Trace Id is missing

Küberohustajad võtavad aina enam sihikule suurimaid spordiüritusi maailmas

Illustratsioonil on kujutatud Ameerika jalgpalli staadion ja hulk ikoone.

Ajakirja „Cyber Signals“ 5. väljaanne: Mängu seis

Küberohustajad lähevad sinna, kus on nende sihtmärgid, kasutades ära võimalust algatada nii sihitud kui ka laiema ulatusega oportunistlikke ründeid. See hõlmab ka olulisi spordiüritusi – eriti neid, mis leiavad aset aina enam digitaalsemaks muutuvates keskkondades. Ohus on nii ürituste korraldajad, piirkondlikud majutusasutused kui ka osalejad. Ühendkuningriigi riiklik küberkaitsekeskus (NCSC) on leidnud, et küberründed spordiasutuste vastu on üha levinumad; koguni 70% küsitletud asutuste esindajatest oli aasta jooksul kogenud vähemalt ühte rünnet, mis oli märkimisväärselt kõrgem näitaja kui ettevõtete keskmine rünnatus Ühendkuningriigis.

Surve tagada suurürituse sujuvus ja ohutus on suur ning see toob nii kohalikele korraldajatele kui ka rajatistele kaasa uusi probleeme. Üksainus valesti konfigureeritud seade, valedesse kätesse sattunud parool või kahe silma vahele jäänud kolmanda osapoole ühendus võib kaasa tuua andmeturbemurde või ründaja jaoks eduka sissetungi.

Microsoft pakkus küberturbetuge kriitiliste taristurajatiste jaoks 2022. aastal Kataris peetud jalgpalli MM-il (FIFA World Cup2022TM). Selles väljaandes kirjeldame isiklikele kogemustele tuginedes, kuidas küberohustajad neid üritusega seotud toimumispaikade, meeskondade ja kriitilise taristu keskkondi hindavad ja neisse salaja sisse tungivad.

Küberkaitse on meie kõigi kätes.

Microsoft tegi 10. novembrist 20. detsembrini 2022 Katari rajatistele ja organisatsioonidele küberkaitset pakkudes  634,6 miljonit autentimist.

Oportunistlikud ohustajad kasutavad ära sihtmärkidest tulvil keskkonda

Spordiüritusi ja toimumispaiku ohustavad küberründed on mitmekesised ja keerulised. Ohtude eskaleerumise vältimiseks ja ohtude leevendamiseks on tarvis pidevalt valvel olla ning eri huvirühmad peavad omavahel koostööd tegema. Kuna globaalse spordituru väärtuseks hinnatakse enam kui 600 miljardit USA dollarit, on see ründajatele ahvatlev sihtmärk. Spordimeeskonnad, kõrgliigad, ülemaailmsed spordiassotsiatsioonid ja meelelahutuskohad on väärtusliku teabe varasalv, millele küberkurjategijad hammast ihuvad.

Kurjategijaid ahvatleb teave sportlaste esituse ja konkurentsieeliste kohta ning nende isikuandmed. Kahjuks võib selline teave olla ulatuslikult haavatav, kuna neis keskkondades on arvukalt võrguühendusega seadmeid ja omavahel ühendatud võrke. Sageli on samast nõrkusest haaratud lausa mitu omanikku ning nendega koos on haavatavad ka meeskonnad, sponsorfirmad, omavalitsusasutused ja kolmandatest osapooltest alltöövõtjad. Andmeleketele ja väljapressimisele võivad haavatavad olla ka treenerid, sportlased ja fännid.

Ka ürituste toimumiskohtades ja spordirajatistes on palju nõrkusi (nii neid, mis on teada, kui ka selliseid, millest omanikel pole aimugi), mis võimaldavad ründajatel sihikule võtta kriitilise tähtsusega äriteenuseid, näiteks kassaseadmeid, IT-taristut ja külastajate seadmeid. Iga olulise spordiürituse küberriskiprofiil on omanäoline ja sõltub näiteks asukohast, osalejate arvust, ürituse suurusest ja koosseisust.

Kataris toimunud jalgpalli MM-il otsustasime kindlasti kasutada ennetavat ohujahti, mis aitab meil riske hinnata Defenderi ohujahiekspertide abil – see hallatav ohujahiteenus otsib ohte proaktiivselt lõpp-punktidest, meilisüsteemidest, digitaalsetest kasutajaidentiteetidest ja pilvrakendustest. Konkreetsel juhul hõlmasid olulised tegurid küberohustaja motivatsiooni, profiili arengut ja reageerimisstrateegiat. Samuti võtsime arvesse globaalset ohuanalüüsiteavet geopoliitilise motivatsiooniga küberohustajate ja küberkurjategijate kohta.

Peamiste murekohtade hulgas oli oht, et küberründajad võivad halvata üritusega seotud teenuste või kohalike rajatiste töö. Lunavararünded või andmevarguse katsed oleksid võinud negatiivselt mõjutada nii kogu üritust kui ka rutiinset tööd.

Avalikult teatatud intsidentide ajajoon 2018–2023

  • Jaanuaris 2023 hoiatab NBA fänne andmeturbemurdest, mille käigus lekkisid fännide isikuandmed kolmanda osapoole teabeleheteenuse kaudu.1
  • Novembris 2022 kinnitas Manchester United, et klubi süsteeme tabas küberrünne.2
  • Veebruaris 2022 tehti San Francisco 49ersi vastu Super Bowli pühapäeval ulatuslik lunavararünde katse.3
  • Aprillis 2021 väitis üks lunavararühmitus, et varastas 500 GB ulatuses Rocketsi andmeid, sealhulgas lepinguid, konfidentsiaalsusleppeid ja finantsandmeid. Sisemised turbetööriistad tõkestasid lunavara installimise, välja arvatud mõnes üksikus süsteemis.4
  • Oktoobris 2021 esitati ühele Minnesota mehele süüdistus pesapalliliiga MLB arvutisüsteemidesse sisse häkkimises ja katses pressida liigalt välja 150 000 USA dollarit.5
  • 2018. aasta taliolümpiamängudel Pyeongchangis oli ründeid erakordselt palju. Vene häkkerid ründasid olümpiamängude võrke enne avatseremooniat.6

Ohujahimeeskond lähtus klientide seadmete ja võrkude uurimisel ja kaitsmisel mitmekihilise kaitse põhimõttest. Lisaks võeti erilise tähelepanu alla kasutajaidentiteetide käitumine, sisselogimised ja failipöördus. Hõlmatud olid paljud sektorid (sh kliendid, kes olid seotud transpordi, telekommunikatsiooni, tervishoiu ja muude oluliste teenuste osutamisega).

Kokku jälgiti inimeste juhitava ohujahi ja ohtudele reageerimise toe kaudu ööpäevaringselt enam kui 100 000 lõpp-punkti, 144 000 kasutajaidentiteeti, üle 14,6 miljoni meilivoo, rohkem kui 634,6 miljonit autentimist ning miljardeid võrguühendusi.

Mitu tervishoiuasutust oli määratletud ürituse jaoks erakorralist abi andvate rajatistena; nende seas olid ka nii fännidele kui ka mängijatele kriitilist tuge ja tervishoiuteenuseid pakkuvad haiglad. Kuna tegemist oli tervishoiuasutustega, kus hoitakse inimeste terviseandmeid, olid need ründajatele prioriteetsed sihtmärgid. Microsoft kasutas masin- ja inimjuhitava ohujahitegevuse raames ohuanalüüsiteavet signaalide kontrollimiseks, nakatunud varade isoleerimiseks ja võrgurünnete peatamiseks. Microsofti turbetehnoloogiat kombineerides tuvastas meeskond tervishoiuvõrku sihtinud lunavararünde-eelse tegevuse ja pani selle karantiini. Logiti mitu nurjunud sisselogimiskatset ja edasine tegevus blokeeriti.

Tervishoiuteenuste pakilise iseloomu tõttu peavad seadmed ja süsteemid alati töökorras olema. Haiglatel ja muudel tervishoiuasutustel on keeruline ülesanne leida teenuste käideldavuse ja hea küberturbeseisundi vahel õige tasakaal. Edukas rünne oleks lühemas perspektiivis võinud meditsiiniasutustes blokeerida juurdepääsu andmetele või IT-süsteemidele; nii oleksid meditsiinitöötajad pidanud patsientide andmeid uuendama pastakat ja paberit kasutades ning samuti oleks halvenenud nende võimekus pakkuda elupäästvat ravi hädaolukorras või juhul, kui oleks vaja olnud triaaži saata palju patsiente korraga. Pikemas perspektiivis oleksid ründajad aga saanud ära kasutada süsteemidesse istutatud ja võrgus leiduvat teavet näha võimaldanud ründekoodi, et teha edaspidi uusi ja ulatuslikumaid lunavararündeid. Selline juhtum oleks võinud avada ukse andmevargustele ja väljapressimisele.

Suured rahvusvahelised üritused on ründajate jaoks jätkuvalt ahvatlevad sihtmärgid. Hulk eri motivatsiooniga riike näivad olevat valmis ka ise rünnetest pihta saama, kui see toetab nende laiemaid geopoliitilisi huvisid. Lisaks peavad küberkurjategijate rühmitused, kes soovivad ära kasutada spordi ja suurürituste toimumispaikadega seotud IT-keskkondade pakutavaid finantsvõimalusi, selliseid üritusi ka edaspidi ahvatlevateks sihtmärkideks.

Soovitused

  • Täiendage oma SOC-i meeskonda: laske täiendaval silmapaaril üritust ööpäev läbi jälgida, et ohte ennetavalt tuvastada ja teateid saata. See aitab korreleerida rohkem ohuandmeid ja sissetungidest märke leida juba ründe algstaadiumis. Kindlasti tuleks arvesse võtta ka lõpp-punktidest kaugemal asuvaid ohte, näiteks kasutajaidentiteetide langemist ründe ohvriks või seadmete jadarünnet pilvkeskkonnas.
  • Viige läbi fookustatud küberriskide hindamine: tehke kindlaks potentsiaalsed ohud, mis on konkreetselt seotud selle üritusega või rajatise või riigiga, kus üritus toimub. Hindamisse tuleks kaasata hankijad, meeskondade ja toimumispaikade IT-meeskonnad, sponsorid ning ürituse peamised huvirühmad.
  • Kaaluge miinimumpääsu kasutamise head tava: andke juurdepääs süsteemidele ja teenustele üksnes neile, kes seda tõesti vajavad, ning koolitage töötajad juurdepääsukihte mõistma.

Hiigelsuured ründepinnad nõuavad täiendavat plaanimist ja jälgimist

Suurüritused (näiteks jalgpalli MM või olümpiamängud) ja spordiüritused üleüldiselt toovad kaasa varasemast tuntud küberriskide uue leviku, mida on sageli keerulisem märgata kui muudes suurettevõttekeskkondades. Sellised üritused pannakse sageli kokku kiiresti. Uutele partneritele ja hankijatele antakse kindlaks ajaks juurdepääs nii ettevõtte- kui ka ühisvõrkudele. Kuna võrguühendused on mõnel üritusel üsna ajutised ja kohapeal kokku pandud, on keeruline saada andmetest ja andmevoogudest head ülevaadet, kontrollist rääkimata. Petliku turvatunnet tekitab ka levinud arvamus, et „ajutised“ ühendused on väiksema riskiga.

Ürituste süsteemid võivad hõlmata meeskonna või toimumiskoha veebi- ja sotsiaalmeedialehti ja -kanaleid, registreerumis- ja piletimüügiplatvorme, mängude ajavõtu- ja punktilugemissüsteeme, logistikat, meditsiiniteenuste haldust ja patsientide jälgimist, intsidentide jälgimist, massteavitussüsteeme ja elektroonilisi märke.

Spordiorganisatsioonid, sponsorid, korraldajad ja rajatiste haldurid peavad nende süsteemide asjus koostööd tegema ja võtma küberturvet arvesse ka fännidega suhtlemisel. Ründepinda suurendab ka osalejate ja personali tohutu hulk – igaüks neist toob endaga oma seadmetes kaasa veel andmeid ja teavet.

Suurürituse neli küberriski

  • Sulgege kõik mittevajalikud pordid ja veenduge, et võrgus toimuks pidev kahjur- või juhupääsupunktide otsimine ning et olemas oleksid kõik vajalikud värskendused. Paigake tarkvara ning valige sellised rakendused, milles on kõigi andmete jaoks krüptimiskiht olemas.
  • Soovitage osalejatel 1) oma rakenduste ja seadmete kaitsmiseks installida uusimad värskendused ja paigad, 2) vältida delikaatsele teabele juurdepääsuks avalike Wi-Fi-võrkude kasutamist, 3) vältida mitteametlike allikate pakutavaid linke, manuseid ja QR-koode.
  • Veenduge, et kassaseadmed oleksid paigatud, ajakohased ja töötaksid omaette võrgus. Osalejad peaksid ettevaatusega suhtuma kioskiseadmetesse ja sularahaautomaatidesse, mis on nende jaoks võõrad, ning proovima tehinguid teha üksnes sellistes kohtades, mida ürituse korraldaja ametlikult toetab.
  • Loogilise võrgusegmentimise abil saate IT- ja OT-süsteemid üksteisest lahku lüüa ning piirata ristjuurdepääsu seadmetele ja andmetele, et võimaliku küberründe tagajärgi leevendada.

Kui annate turbemeeskondadele kohe kogu vajaliku teabe (sh kriitiliste teenuste kohta, mis peavad kindlasti ürituse ajal tööle jääma), aitab see neil paremini reageerimisplaane koostada. See on eriti oluline rajatiste taristut toetavates IT- ja OT-keskkondades ning osalejate füüsilise turvalisuse tagamiseks. Oleks hea, kui organisatsioonid ja turbemeeskonnad saaksid oma süsteemid konfigureerida juba enne üritust, et testimine lõpule viia ning teha süsteemidest ja seadmetest hetktõmmised ja anda need IT-meeskondade käsutusse, et neid oleks vajaduse korral võimalik kiiresti kasutada. Selline pingutus on vaeva väärt, kuna nii on ründajatel raske ära kasutada halvasti konfigureeritud juhuvõrke suurte spordiürituste ahvatlevas ja sihtmärkidest tulvil kekskonnas.

Lisaks peaks kindlasti olema igas meeskonnas keegi, kes kaalub privaatsusriske ja seda, kas konfiguratsioonid lisavad osalejate isikuandmete või meeskondade omandandmete jaoks uusi riske või nõrkusi. See inimene saab fännide jaoks koostada lihtsad, kuid mõistlikud küberturbesoovitused – näiteks panna osalejatele südamele, et skannida tohib ainult ametliku logoga QR-koode, et SMS- või tekstsõnumiga saabunud pakkumistesse, mille saamiseks nad soovi ei avaldanud, tuleks suhtuda kriitiliselt, ning et avalikku tasuta Wi-Fi-võrku tuleks pigem vältida.

Need ja paljud muud poliitikad aitavad osalejatel paremini mõista suurüritustega kaasnevaid küberriske ning seda, et ka nende enda andmeid võib keegi proovida varastada. Ohutust tagavate harjumuste omandamine aitab fännidel ja teistel osalejatel ära hoida manipuleerimisrünnete ohvriks langemist; sageli kasutavad küberkurjategijad just selliseid ründeid, kui nad on juba varem rünnatud rajatise või ürituse võrgus nii-öelda jala ukse vahele saanud.

Lisaks allpool toodud soovitustele pakub National Center for Spectator Sports Safety and Security ka järgmisi mõttekohti ühendatud seadmete ja integreeritud turbe jaoks suurürituste toimumiskohtades.

Soovitused

  • Prioriseerige igakülgse ja mitmekihilise turberaamistiku kasutuselevõttu: see hõlmab tulemüüride juurutamist, sissetungide tuvastuse ja tõkestamise süsteeme ning tugevaid krüptimisprotokolle, et võrku autoriseerimata juurdepääsu ja andmeturbemurrete vastu kindlustada.
  • Kasutajate teadlikkus ja koolitusprogrammid: õpetage oma töötajad ja huvirühmad järgima küberturbe häid tavasid, mille hulgas on näiteks andmepüügimeilide äratundmine, mitmikautentimise või paroolita kaitse kasutamine ning kahtlaste linkide või allalaaditavate failide vältimine.
  • Valige partneriks hea mainega küberturbefirmad: sel viisil saate pidevalt võrguliiklust jälgida, potentsiaalsed ohud reaalajas tuvastada ning turbeintsidentidele kiiresti reageerida. Korraldage regulaarseid turbeauditeid ja nõrkuste hindamisi, et kõik võrgutaristus leiduda võivad haavatavused ja nõrgad kohad üles leida ja kõrvaldada.

Põhjalikuma ülevaate levinud turbeprobleemidest annab Microsofti turbeuuringuid esindav Justin Turner.

Hetktõmmise andmed kajastavad selliste üksuste ja sündmuste koguarvu, mida jälgiti ajavahemikul 10. kuni 20. detsember 2022 ööpäevaringselt. See hõlmab asutusi ja ettevõtteid, kes olid turniiri taristuga otseselt või kaudselt seotud. Tegevuste alla kuuluvad inimjuhitud ennetavad ohujahid, mille eesmärk oli kindlaks teha tärkavaid ohte ja jälgida teadaolevaid kampaaniaid.

Põhiteave:
 

45 kaitstud organisatsiooni                                 100 000 kaitstud lõpp-punkti

 

144 000 kaitstud identiteeti                               14,6 miljonit meilivoogu

 

634,6 miljonit autentimiskatset                4,35 miljardit võrguühendust

Metoodika: hetktõmmise andmete saamiseks jagasid Microsofti platvormid ja teenused (sh Microsofti laiendatud ohutuvastus ja -kõrvaldus, Microsoft Defender, Defenderi ohujahieksperdid ja Azure Active Directory) anonüümitud andmeid ohutegevuste kohta (nt ründemeilikontod, andmepüügimeilid ja ründajate liikumine võrkudes). Täiendavad andmed pärinevad 65 triljonist igapäevasest turbesignaalist, mida Microsoft kogub pilvkeskkondadest, lõppseadmetest, tehisintelligentsest servast ning meie turbemurdejärgse ohutustaaste ning ohutuvastuse ja -kõrvalduse töörühmade abil. Kaanepilt ei kujuta ühtegi tegelikku jalgpallimängu, turniiri ega individuaalspordiala. Kõik spordiorganisatsioonid, millele siin on viidatud, on nende omanikele kuuluvad kaubamärgid.

Seotud artiklid

Eksperdi nõuanded küberturbe kolme kõige püsivama probleemi lahendamiseks

Microsofti turbeuuringute keskuse pearühma juht Justin Turner kirjeldab kolme peamist probleemide lahendamist nõudvat valdkonda, mis on talle tema küberturbekarjääri jooksul kõige enam silma jäänud: konfiguratsioonihaldus, paikamine ja seadmete nähtavus.

61% rohkem andmepüügiründeid. Tundke oma tänapäevast ründepinda

Üha keerukamaks muutuva ründepinna haldamiseks peavad asutused ja ettevõtted välja töötama igakülgse turbeseisundi. Sellest aruandest saate kuue peamise ründepinna näitel teada, kuidas saab õige ohuteave aidata mänguplatsi kaitsjate poole kallutada.

IT ja OT kokkupuutepunktid

IoT üha suurem levik tähendab suuremat ohtu OT-le – potentsiaalseid nõrkusi on väga palju ja seadmed on ohustajatele avatud. Uurige järele, kuidas oma organisatsiooni kaitsta.

Jälgige Microsofti turbeteenust