Liisa Pakosta: üleilmne küberoperatsioon paljastas Venemaa reaalse ohu meie infosüsteemidele

Eesti toel toimunud rahvusvaheline ühisoperatsioon Eastwood paljastas selgemalt kui kunagi varem, et Venemaa on kübermaailmas ründesihikule võtnud mitte ainult Ukraina, vaid ka kõik riigid, kes teda võitluses agressori vastu aitavad. Meie jaoks tähendab see vajadust hoida küberkaitse igal ajahetkel ja absoluutselt kõigis elutähtsates süsteemides maailma parimal ja kaasaegseimal tasemel.

Operatsioonist

Lühidalt operatsioonist endast. See toimus 14.-17. juulil ning koordineerijaiks olid sel korral nii Europol kui ka Eurojust. Paljude Euroopa riikide ja USA õiguskaitseasutuste sihtmärgiks oli küberkuritegevuse võrgustik NoName057(16).

Tulemus oli pehmelt öeldes vapustav. Läbi lõigati enam kui sajast häkitud arvutisüsteemist ja serveritaristust koosneva ründeinfrastruktuuri toitekaablid. Rahvusvaheliselt tagaotsitavateks kuulutati seitse võrgustiku taga olevat isikut, kaks vahistati kohe. Tuvastati enam kui tuhat kaasabilist, läbi otsiti kümneid ruume mitmel pool Euroopas.

Ründamise viisiks oli valitud teada-tuntud kõige labasem, aga ühtlasi kaitsjatele kõige tüütum viis: teenusetõkestusrünnakud ehk DDoS. See ei eelda suuri tehnilisi oskusi, ent sellised rünnakud saab muuta robotvõrgu abil vägagi massiivseks - veebisait või võrguteenus uputatakse lihtsalt liiklusega üle ja muudetakse kasutuskõlbmatuks.

Need on faktid. Aga mis peamine: kogu seda võrgustikku juhiti Venemaalt, seitsmest tagaotsitavaks kuulutatud isikust kuus on Venemaa kodanikud ning NoName057(16) ainus eesmärk oli rünnata riike, keda Venemaa peab enda poliitilisteks vaenlasteks. Rünnati nii Ukrainat kui ka teda toetavaid riike, peamiselt NATO liikmeid.

Selgemat sõnumit enam olla ei saa: likvideeriti agressorriigi poolt pea kogu Euroopas ideoloogiliselt laetud küberrünnakuid korraldanud jõuk.

Tabatud rühmituse tegevus Eestis

Saan täna juba välja öelda, et Riigi Infosüsteemi Ameti (RIA) küberturvalisuse üksus CERT-EE on NoName057(16) rühmituse tegevust sõja algusest saati aktiivselt monitoorinud ning nende rünnakute põhjal kogutud relevantset infot ja analüüse partnerasutustega jaganud.

Saan kinnitada ka seda, et NoName057(16) on sõja algusest saati Eestile suunanud kümneid koordineeritud DDoS-rünnakuid. Nende sihtmärkideks olid tihti langenud avaliku sektori veebilehed, pangad, transpordisektor, telekommunikatsioon ning muud kodanikele vajalikud teenused.

Selliste rünnakute eesmärgiks on sihitud riigi elanikkonna hirmutamine ning nende igapäevaelu ebamugavamaks tegemine - üks Eesti kontekstis kõlavamaid näiteid NoName057(16) tegevusest olid nende rünnakud Ridango vastu, mis viisid selleni, et ühistranspordi piletite müümise ja valideerimise süsteem oli mitmel korral halvatud.

RIA monitooring on täheldanud ka seda, mida kinnitas eespool Europol: viimase aasta jooksul on NoName057(16) häktivistide kogukonnas oma kurikuulsust ja mõjuvõimu ära kasutanud selleks, et kaasata mitukümmend teist häktivistide rühmitust, et nendega koos Ukrainat ja Euroopa riike rünnata.

Nagu eelpool mainisin, siis on NoName057(16) ründevõimekuse aluseks nende endi robotvõrgustik (botnet), mille eripära seisnes selles, et iga tavakodanik sai sellega vabatahtlikult liituda ning oma seadmega NoName057(16) DDoS-rünnakutega kaasa lüüa.

Lihtsustatult toimub see nii:

1. Suvalised venemeelsed kodanikud tõmbasid oma arvutisse NoName057(16) Telegrami kanalilt saadud pahaloomulise skripti.

2. Skript paneb kasutaja arvuti ühendama NoName057(16) juhtserveriga.

3. Juhtserver ütleb kasutaja arvutile, milliseid veebilehti rünnata.

4. Kasutaja arvuti hakkab neid veebilehti ründama. Tänu sellele olid NoName057(16) DDoS-rünnakud tuhandete üle maailma laiali olevate tavainimeste poolt võimendatud.

Tänu sellele oli rühmitusel piisavalt palju ressurssi, et mitme aasta jooksul igapäevaselt sadu rünnakuid läbi viia.

Rahvusvaheline üldsus on saanud üksjagu muiata, isegi parastada, millist ajast-ilmast strateegiat ja taktikat kasutab Venemaa Ukraina sõjas, kasvõi tankide kasutamist ja rünnakuid silmas pidades. Venemaa küberkuritegevus ei ole kaos - või kui, siis suunatud, sihipärane kaos. See on osa Venemaa tööstusest. Võib ka öelda osa edukast sõjatööstusest. Selle alahindamine viib väga valusate tagajärgedeni ka ajal, kui otsene sõjaoht puudub.

Mida saab Eesti teha

Eesti teab juba pronksiöödest saati, millist ohtu võib endast kujutada agressorriigi küberrünnak. See on teinud meid ettevaatlikuks, tähelepanelikuks, ajendanud tegutsema, valmis olema ja muutnud kokkuvõttes tugevaks. Leian tõesti, et meie riigi teenuseid ümbritseb maailma parim küberkaitse. Nagu eelpool näitasin - ka see rühmitus oli meil juba pikka aega sihikul.

On aga üks suur aga. Selle rühmituse reaalne mõju Eestile oli kokkuvõttes vaid see, et bussipileteid ei ole saanud vahepeal osta. Ent selle rühmituse mõju saanuks olla Eestis palju suurem, kui me poleks aastaid süstemaatiliselt tegelenud küberkaitse võimekuse suurendamisega. Kuna aga ründajad muutuvad igapäevaga järjest nutikamaks, sh kasutavad tehisintellekti selleks, et rünnakuid paremini disainida ning mõju suurendada, siis peame ka ise sellega järjepidevalt tegelema, et mõju ei oleks suurem kui Ridango rünnak.

Oht oli aga veelgi reaalsem meie riiklikele infosüsteemidele. Küberanalüütika ettevõte Sekoia on rühmituse tegevust analüüsinud ja oma blogi graafikul välja toonud, et üle poole selle sihtmärkidest olid riigisektori teenused - riigivastane tegevus oli organisatsiooni peamine eesmärk.

Aga rahuloluks pole siin kohta. Tõhus küberkaitse vajab pidevat investeerimist, nii tehnoloogiasse kui ka inimestesse.

Ja küberturvalisus tõesti on tõusnud valitsuse selgelt kõrgema prioriteediga valdkonnaks. Kui vaadata numbreid, siis valitsuse 2025. aasta riigieelarve ja 2025-2028 riigi eelarvestrateegia kohaselt investeeritakse riigi küberkaitsevalmidusse täiendavalt 5,3 miljonit eurot.

See eraldis on osa laiemast algatusest "Hästi kaitstud Eesti", mis näeb ette 5,6 miljardit eurot sõjaliseks kaitseks järgmise nelja aasta jooksul. See selgesõnaline eraldis küberkaitsevalmiduseks rõhutab selle tunnustamist riikliku julgeoleku eraldiseisva ja elutähtsa komponendina, eraldi üldistest IT-infrastruktuuri investeeringutest.

Ka digiühiskonna arengukava, mis hõlmab ka küberturvalisust, on näidanud märkimisväärset kasvu: 2020. aasta 52,6 miljonilt eurolt 2024. aasta 149 miljoni euroni. Mis veelgi olulisem, selle arengukava küberturvalisuse osa on samal perioodil kasvanud 3,9 miljonilt eurolt (7,4% arengukava eelarvest) 16,1 miljoni euroni (10,8% arengukava eelarvest). Ka see näitab selget ja kasvavat pühendumust küberturvalisusele riiklikul tasandil.

Lisaks riigi otsestele investeeringutele oleme rõhku pannud ka koostööle ettevõtlusega, pean silmas näiteks EIS-i küberturvalisuse toetusprogramme ettevõtetele.

Strateegiliselt on minu selge nägemus, et kui ettevõtete puhul saame rääkida projektipõhisest rahastusest, siis riik ise peab tagama oma küberkaitseteenustele püsiva rahastuse. Riigi Infosüsteemi Ametil on see rahastus olemas täna ja saab olema edaspidi. Ta on neid investeeringuid ka vägagi õigustanud.

Euroopa vajab päris oma satelliidiühendusi

Reaalne küberoht varitseb aga ka meie internetiühendusi, Venemaalt lähtuvad GPS-i häiringud ja mõju meie piirkonna lennuliiklusele on juba saanud reaalsuseks. Aga me tegeleme aktiivselt ka selles osas.

Käisin alles juunis Euroopa Liidu telekommunikatsiooniministrite kohtumisel Luksemburgis ja ütlesin seal väga selgelt välja: Euroopa vajab päris oma satelliidipõhist internetisüsteemi. Et tagada ühenduste säilimine kriisiolukordades, et tagada Euroopa tehnoloogiline suveräänsus ja konkurentsivõime ning ühtlasi selleks, et kindlustada ühenduste olemasolu ka hajaasustusega piirkondades.

Alternatiivsete sideühenduste arendamine on meie piirkonnas erilise olulisusega, arvestades ka hiljutisi merekablite tahtliku lõhkumise intsidente Läänemerel ning nüüdseks juba püsivaiks muutunud tahtlikke GPS-i häiringuid.

Täpsemalt tervitasid ministrid seniseid algatusi nagu IRIS2 ja avaliku sektori asutustele mõeldud GovSatCom ning leidsid, et Euroopa peab olema ambitsioonikam, vähendama oma sõltuvust kolmandate riikide teenusepakkujatest ning olema konkurentsivõimelised selliste lahendustega, mida pakuvad SpaceX ja Amazon.

Täna on EL-i ettevõtted rahvusvahelises võrdluses selgelt maha jäänud, eriti mis puudutab maalähedase orbiidi satelliitsüsteeme. Lisaks peavad need moodustama maapealsete võrkudega koostoimiva süsteemi ning asuma pakkuma üle-euroopalisi teenuseid.

IRIS2 on selge samm EL-i autonoomia suurendamise suunas. Ukrainas toimuv näitab, kui oluline on toimiv satelliitside autonoomia jaoks, see on seotud ka laiemate kaitseküsimustega.

Teisisõnu: EL-i autonoomia tugevdamine satelliitsides on meie vastupidavuse, valmisoleku ja ühtse turu kaitsmise seisukohast hädavajalik. Satelliitühendus on eluliselt tähtis olukordades, kus maapealne infrastruktuur pole kättesaadav või on ohus.

EL-i turvalise satelliidikonstellatsiooni IRIS2 kasutuselevõtt on plaanitud 2030. aastaks. Aastal 2027 toimub sellega seoses 2 GHz sagedusala koordineeritud jagamine. Ja Eesti on paadis: osaleb IRIS² satelliidiprogrammis Euroopa Liidu ja Euroopa Kosmoseagentuuri (ESA) liikmesriigina.

Kokkuvõttes näitavad äsjase operatsiooni tulemused, et meid varitseb pidev reaalne küberoht, ent me oleme tugevad ja me tegutseme. Kõik ettevõtted saavad riigile selles püsivas sõjas abiks olla sellega, et annavad julgelt CERT-EE'le teada neid tabanud rünnetest.

LISAINFO

Küberintsidentide arvud kuue kuu jooksul 2025. aastal

1. aasta esimesel poolaastal registreeriti kokku 5083 mõjuga intsidenti. Intsidendid jaotusid kuude lõikes järgmiselt:

• Jaanuaris registreeriti 1121 mõjuga intsidenti.

• Veebruaris registreeriti 909 mõjuga intsidenti.

• Märtsis registreeriti 533 mõjuga intsidenti.

• Aprillis registreeriti 1000 mõjuga intsidenti.

• Mais registreeriti 1107 mõjuga intsidenti.

• Juunis registreeriti 413 mõjuga intsidenti.

Võrreldes 2024. aasta sama perioodiga, mil registreeriti kokku 2607 mõjuga intsidenti, on intsidentide koguarv 2025. aastal kasvanud ligi kahekordseks (kasv 95%).

RIA andmeil toimus Eestis 2024. aastal kokku 6515 mõjuga küberintsidenti - see on ligi kaks korda rohkem kui 2023. aastal.

Juba 2025. aasta esimesel poolaastal on registreeritud 5083 mõjuga küberintsidenti, mis viitab jätkuvale tõusutrendile ja näitab, et käesolev aasta võib potentsiaalselt ületada 2024. aasta koguarvu - eeldusel, et trend püsib.