08:04 10. Detsember 2019
Kuula otse
  • USD1.1075
  • RUB70.5731
ID-turvalisuse spetsialist: Eesti pangasüsteem ei ole piisavalt kaitstud, illustreeriv foto

ID-turvalisuse spetsialist: Eesti pangasüsteem ei ole piisavalt kaitstud

© Фото : e-Residency
Eesti uudised
lühendatud link
72 0 0

Hiljuti elektroonilisse isikutuvastussüsteemi sisse murdnud häkkerid kasutasid lihtlabast standardset skeemi, kuid Eestis tuleb ette ka tõsisemaid juhtumeid, kuna ettevõtted hoiavad küberturvalisuse pealt raha kokku. Sputnik Eesti uuris asjatundja abiga, mis ID-turvalisusega parajasti toimub ja miks nii juhtub.

TALLINN, 23. mai — Sputnik. Eestimaa elanikud on taas kord sattunud SMS-petiste õnge ja andnud nende kätte oma mobiilirakenduste paroolid rahalisteks tehinguteks.

Pangaliit: Smart-ID turvalisuses pole põhjust kahelda >>

Vähemalt 20 inimest osutus Eestis ohvriteks kurikaeltele, kes murdsid sisse Smart-ID süsteemi ja võtsid pangakontodelt selle kasutajate tuvastuskoode kopeerides raha välja.

SMS-sõnumid, mille Eesti elanikud aasta algul justnagu pangalt said, sisaldasid palvet oma andmed uuendada, kinnitades need Mobiil-ID isikutuvastuskoodidega. Kopeeritud koode kasutasid häkkerid uue konto loomiseks Smart-ID rakenduses, teatas kohalik meedia.

СЕО-специалист, руководитель компании IT-Best Фёдор Корчагин
© Фото : из личного архива Фёдора Корчагина
Fjodor Kortšagin

Ettevõtte IT-Best juhataja, küberspetsialist Fjodor Kortšagin selgitas Sputnik Eestile, mida kujutab endast "veebikalastus" ja mispärast tasub säärastesse rakendustesse nagu Mobiil-ID ja Smart-ID suhtuda ettevaatlikumalt.

Petised täiustavad oma oskusi

Kortšagini sõnul on Eestis, nagu teisteski riikides, laialdaselt levinud arvutikasutajate manipulerimisel põhinev andmete kalastus- ehk õngitsuspraktika, nn social engineering. Kortšagini sõnul häkkerid ei tuku ja arenevad hoogsalt koos infotehnoloogiaga.

Asjatundja soovitab neil, kes saavad pangalt või maksuametilt kirja palvega oma andmed kinnitada, pöörata tähelepanu aadressile, millelt sõnum on saadetud. Häkkerid loovad domeeni, mis sarnaneb vägagi organisatsiooni nimega, lisades sellele muu lõpu.

"Näiteks mitte bank.ee, vaid bank1.ee. Kirja lõppu pannakse väidetava finantsdirektori või mõne muu selles asutuses tegelikult töötava tippametniku allkiri," tõi Kortšagin näite.

Ta märkis, et Mobiil-ID ja Smart-ID rakendustega seotud juhtumis kasutati standardset häkkeriskeemi, mis asjatundjate keskis on saanud nimeks "smishing" (seega "SMS-sõnumdamine"). Seetõttu soovitab asjatundja enne sõnumeis pakutud linkide lahtiklõpsamist pöörata tähelepanu telefoninumbrile, millelt sõnum on saabunud. Reeglina ei kuulu need numbrid Eesti mobiilioperaatoritele. Kõige parem oleks sellesse asutusse helistada ja veenduda, kas nad on tõesti sõnumi saatnud.

"Mõned pangad on nimelt loobunud SMS-sõnumite saatmisest, et nende kliendid andmeõngitsejate ohvriteks ei osutuks," ütles Kortšagin.

Tasub valvas olla

Arvete tasumiseks või rahaülekanneteks kasutatakse Eestis kõige sagedamini selliseid mobiilirakendusi nagu Mobiil-ID ja Smart-ID. Kasutatakse ka võimalust teha rahalisi tehinguid ID-kaardi abil.

"Kui valida kolmest kurjast ohutuim, siis on kõige etem kasutada nimelt Mobiil-ID-d. Ehkki sajaprotsendiliselt ei saa midagi usaldada," nentis Kortšagin.

Mitu aastat veebiturvalisuse valdkonnas töötanud Kortšagin selgitas, miks saitidele sissemurdmised ja andmelekked küllaltki sageli aset leiavad. Põhiprobleem seisneb tema sõnul selles, et ühe või teise rakenduse väljatöötamisel tahab ettevõte raha säästa ning värbab outsource-saitidelt allhanke korras programmeerijaid ning seejärel käsutab saadud koode omal äranägemisel.

"Süsteem ei osutu kuigi turvaliseks, kuna esmalt võeti nõuks odavamalt läbi ajada. Varem või hiljem hakkab see siis logisema," lausus Kortšagin.

Ta märkis, et Eestiski hoitakse raha kokku ja suhtutakse küberturvalisusse üsna hoolimatult. Probleemile reageeritakse alles pärast selle ilmnemist, selle asemel et aegsasti kaitsemüür rajada.

Kortšagini hinnangul on Euroopa Liidu kirderiikide pangasüsteemid üsna nõrgalt kaitstud ning kuna Eesti on väike riik, siis on see eriti märgatav. "Kui me kaevama hakkame, siis leiame väga palju vahejuhtumeid, ainult et keegi ei räägi sellest," ütles spetsialist.

Sagedane ja massiline nähe

Iisiklike andmete lekkeid toimub Eestis ikka ja jälle. Nii näiteks avastati Riigi Infosüsteemide Ameti (RIA) teadaande kohaselt 2019. aasta jaanuaris andmeleke 460 000 kasutaja puhul, kelle e-posti aadressid kuulvad Eesti domeenidele (lõpuga ".ee").

Läinud aasta sügisel leidis aset ulatuslik andmeleke Eesti koolivõrgu teabesüsteemist EKIS, mis tekitas ühiskonnas suurt vastukaja.

Tänavu aprillis sai teatavaks, et Eesti Sotsiaalkindlustusametile saadetud kirjad delikaatse teabe ja isikuandmetega on kõigile avalikult nähtaval. Ameti esindajad tunnistasid, et see juhtus inimliku eksimuse tõttu, tegu oli mõnede töötajate eksimusega.

On olnud ka mitu juhtumit, kus on toimunud ühe suurima suhtlusvõrgustiku Facebook kasutajate isikuandmete leke.

Tarkvaraarendaja Andrei Solntsev soovitas veebikasutajatel järgida mõnda lihtsat reeglit, mida saab lugeda siin.

*Outsourcing tähendab allhankeid, kus organisatsioon delegeerib lepingu alusel tootmisettevõtte teatud liiki toimingud või ülesanded teisele ettevõttele.

Tagid:
küberturvalisus, turvalisus, häkker, smart-ID

Peamised teemad