Harju Omavalitsuste Liidu projektiga „Turvaline Harjumaa“ omavalitsustesse paigaldatud valvekaameratesse häkiti möödunud aastal neljas kohas mitmel korral sisse. Kus kandis kurjamid täpsemalt tegutsesid, riigi infosüsteemi amet (RIA) ei avalda.
Rünneteks kasutati ära kaamerate lappimata turvaauke ning asjaolu, et ligipääs seadmetele oli piiramata. Kompromiteeritud kaamerad ei edastanud ega salvestanud mitme päeva vältel pilti, teatas Riigi Infosüsteemi Amet (RIA) oma küberturvalisuse aastaraamatus. RIA sai juhtumitest teada tänu ühe valla infoturbetöötaja teavitusele ning edastas hoiatuse teistele omavalitsustele.
RIA infoturbeintsidentide käsitlemise osakonna CERT-EE infoturbe ekspert Sille Laks ütles Harju Elule, et sissemurdmised tuvastati mullu sügisel. „Internetti ühendatud valvekaamera püsivara oli uuendamata ning sisaldas turvanõrkust, mille kaudud siseneti kaameratesse,“ selgitas ta.
Sisenemise tegi tema sõnul lihtsamaks ka see, et kaameratele oli internetist avalik ligipääs.
Kuivõrd CERT-EEle laekunud intsidente käsitletakse konfidentsiaalse infona, ei saa Laksi sõnul öelda, millistes Harjumaa omavalitsustes kaameratesse sisse murti.
Otsest ohtu polnud
„Turvalise Harjumaa“ eesmärk oli paigaldada valvekaamerad avalikesse kohtadesse, kus liigub palju inimesi ning kus on probleeme varguste või vandaalidega. Vallad-linnad said ise valida kohad ning kaamerate arvu. Kaameratest lootis juhtumite lahendamiseks abi ka politsei. Nüüd aga juhtus vastupidine asi ning kaameraid asusid kasutama kurjamid.
Sille Laksi sõnul ei tasu siiski karta, et see kellegi eraelule ohtu kujutas. „Kohalikele elanikele ülevõetud kaamerad otsest ohtu ei kujuta. Pigem mõjutab see avaliku korra tagamise tõhusust juhtudel, kus kaamera vaateväljas on toimunud vandaalitsemine ja kaamerapildi puudumise tõttu ei ole võimalik süüdlasi tuvastada,“ selgitas ta.
Aga mida soovisid kurjamid häkkimisega saavutada? Laksi sõnul ei ole eesmärk konkreetse valvekaamera ärakasutamine, vaid pigem otsitakse internetist avalikult kättesaadavaid seadmeid, mis on teadaolevate turvanõrkuste tõttu haavatavad, kaitstud vaike- või nõrkade paroolidega või üldse parooliga kaitsmata.
„Osal juhtudel polegi seadmetele võimalik parooli seada ning siis saab neid edaspidi omavoliliselt ära kasutada, näiteks kuvada avalikku kaamerapilti näitavale lehele enda soovitud sisu,“ ütles ta ja tõi näiteks kurikuulsa Mirai robotvõrgu, mis tekitas üle maailma palju segadust ning mis kasutas IP-kaameraid DynDNSi teenusetõkestusründe läbiviimiseks.
Kuidas end kaitsta?
Kuigi projekti „Turvaline Harjumaa“ viis läbi Harjumaa Omavalitsuste Liit, on ostetud valvekaamerad nüüd omavalitsuste omad ja nemad ka vastutavad võimalike probleemide eest. Igas omavalitsuses ei pruugi aga olla pädevat IT asjatundjat, kes taoliste probleemidega toime tuleks.
Laksi sõnul tuleb juba enne kaamera soetamist veenduda, et kaamerale ligipääsu on võimalik parooliga piirata ja koha peale soetamist vahetada vaikeparool tugeva parooli vastu ning piirata haldusliidesele avalikust internetist ligipääsemist.
„Edaspidi tuleb veenduda, et kaamerates on kasutusel püsivara viimane versioon, mis sisaldab värskeid uuendusi,“ ütles Laks. „Kui omavalitsuses puudub tehniline kompetents kaamerate turvamiseks, oleks mõistlik tugiteenus sisse osta.“
KOMMENTAAR: Joel Jesse, Harju Omavalitsuste Liidu tegevdirektor
Projekt on tänaseks lõppenud ning Harjumaa Omavalitsuste Liit on kaamerad kõigile Harjumaa omavalitsustele juba 2016. aastal üle andnud. Harjumaa Omavalitsuste Liidu roll oli koordineerida maakondlikult kaamerate hankimise ja omavalitsuste koolitamise protsessid. Meieni ei olnud informatsiooni jõudnud, et keegi on kaameratesse sisse tunginud või kahjustanud nende kaamerate toimimist. Tõenäoliselt võis see juhtuda selle pärast, et on jäänud kaameratele ja/või salvestitele tarkvarauuendused tegemata – õpitakse ikka läbi kogemuste. Me loodame, et tulevikus sellised muresid nende kaameratega enam ei esine, kuna läbi kogemuste on kindlasti tõusnud omavalitsuste teadlikus nende haldamisel/hooldamisel.