundlik teave töötajate ja kasutajate privaatsest elust ja tööst
• organisatsiooni saab saboteerida näiteks andmete krüpteerimise või andmebaaside kustutamisega
• võidakse üle võtta kogu infosüsteem, osa sellest või olulised veebilehed ja domeenid.