Eesti riigiportaalis pesitses aastaid lubamatu turvaauk

Riigiportaal eesti.ee

FOTO: Marko Saarm / Sakala

Riigi Infosüsteemi Amet (RIA) tunnistas täna üles möödunud aasta suvel Eesti riigiportaalis eesti.ee ilmsiks tulnud lubamatu turvaaugu.

Signaal autentimisveast riigi keskses portaalis laekus ametnikele 29. juunil.  Informeerijaks olid ühe  Eesti asutuse küberturvalisuse eksperdid, kes olid suutnud tõestada, et  pangalingi abil on võimalik portaali sisse logida kellegi teise nimel.

Turvanõrkus seisnes selles, et eesti.ee portaal ei kontrollinud pangalingi kaudu saadud autoriseerimispäringu puhul, kas see oli allkirjastatud panga antud võtmega ning kas see vastas pangalingi tehnilisele kirjeldusele.

Leitud viga võimaldas portaali sisenemist teise inimese nimel juhul, kui sisselogija lõi pangalingi tehnilise kirjelduse järgi ebakorrektse pangapoolse kinnituse ise ja suutis selle saata eesti.ee portaalile sisselogimise kinnituseks.

«Saades aru olukorra tõsidusest, sulgesime riigiportaali sisenemise pangalingi kaudu ning asusime tuvastatud viga parandama ja riski maandama, mis võttis meil aega neli päeva,» andis RIA oma täna esitletud küberturvalisuse aastaraamatus teada.

RIA küberturvalisuse teenistuse juhi Uku Särekanno sõnul olid RIAle informatsiooni edastanutel enda kasutajakontode põhjal tõestanud, et selline riigiportaali sisenemine on võimalik.

RIA küberturvalisuse teenistuse juht Uku Särekanno

FOTO: Aivar Pau

«Tagasivaade näitas, et kuritarvitusi ei olnud esinenud ja ainsad anomaaliad süsteemis olidki seotud nende tehtud katsetega,» kinnitas Särekanno. «Tegemist oli olulise turvanõrkusega, sest see puudutas riigiportaali. Me võtsime seda väga tõsiselt.»

Amet tunnistas, et viga tulenes eesti.ee aegunud platvormist ega olnud seotud ühegi panga ega teise e-teenusega.

Riigi portaal on sama tarkvaraplatvormi peal jooksnud juba 10-12 aastat. «Selge on see, et turvanõrkuste arv kasvab,» märkis Uku Särekanno

«Hilisemal uurimisel selgitasime välja, et kirjeldatud viga tekkis ilmselt 2015. aasta oktoobris portaali baastarkvaras tehtud muudatuste ja uue pangalingi kasutuselevõtmise käigus. Tegemist ei olnud pahatahtliku veaga vaid arendaja ja RIA kui tellija hooletusega,» tunnistas amet.

RIA  kontrollis üle kõik riigiportaali sisenemise logid alates eeltoodud muudatuse tegemisest ning ei tuvastanud midagi, mis viitaks sellele, et turvanõrkust oleks ära kasutatud.

«Kellegi andmed ei olnud kättesaadavad ning kellegi teise nimel sisselogimisi ei fikseeritud. Pärast mitmepäevast intensiivset tööd ja ka välisekspertide läbiviidud turvateste taastasime 4. juulil uuesti riigiportaali sisenemise pangalingi kaudu,» märkis amet

Amet märgib, et rünnaku teostamine oleks kurjategijailt eeldanud korralikke tehnilisi teadmisi ja oskusi.

Reaalne kahju

RIA andis täna ka teada, et registreeris möödunud aastal 3390 andmeid või infosüsteemi mõjutanud küberintsidenti. Kriitilisi intsidente - kus olnud oht inimeludele ja olulistele teenustele - oli nende seas 76.

Kõige valusamalt andsid neist tunda niinimetatud tegevjuhi petuskeemi kaudu ja meilivestluste kaaperdamisest alanud finantspettused, mille tagajärjel said Eesti väike- ja keskmise suurusega ettevõtted 2018. aastal vähemalt 600 000 eurot kahju.

Tähelepanu pälvisid ka juhtumid, kus perearstikeskusi tabanud küberintsidendid ning riigi enda dokumendihaldussüsteemidest lekkinud kaitseväelaste ja koolilaste terviseandmed.

Tavainimestele 2018. aasta kõige suurema mõjuga intsident juhtus kohe aasta alguses, kui 24. jaanuaril ei olnud suurel hulgal Elisa Eesti klientidel võimalik helistada hädaabinumbrile 112. Kaheksa ja poole tunni jooksul püüdsid 151 abivajajat teha kokku umbes 600 kõnet ega saanud häirekeskusega ühendust. Õnneks lõppes juhtum tõsiste tagajärgedeta.

Tagasi üles