Turvarisk - RIA asus uurima bitcoinide kaevandamist Pärnu haiglas (2)

«Meedias vahendatu alusel pole tõepoolest välistatud, et juhtunud võib olla turvaintsident,» ütles Postimehele Riigi Infosüsteemi Ameti peadirektori asetäitja Toomas Vaks.

Vaksi sõnul on Pärnu haigla elutähtsa teenuse osutaja, kes on kohustatud täitma nõudeid, mida sätestab valitsuse määrus «Elutähtsa teenuse infosüsteemide ning nendega seotud infovarade turvameetmed».

«Võtame kindlasti Pärnu haiglaga ühendust, et saada selgitusi juhtumi asjaolude kohta,» kinnitas juhtumi uurimise alustamist Vaks.

RIA vastusest ilmneb, et Pärnu haigla oli juhtumi uurimiseks küll läbi viinud sisejuurdluse, kuid polnud võimalikust turvariskist ametit informeerinud.

Tänane Postimees kirjutab, et Pärnu haiglasse laekus mullu kevadel info, et seal tegeldakse massilise virtuaalraha ehk nn bitcoin’ide kaevandamisega. «Väidetavalt oli tegu Pärnu piirkonna suurima bitcoin’i-kaevandusega,» lisas allikas. Selgus, et bitcoin’idega tegeleti haiglas ligi kaks aastat.

Eelmise aasta kevadel leiti haigla tehnilistest ruumidest neli bitcoin’ide kaevandamiseks mõeldud arvutit ja seejärel veel kaks masinat. Bitcoin’e kaevandas lausa kaks meest – informaatikateenistuse töötaja oli püsti pannud kaks ja meditsiinitehnika teenistuse tehnik neli masinat.

Bitcoin’ide kaevandamiseks mõeldud riistvara võtab tavaarvutitega võrreldes tohutus koguses elektrienergiat, sestap on selle pidamine kodus väga kulukas – nüüd tasus elektriarved Pärnu haigla. Vastavad arvutid on ühtlasi üpris lärmakad, lisaks kaasneb haigla infosüsteemidele täiendav turvarisk. Pole vist vaja lisada, kui palju tundlikke isikuandmeid liigub ühe haigla infosüsteemis.

Juhtumi uurimismaterjalidest ilmneb, et fotodel olevad seadmed olid kaks töötajat paigutanud 8. korrusele ning ühendanud nii haigla elektrivõrku kui ka arvutivõrku.

Kaevandamisega tegelesid haigla võrguadministraator ja meditsiinitehnik – kokku kasutasid nad selleks kuut seadet. Osa seadmeid oli paigutatud 8. korruse ventilatsiooniseadmete ruumidesse.

Seadmete täpsema uurimise materjalidest ilmneb, et nende peamine eesmärk oli kaevandada virtuaalset raha. Sellele viitab neis olnud mitu graafikakaarti, samuti väiksema masina operatsioonisüsteemi käivitamiseks kasutatud SD-kaardil olev Linuxi versioon Antminer. Selle masina puhul laeti OS otse mällu ja voolukatkestuse korral kadusid seetõttu logid, oli näha vaid kasutajanimi, millega masin logis ennast kaevandajate keskkonda.

Suurem serveritest kasutas platvormi Windows Server 2012 ja ka see tegeles vaid virtuaalse raha kaevandamisega. Sisselogimiseks kasutati TightVNC teenust ja selle logimine oli maha keeratud. Märgime vaid, et kasutatud kasutajanimed olid lähedalt seotud sõnaga tankist.

Kummalgi lähemalt uuritud seadmel puudus igasugune viirusetõrje.