ID-turvalisuse spetsialist: Eesti pangasüsteem ei ole piisavalt kaitstud, illustreeriv foto

ID-turvalisuse spetsialist: Eesti pangasüsteem ei ole piisavalt kaitstud

88
(Uuendatud 15:50 23.05.2019)
Hiljuti elektroonilisse isikutuvastussüsteemi sisse murdnud häkkerid kasutasid lihtlabast standardset skeemi, kuid Eestis tuleb ette ka tõsisemaid juhtumeid, kuna ettevõtted hoiavad küberturvalisuse pealt raha kokku. Sputnik Eesti uuris asjatundja abiga, mis ID-turvalisusega parajasti toimub ja miks nii juhtub.

TALLINN, 23. mai — Sputnik. Eestimaa elanikud on taas kord sattunud SMS-petiste õnge ja andnud nende kätte oma mobiilirakenduste paroolid rahalisteks tehinguteks.

Pangaliit: Smart-ID turvalisuses pole põhjust kahelda >>

Vähemalt 20 inimest osutus Eestis ohvriteks kurikaeltele, kes murdsid sisse Smart-ID süsteemi ja võtsid pangakontodelt selle kasutajate tuvastuskoode kopeerides raha välja.

SMS-sõnumid, mille Eesti elanikud aasta algul justnagu pangalt said, sisaldasid palvet oma andmed uuendada, kinnitades need Mobiil-ID isikutuvastuskoodidega. Kopeeritud koode kasutasid häkkerid uue konto loomiseks Smart-ID rakenduses, teatas kohalik meedia.

СЕО-специалист, руководитель компании IT-Best Фёдор Корчагин
© Фото : из личного архива Фёдора Корчагина
Fjodor Kortšagin

Ettevõtte IT-Best juhataja, küberspetsialist Fjodor Kortšagin selgitas Sputnik Eestile, mida kujutab endast "veebikalastus" ja mispärast tasub säärastesse rakendustesse nagu Mobiil-ID ja Smart-ID suhtuda ettevaatlikumalt.

Petised täiustavad oma oskusi

Kortšagini sõnul on Eestis, nagu teisteski riikides, laialdaselt levinud arvutikasutajate manipulerimisel põhinev andmete kalastus- ehk õngitsuspraktika, nn social engineering. Kortšagini sõnul häkkerid ei tuku ja arenevad hoogsalt koos infotehnoloogiaga.

Asjatundja soovitab neil, kes saavad pangalt või maksuametilt kirja palvega oma andmed kinnitada, pöörata tähelepanu aadressile, millelt sõnum on saadetud. Häkkerid loovad domeeni, mis sarnaneb vägagi organisatsiooni nimega, lisades sellele muu lõpu.

"Näiteks mitte bank.ee, vaid bank1.ee. Kirja lõppu pannakse väidetava finantsdirektori või mõne muu selles asutuses tegelikult töötava tippametniku allkiri," tõi Kortšagin näite.

Ta märkis, et Mobiil-ID ja Smart-ID rakendustega seotud juhtumis kasutati standardset häkkeriskeemi, mis asjatundjate keskis on saanud nimeks "smishing" (seega "SMS-sõnumdamine"). Seetõttu soovitab asjatundja enne sõnumeis pakutud linkide lahtiklõpsamist pöörata tähelepanu telefoninumbrile, millelt sõnum on saabunud. Reeglina ei kuulu need numbrid Eesti mobiilioperaatoritele. Kõige parem oleks sellesse asutusse helistada ja veenduda, kas nad on tõesti sõnumi saatnud.

"Mõned pangad on nimelt loobunud SMS-sõnumite saatmisest, et nende kliendid andmeõngitsejate ohvriteks ei osutuks," ütles Kortšagin.

Tasub valvas olla

Arvete tasumiseks või rahaülekanneteks kasutatakse Eestis kõige sagedamini selliseid mobiilirakendusi nagu Mobiil-ID ja Smart-ID. Kasutatakse ka võimalust teha rahalisi tehinguid ID-kaardi abil.

"Kui valida kolmest kurjast ohutuim, siis on kõige etem kasutada nimelt Mobiil-ID-d. Ehkki sajaprotsendiliselt ei saa midagi usaldada," nentis Kortšagin.

Mitu aastat veebiturvalisuse valdkonnas töötanud Kortšagin selgitas, miks saitidele sissemurdmised ja andmelekked küllaltki sageli aset leiavad. Põhiprobleem seisneb tema sõnul selles, et ühe või teise rakenduse väljatöötamisel tahab ettevõte raha säästa ning värbab outsource-saitidelt allhanke korras programmeerijaid ning seejärel käsutab saadud koode omal äranägemisel.

"Süsteem ei osutu kuigi turvaliseks, kuna esmalt võeti nõuks odavamalt läbi ajada. Varem või hiljem hakkab see siis logisema," lausus Kortšagin.

Ta märkis, et Eestiski hoitakse raha kokku ja suhtutakse küberturvalisusse üsna hoolimatult. Probleemile reageeritakse alles pärast selle ilmnemist, selle asemel et aegsasti kaitsemüür rajada.

Kortšagini hinnangul on Euroopa Liidu kirderiikide pangasüsteemid üsna nõrgalt kaitstud ning kuna Eesti on väike riik, siis on see eriti märgatav. "Kui me kaevama hakkame, siis leiame väga palju vahejuhtumeid, ainult et keegi ei räägi sellest," ütles spetsialist.

Sagedane ja massiline nähe

Iisiklike andmete lekkeid toimub Eestis ikka ja jälle. Nii näiteks avastati Riigi Infosüsteemide Ameti (RIA) teadaande kohaselt 2019. aasta jaanuaris andmeleke 460 000 kasutaja puhul, kelle e-posti aadressid kuulvad Eesti domeenidele (lõpuga ".ee").

Läinud aasta sügisel leidis aset ulatuslik andmeleke Eesti koolivõrgu teabesüsteemist EKIS, mis tekitas ühiskonnas suurt vastukaja.

Tänavu aprillis sai teatavaks, et Eesti Sotsiaalkindlustusametile saadetud kirjad delikaatse teabe ja isikuandmetega on kõigile avalikult nähtaval. Ameti esindajad tunnistasid, et see juhtus inimliku eksimuse tõttu, tegu oli mõnede töötajate eksimusega.

On olnud ka mitu juhtumit, kus on toimunud ühe suurima suhtlusvõrgustiku Facebook kasutajate isikuandmete leke.

Tarkvaraarendaja Andrei Solntsev soovitas veebikasutajatel järgida mõnda lihtsat reeglit, mida saab lugeda siin.

*Outsourcing tähendab allhankeid, kus organisatsioon delegeerib lepingu alusel tootmisettevõtte teatud liiki toimingud või ülesanded teisele ettevõttele.

88
Tagid:
küberturvalisus, turvalisus, häkker, smart-ID
Руководитель представительства МИА Россия сегодня в Эстонии, шеф-редактор Sputnik Эстония Елена Черышева

Sputnik Eesti asus tööle erirežiimis. Peatoimetaja avaldus

(Uuendatud 00:17 01.01.2020)
Sputnik Eesti juhataja Elena Cherysheva selgitas portaali lugejatele suunatud pöördumises olukorda seoses portaali töö peatumisega. Avaldame avaliku pöördumise tervikteksti.

Austatud lugejad!

Tänasest, nagu näete, erineb Sputnik Eesti veebisait tavapärasest. Tõenäoliselt teate juba muutuse põhjust, kuid pean vajalikuks toimunu veel kord lahti seletada.

Alates 1. jaanuarist võeti meilt võimalus teie heaks töötada.

Eesti politsei- ja piirivalveamet esitas meile kõigile ultimaatumi: me kas katkestame töölepinguid rahvusvahelise uudisteagentuuriga "Rossiya Segodnja" ega tööta enam Sputnik Eestis, või meie suhtes algatatakse kriminaalasjad.

Eelmise aasta viimastel päevadel arutasime korduvalt kujunenud olukorda ja jõudsime järeldusele, et hoolimata võimude nõudmiste absurdsusest ja ohust, mille reaalsusse me tegelikult uskuda ei tahaks, ei ole meil õigust oma inimeste saatusega riskida.

Selle tulemusel olid toimetuse töötajad sunnitud 1. jaanuarist lõpetama töösuhted Sputnik Eesti ja RIA "Rossiya Segodnjaga". Kas see tähendab, et saidi elupäevad on lõppenud? Ei, see pole nii.

Sait jätkab tööd täies mahus, kuid protsessi organiseerimine selliselt, et me ei peaks Eesti võimude pideva surve all elama, võtab veel natuke aega. Loomulikult proovime töö võimalikult kiiresti taastada. 

Tahan tänada teid, kallid lugejad, meie tegevuse toetamise eest nelja aasta vältel ja eriti viimastel kuudel, kui surve ja ähvardused kõigi meie ja meie partnerite vastu muutusid äärmuslikeks.

Pangad külmutasid meie palgad, meie büroo omanikule avaldati survet ja sunniti teda meiega lepingut lõpetama. Seda kõike tehti karistusseadustiku paragrahviga ähvardamise taustal, mis näeb ette kuni viis aastat vabadusekaotust.

Meie ainus "süü" on selles, et oleme ajakirjanikud võimudest sõltumatus meediaväljaandes ja lihtsalt teeme oma tööd.Võideldes võimaluse eest töötada, võitleme me nii Eestis kui ka välismaal asuvate lugejate õiguse eest saada täielikku teavet.

Meiega võib mitte nõustuda. Võib vaielda ja kritiseerida. Kuid meie jaoks on peamine lugejate võimalus iga päev meie sait avada ja iseseisvalt infot, kommentaare ja pakutavaid järeldusi hinnata.

Seda nimetatakse sõnavabaduseks, mis kahjuks tänases Eestis puudub, vaatamata tõsiasjale, et "Piirideta reporterite" arvates sobib meie riik väljendusvabaduse pingereas maailmas 11. kohale.

Täname veelkord kõiki meie lugejaid, kolleege, avaliku elu tegelasi, poliitikuid ja lihtsalt kõiki ausaid inimesi nende toetuse eest nii Eestis kui ka teistes riikides.

Saadud toetus ei jäta meile muud valikut, kui jätkata võitlust õiguse eest tõtt rääkida ja teile täielikku ja kvaliteetset informatsiooni pakkuda. Tuleme varsti tagasi!

Lugupidamisega,

Elena Cherysheva
RIA "Rossija Segodnja" Eesti esinduse juhataja

Tagid:
tagakiusamine, sõnavabadus, Sputnik Eesti, Eesti
Teema:
Võimud ähvardavad ajakirjanikke kriminaalkaristusega
Sputnik Eeti pressikeskus

RIA "Rossija Segodnja" vastas Eesti režiimi seadusetusele: mis ootab Sputnik Eestit

(Uuendatud 15:30 31.12.2019)
Kriminaalkaristusega ähvardamise tõttu on Sputnik Eesti toimetuse töö peatatud, kuid veebisait jätkab hiljem tegevust, teatas uudisteagentuur "Rossija Segodnja".

TALLINN, 31. detsember — Sputnik. Avaldame RIA "Rossija Segodnja" pressiteenistuse avalduse täisteksti.

"Eesti võimude ähvarduse tõttu kriminaalvastutusele võtmisest paragrahvi alusel, mis näeb ette kuni viieaastase vabaduskaotuse, olid Sputnik Eesti töötajad sunnitud lõpetama töösuhte toimetusega 1. jaanuariks 2020.

Sputnik Eesti ja RIA "Rossija Segodnja" toetavad oma kaastöötajate otsust.

Kahjuks näitab kogemus, et hoolimata Eesti võimude ähvarduste näilisest absurdsusest, on ajakirjanike kriminaalvastutusele võtmine tänapäeva Euroopas reaalsus. Me ei pea võimalikuks inimeste vabadusega riskida.

Peame Eesti režiimi tegevust oma riigi kodanike suhtes avalikuks tagakiusamiseks, õiguslikuks anarhiaks, totalitarismi ilminguks ja sõnavabaduse põhimõtete kõige jämedamaks rikkumiseks, millel puudub EL-s pretsedent.

Ajakirjanike ainsaks "süüks" on nende töö Venemaa meedias.

OSCE pressiesindaja Arlem Desir on juba öelnud, et Dmitri Kisseljovi suhtes kehtestatud Euroopa Liidu individuaalsete sanktsioonide laiendamine kõikidele agentuuridele ja ajakirjanikele on suur ajakirjandusvabaduse probleem.

Astume kõik vajalikud juriidilised ja muud sammud, et Sputniku ajakirjanikud saaksid töötada, kartmata, et Eesti õiguskaitseorganid nad kriminaalvastutusele võtavad.

Toimetuse tegevus on peatatud, kuid Sputnik Eesti veebisait jätkab ka tulevikus tegutsemist. Töö täielik taastamine võtab aga aega.

Kutsume kõiki rahvusvahelisi ja Euroopa organisatsioone üles avaldama oma seisukohta Eesti võimude tegevuse suhtes. Pöördume eriti ÜRO, EL, OSCE, Venemaa ajakirjanike liidu, Euroopa Parlamendi ja "Piirideta ajakirjanike" poole.

Täname ajakirjanike kogukonda, avaliku elu tegelasi, poliitikuid ja rahvusvahelisi organisatsioone kolleegide toetamise eest.

Moraalne tugi on praegusel hetkel väga oluline ja seda on vaja ka tulevikus."

Ametivõimude surve Sputnik Eestile

Tänavu sügisel sattusid Sputnik Eesti töötajad silmitsi surveavaldusega ametivõimude ja rahandusasutuste poolt. Esimese hoobi andsid rahvusvaheliste pankade Eesti filiaalid, külmutades palgaülekanded ning maksu- ja muude maksete ülekanded. Tulemusena oli bürooruumide üürileandja sunnitud tühistama toimetusega sõlmitud rendilepingu.

Seejärel saatis Politsei- ja Piirivalveameti Rahapesu Andmebüroo detsembri keskel Sputnik Eesti töötajatele kirjad ähvardusega alustada kriminaalmenetlust, kui nad 2020. aasta 1. jaanuariks oma töökohalt ei lahku.

Ähvarduse ettekäändeks osutus Rossija Segodnja peadirektori Dmitri Kisseljovi kandmine tema seisukoha tõttu Ukraina sündmuste suhtes Euroopa Liidu sanktsioonide alla kuuluvate isikute nimekirja.

Samas aga ei ole Vene riigile kuuluv Rossija Segodnja (Sputnik Eesti emaagentuur) ise mitte üheski sanktsioneeritavate nimekirjas ja mitte üheski Euroopa Liidu riigis tema töötajate suhtes selliseid meetmeid ei rakendata.

Sputnik Eesti peatoimetaja Elena Cherysheva esitas RIA Rossija Segodnja nimel politseile avalduse kontrollida toimetuse töötajate suhtes kohaldatud sanktsioonide aluseid.

Rahvusvahelise teabeagentuuri Rossija Segodnja ja telekanali RT peatoimetaja Margarita Simonjan on pöördunud Eesti presidendi Kersti Kaljulaidi poole üleskutsega mitte lasta ajakirjanikke vahi alla võtta.

Venemaa Föderatsiooninõukogu esimees Valentina Matvijenko lubas Eestile rakendada "tundlikke meetmeid" vastusena Sputnik Eesti töötajatele osaks saanud ähvardustele.

Balti riikide ametivõinud on korduvalt Venemaa meediakanalite tööle takistusi teinud. Venemaa välisministeeriumis on sedastatud, et nende riikide tegevusliinil on ilmsed kooskõlastatuse tunnused. Meedia ahistamisjuhtumid, nagu Venemaa välisministeeriumis märgiti, "näitavad ilmekalt, kui palju tegelikult maksavad Vilniuse, Riia ja Tallinna demagoogilised avaldused ustavusest demokraatia ja sõnavabaduse põhimõtetele."

Lugege lisaks:

Tagid:
Venemaa, Eesti, ajakirjanikud, kriminaalvastutus, RIA Rossija Segodnja, sõnavabadus, Sputnik Eesti
Teema:
Võimud ähvardavad ajakirjanikke kriminaalkaristusega
Samal teemal
Meedialahingud
Võimud ähvardavad ajakirjanikke kriminaalkaristusega