Lunavara 2026: Mitnicki valem ehk kuidas oma andmetele kotti pähe ei tõmmata

Sissejuhatus

Selle nädala teema oli andmeturve ja Kevin Mitnicki kuulus kolmikvalem: turvalisus = tehnoloogia × koolitus × reeglid. Valisin lahkamiseks ohu, mis on viimase viie aastaga täiesti laviinina kasvanud ja on minu arvates tänapäeval kõige suurem peavalu nii tavakasutajale kui ka ettevõttele. Tegu on muidugi lunavaraga (ransomware). Ma ise mässan kodus piisavalt suure NAS-iga, nii et see teema pole minu jaoks mingi teoreetiline ulme, vaid täiesti reaalne hirm. Ükski IT-vend ei taha pühapäeva hommikul avastada, et kõik failid on krüpteeritud ja ekraanil ilutseb punane teade koos Bitcoini aadressiga.

Miks lunavara on ikka veel nii massiline probleem?

Lunavara kui kontseptsioon pole tegelikult mingi uus asi, sest esimesed näited nagu AIDS Trojan on pärit juba 1989. aastast. Aga tõsine tänapäevane terror algas CryptoLockeriga kuskil 2013. aasta kandis ja sealt edasi on see kasvanud täiesti eraldiseisvaks tööstusharuks. Lunavara ei tee enam mingid üksikud kapuutsiga nohikud keldris. Need on täielike äriprotsessidega kuritegelikud sündikaadid. Neil on oma "klienditugi", nad teevad "headele klientidele" allahindlusi ja annavad isegi garantii, et pärast maksmist saad failid tagasi. Kui nad üle laseksid, kukuks nende maine kokku ja keegi enam ei maksaks. Puhas klienditeenindus, lihtsalt kriminaalses võtmes.

Suurim muutus on see, et massilisest õngitsemisest on liigutud otse suurettevõtete ja riigiasutuste kõride kallale. Colonial Pipeline (2021), Costa Rica valitsus (2022) ja see lõputu laviin Euroopa haiglate ründamisi. Need kaagid ei viitsi enam eraisikult 300 dollarit välja pressida, vaid nõuavad miljoneid, sest nad teavad, et iga minut seisakut maksab ettevõttele hingehinda. Ja kui haigla süsteemid kotti pannakse, on asi reaalselt eludes kinni. Kuidas selle kõige vastu siis Mitnicki valemiga võidelda?

Tehnoloogia ehk raud peab paigas olema

Valemi esimene osa on tehnoloogia. Võrgu tasemel on kõige elementaarsem asi segmenteerimine, olgu siis kodus või kontoris. Minul näiteks jookseb koduvõrk nii, et kriitilised asjad (TrueNAS koos varukoopiate ja peamiste andmetega) on täiesti eraldi subnet'is ja mingi suvaline torrentimasin on isoleeritud Dockeri keskkonnas VPN-i taga. Kui üks masin pihta saab, ei jookse pahavara kohe tuima näoga tervesse võrku laiali. Tavainimesele kõlab see VLAN-ide ja tulemüüride jutt tihti nagu tuumafüüsika, aga tegelikult päästab isegi mõistliku ruuteri ostmine ja võrkude eraldamine juba väga palju.

Teine ja kõige olulisem punkt: backup, backup ja veel kord backup. Vana hea 3-2-1 reegel, kolm koopiat, kahel erineval meediumil, millest üks asub füüsiliselt kuskil mujal. Ja mis peamine, see varukoopia peab olema offline või kirjutuskaitstud. Kui lunavara saab su serverile ligi ja su varukoopia ketas on sinna loe-kirjuta õigustega külge poogitud, siis tõmmatakse see sama targalt krüptosse. Ma ise kasutan TrueNAS-is ZFS-i immutable snapshot'e (muutumatuid hetketõmmiseid), mida pahavara lihtsalt ei saa üle kirjutada ega ära petta.

Kolmas asi on labased uuendused. Enamik lunavara poeb sisse läbi mingi turvaaugu, millele on tegelikult ammu paik olemas, aga mingi vend pole viitsinud "Update" nuppu vajutada. Windowsi automaatsed uuendused peavad sees olema ja Linuxis tuleb kord nädalas oma apt update ja apt upgrade ära teha.

Koolitus ehk probleem on tooli ja klaviatuuri vahel

Kogu see kallis tehnoloogia ja tulemüür lendab sekundiga vastu taevast, kui keegi kontoris valel lingil klikib. Valemi teine osa on koolitus ja siin kukub 90% ettevõtteid kolinal läbi.

Phishing ehk õngitsemine on endiselt kõige lollikindlam viis, kuidas lunavara sisse tuua. Inimesele saadetakse meil, mis näeb täiesti ehtne välja: "Teie arve on maksmata", "Pakk ootab DHL-is" või "Tegevjuht palub kiirelt ülekanne teha". Inimene avab ilusasti kaasas oleva makrosid täis Wordi faili ja ongi pidu läbi, sest pahavara on lahti lastud. Selle vastu ei aita mingi uus ja kallis viirusetõrje, vaid ainult treenitud personal, kes suudab sellist jama une pealt ära tunda. Ettevõtted peaksid regulaarselt tegema phishing-simulatsioone. Saadad ise oma töötajatele libakirju ja vaatad, kes orki lendab. Kes klikib, saadetakse uuesti koolitusele. Ja see koolitus peab olema pidev protsess, mitte kord aastas näidatav igav PowerPoint.

Reeglid ehk mis saab siis, kui kott on juba peas

Kolmas osa valemist on reeglid. Ettevõttes peavad olema selged ja lollikindlad protokollid. Mis juhtub siis, kui keegi avastab, et ta masin on nakatunud? Keda ta esimesena teavitab? Kuidas tõmmatakse nakatunud masinal kohe juhe seinast? Kes teeb otsuse, kas lunaraha maksta või mitte?

Minu isiklik seisukoht on see, et maksta ei tohiks mitte kunagi. See ainult toidab seda kuritegelikku masinavärki ja keegi ei anna sulle nagunii garantiid, et sa oma failid reaalselt tagasi saad. Aga seda otsust ei tohi teha paanikas IT-vend pühapäeva öösel kell kolm. Selleks peab olema eelnevalt paika pandud tegevuskava. Reeglid peavad olema ka kodukasutajal. Minu isiklik kuldreegel on see, et kui mingi meil tundub isegi natukene kahtlane, siis ma enne ei kliki, kui olen saatja aadressi (mitte ainult nime, mida võltsitakse sekundiga) täpselt üle kontrollinud.

Lõpetuseks

Lunavara ohtu ei saa maandada mingi ühe supertootega, mille sa poest ostad. See ongi täpselt Mitnicki valemi kolme osa korrutis: tehnoloogia × koolitus × reeglid. Kui üks neist on null, on kogu tulemus null. Tehnoloogia üksi ei päästa, kui töötaja ikkagi õngitsuskirja avab. Koolitusest pole kasu, kui korralikud varukoopiad on tegemata. Ja reeglid ei aita, kui keegi ei viitsi neid kriisihetkel järgida. Lõpuks taandub kõik sellele, et sa pead oma digihügieeni eest ise vastutama. Ettevõtetel on seda ehk kergem öelda, aga ka kodus tuleb need minimaalsed sammud ära teha. Sa ju ei taha, et mingi suvaline kaak su kümne aasta fotoarhiivi ja dokumendid kinni paneb ning siis tuima näoga sult Bitcoine nõudma hakkab.