Samale äriperekonnale kuuluvad AS Estanc ja Tammer OÜ toodavad metallist aknaid, uksi ja mahuteid. Nende käive ulatub kokku 60 miljoni euroni. Eelmise aasta alguses said mõlemad ettevõtted pihta lunaraharünnakuga, mille tagajärjel tootmine kuuks ajaks osaliselt peatus. Ettevõtete eestvedaja Mihkel Tammo sõnul jäi seetõttu saamata seitsmekohaline summa tulu, millele lisandus otsene kahju.
Esimene märk, et midagi on valesti, ilmnes 1. veebruari varahommikul. Tammeri IT-juht Indrek Kink ärkas kell 6.20 telefonikõne peale, milles helistaja teatas, et IT-süsteemidele ei pääseta teadmata põhjusel ligi. Teel kontorisse tegi Kink veel mitu kõnet ja kell 7.15 autoga Estanci parklasse jõudes oli selge, et tegemist on lunavararünnakuga. „Paraku olid ründajad selleks ajaks tõenäoliselt juba mõnda aega võrgus sees olnud, süsteeme kaardistanud ja plaane sepistanud,“ meenutab Kink. Tema sõnul ei saa öelda, et ettevõtete IT-süsteemid olid halvasti turvatud – ohtudest oldi teadlikud, kriisiplaanid olemas ja regulaarsete tagavarakoopiate süsteem paigas.
Nõrgaks kohaks osutus vana e-posti server, mille ülesanded olid tegelikult juba pilve kolitud. Pärast kolimist aga selgus, et serverit on siiski veel tarvis – see pandi ajutiselt taas tööle, kuid uuenduste haldamise süsteemi seda enam ei liidetud. Ajutine lahendus, nagu nendega pahatihti juhtub, jäi aga kasutusele plaanitust pikemaks ning paikamata Microsoft Exchange Serveri turvanõrkus ProxyLogon avas ründajatele pääsu sisevõrku. Sealt edasi õppisid kurjategijad ettevõtete süsteeme vargsi tundma. Nad said aru, et neist tehakse sageli varukoopiaid, mistõttu polnud neil mõtet lihtsalt andmeid krüpteerida – ettevõtted oleksid saanud need võrdlemisi kerge vaevaga koopiatest taastada. „Paraku saime alles kuu pärast intsidenti teada, et koopiate tarkvaras oli avastatud nn nullpäeva turvaauk, millega pääseti ligi administraatorikontole. Seda kasutati nii lokaalsete kui ka pilves peidus olevate koopiate kompromiteerimiseks ja nende sisu lihtsalt kustutati,“ selgitas Kink. See andis kurjategijatele viimase puuduva pusletüki – ära võeti võimalus kasutada varukoopiaid – ja nad otsustasid rünnata.
Kui küberkriminaalid olid süsteemid halvanud ja lunarahanõude esitanud, peatus ühes ettevõttes kuuks ajaks tootmine peaaegu täielikult. Seisaku tagajärjed andsid tunda veel mitu kuud hiljemgi. „Tol hetkel oli seis kriitiline – meil oli vaja palgad maksta kahe ettevõtte peale rohkem kui 400 töötajale. Me tulime siiski toime,“ meenutab Mihkel Tammo. Kui äripoolel oli vaja tegeleda kahjude minimeerimisega, siis ITtasandil pandi paika esiteks kolm võimalikku lahenduskäiku: taastada andmed vähemalt ühe varukoopia töölesaamisega, ehitada kogu andmearhitektuur nullist üles või sõlmida ründajatega võimalikult soodne kokkulepe. Kohe esimestel päevade kaasati juhtumi lahendamisse küberturbeettevõte CYBERS, samuti oldi pidevas suhtluses RIA intsidentide käsitlemise osakonnaga (CERT-EE). Varukoopiate taastamisega nähti palju vaeva. Osa faile saadi kätte, kuid paraku olid need rikutud. Samal ajal tehti juba ettevalmistusi kõikide süsteemide nullist üles ehitamiseks. „18. veebruariks olime läbi katsetanud kõik mõeldavad lahendused ja tundus, et tuleb kurjategijate seljatamise osas käed üles tõsta,“ tõdes Kink.
Läbirääkimised kurjategijatega võttis enda peale CYBERSi tegevjuht Jürgen Erm: „Esialgu, kui veel teised võimalikud lahendused laual olid, mängisime rumalaid, et kurjategijatele mitte liiga palju infot anda. Samuti proovisime neilt saada mingitki tõestust või garantiid, et lunarahamakse tegemise järel saame andmed ka päriselt tagasi.“ Tammer OÜ juht Anti Tammo kinnitas, et otsus lunaraha maksta ei tulnud kergekäeliselt: „Kaalusime läbi kõik muud variandid, meie IT-inimesed töötasid väsimatult erinevate lahenduskäikude kallal. Kuna lunarahanõue oli kordades väiksem, kui oleksid olnud kulud nullist ülesehitamisel, otsustas juhatus proovida.“
Indrek Kingi hinnangul sai rünnak võimalikuks mitme halva sündmuse kokkulangemise tõttu: „Praeguseks oleme oma süsteeme täiendanud just turvaaspektist ja lisanud veel ühe, täielikult offline tagavarakoopia tegemise.“ Kuna reeglina ei soovita küberrünnakutest avalikult rääkida, kiidab Jürgen Erm ettevõtteid julguse eest: „See aitab ära hoida järgmisi võimalikke rünnakuid. Hetkel on valdav enesetsensuur, kardetakse mainekahju. Aga see näide on elav tõestus, et kahju rääkimisest ei teki – pigem vastupidi.“
Lugu avaldati RIA küberturvalisuse aastaraamatus.
CYBERS andis Nordic-Baltic Security Summitil välja tiitli “Küberrindlik ettevõte 2023” Estanc AS ja Tammer OÜ’le julguse eest oma kogemusest avalikult rääkida!
Tänapäeva kiiresti arenevas digimaailmas on ettevõtete edu võti pakkuda mitte ainult innovaatilisi, vaid ka turvalisi teenuseid. KüberCASTi viimases osas jagas Andres Kostiv, teenusedisaini ja kasutajakogemuse ekspert, olulisi teadmisi ja näpunäiteid, kuidas integreerida küberturvalisus teenusedisaini, et luua kliendikeskseid ja turvalisi digilahendusi.
Mullu tabas lunavararünnak kaht Harjumaal tegutsevat metallitööstusettevõtet, kus töötab kokku ligi 400 inimest. Firmade juhid räägivad avatult, mis ja miks juhtus, et aidata teistel sarnaseid ohte vältida.
Süvene andmeturbe ja tehisintellekti keerukesse, et mõista, kuidas need pöördelised tehnoloogiad muudavad äristrateegiaid ja tegevuse tõhusust.
