Ei midagi uut siin päikese all – mida kujutavad endast eile Eestit tabanud DDoS-rünnakud?

Värskeim ja tuntuim DDoS rünnak pärineb 21. aprillist, kui Riigi Infosüsteemi Ameti (RIA) teatel rünnati muuhulgas eesti.ee, id.ee, politsei.ee, vm.ee, president.ee lehekülgi ja prooviti häirida ka teiste riigiga seotud organisatsioonide veebilehtede tööd.

Ka meie lähinaabrite juures oli üsna hiljutisi sellealaseid kogemusi. Samal ajal, kui Ukraina president Volodõmõr Zelenski pidas 8. aprillil videosilla vahendusel kõnet Soome parlamendile, tabasid massilised küberrünnakud Soome kaitse- ja välisministeeriumi servereid, mistõttu mõlema ministeeriumi kodulehed olid ajutiselt internetikasutajatele kättesaamatud. Hetkel on veel teadmata, kes täpselt võis nende rünnakute taga olla, kuid väga suure tõenäosusega võib eeldada, et omavahel on seotud nii president Zelenski esinemine kui Ukrainas koletut sõjategevust pidava Venemaa ähvardused Soome suunal meie põhjanaabri NATO-püüdluste tõttu.

DDoS rünnakuid viiaksegi läbi nii-öelda hollywoodilikus võtmes, et  ründe organiseerija istub piltlikult öeldes keldris ning tellib rünnaku mõnesaja euro eest kuskilt Nigerist, Tšaadist või Svaasimaalt.

Nii meie endi kui Soome kogemused on head näited sellest, et ummistusrünnakud on ka tänasel päeval aktuaalne küberoht ning sellega tuleb jätkuvalt arvestada. Antud juhtudel võib muidugi üsna suure kindlusega näidata näpuga rünnaku tellija suunas. Seda isegi juhul, kui konkreetsed rünnakud ei tulnud Venemaa serveritest, kuna DDoS rünnakuid saab tänapäeval tellida sisuliselt igaüks ja pealtnäha ükskõik kust kohast.

Kusjuures on tõsi, et DDoS rünnakuid viiaksegi läbi nii-öelda hollywoodilikus võtmes, et  ründe organiseerija istub piltlikult öeldes keldris ning tellib rünnaku mõnesaja euro eest kuskilt Nigerist, Tšaadist või Svaasimaalt. Või kõigist korraga, kust siis hakatakse mõnda veebilehte ründama. Kui üks rünnakusuund pannakse kinni, siis jätkub pommitamine mujalt.

5-10 minutit seisakut võib olla juba liiga palju

Viimane asjaolu ongi üks olulisimaid, millele enda organisatsiooni kaitsel mõelda. Sõltuvalt tegevusalast ja ettevõtte suurusest tuleb läbi mõelda, mida tähendab nii rahaliselt kui maine mõttes see, kui su koduleht või kliendile suunatud rakendused ei tööta isegi viis minutit. Mis juhtub aga 10-20-minutilise «maas» oleku ajal, tunni jooksul? Arvestada tuleb, et rünnakut korraldada on nii lihtne, nagu enne kirjeldatud.

Kui organisatsioonil on vähegi kliendiga kokkupuuteid või sõltub ettevõtte enda erinevate osakondade-üksuste töö võrgu laitmatust toimimisest, siis võib ka kergem rünnak pehmelt öeldes väga ebameeldivaks kujuneda, kui mitte just tegevust laiemalt halvata ja sealjuures ka märkimisväärset rahalist kahju põhjustada.

Avalikust meediapildist jääb sageli mulje, et DDoS rünnakud ongi pigem suunatud kas riigiasutuste vastu nagu pronksiööl või nüüd äsja nii meil kui Soomes või ka finantsorganisatsioonide vastu, kel suur kliendibaas ja korraliku intensiivsusega võrguliiklus. Üheks värskeks ja lähedaseks näiteks on Soome, kus märtsi alguses sattus DDoS-rünnaku alla Nordea Pank.

Kuid tegelikkuses on rünnatavad ka «tavalised» asutused-ettevõtted. Lihtsalt sellest ei räägita nii avalikult. Riigi Infosüsteemi Amet märgib mullust aastat kokku võtvas küberturvalisuse aastaraamatus, et suuremate DDoS rünnakute arv kasvas 2020. aastal olnud 32 pealt mullu 47 peale. See tähendab peaaegu üht suuremat rünnakut igal nädalal. Samuti märgib RIA, et selget tõusutrendi näitavad juba 2020. aasta suvest alates ka väiksemad rünnakud.

Mittetöötavale lehele tagasi ei tulda

Oletame, et tegu on mõne veebipoega, kes kavandab müügikampaaniat. Näiteks mõni nädalavahetuse või á la Musta Reede -30%. Ning on mitmelt poolt maailmast küllalt näiteid, et just neil hetkedel sind ähvardatakse rünnakuga. Kui sa just ei maksa, sest ka paarkümmend minutit ilma müügita mõjutab sind otseselt rahaliselt ja ka maine mõttes. Ning viimane omakorda tähendab rahalist kadu, sest küllap mõtleb nii mõnigi klient, et mittetöötavale lehele pole teist korda mõtet tagasi minna.

Seega – iga ettevõtte küberhügieeni lahutamatu osa peaks olema riskide hindamine ja oma IT-taristu kaitse juba enne võimalikku rünnakut. See hõlmab nii kaitse planeerimist luna- või pahavararünnakute vastu tulemüüride näol, aga ka DDoS-i vastast kaitset.

Sõltumata ettevõtte suurusest ja tegevusalast oled igal juhul potentsiaalse küberrünnaku sihtmärk.

DDoS-i vastast kaitset on võimalik teha oma võimsamate seadmetega, mis suudavad tõrjuda ummistusrünnakute katseid. Sellel aga on omad miinused. DDoS-rünne võib olla nii mahukas, et selle tõrjumiseks vajalik seade läheb väga kalliks ning arvestades, et enamuse ajast ründeid ei toimu, seisab see isiklik suur investeering niisama.

Oluliselt lihtsam lahendus oleks vastavasisuline teenus tellida mõne internetiteenuse pakkuja käest. Näiteks Elisalgi ­on selleks oma suur «puhverjaam», mis suudab sissetuleva rünnaku operatiivselt tuvastada ning kasvõi terabitise pahatahtliku liikluse enne rünnatava kodulehele jõudmist summutada.

On mõnevõrra juba kulunud ütlus, et sõltumata su ettevõtte suurusest ja tegevusalast oled igal juhul potentsiaalse küberrünnaku sihtmärk. Kuid mida enam me ise kolime kõiges võrku ja võrguseadmetesse, seda enam on tegu paratamatusega. Seega peaks tähelepanu küberturvalisusele olema ka iga ettevõtte äristrateegia lahutamatu osa. Ja seda pidevalt, mitte suhtumisega, et ma tunamullu juba kaitsesin end, nüüd on mõnda aega muretu.