Olgu koheselt öeldud, et alljärgnev ei puuduta ei riikidevahelist kübersõda ega poliitilistel või muudel isiklikel motiividel toimepandavaid küberründeid vaid tutvustab mõningaid noppeid ja soovitusi ühest Euroopa Majandus- ja Sotsiaalkomitee (EMSK) arvamusest "Küberünnakud ELis".

Selles arvamuses käsitleti ainult raha saamise eesmärgil sooritatavaid küberrünnakuid ja tehti ettepanekuid, kuidas siis ELis nende vastu võitlema peaks. Küberrünnaku all mõisteti sealjuures igasugust ründavat tegevust arvuti, infosüsteemide, infrastruktuuride, arvutivõrkude ja/või isiklike digitaalseadmete vastu erisuguste kuritahtlike tegude kaudu, et vastavat sihtmärki varastada, muuta või see hävitada. Sihtmärk võib olla raha, andmed või infotehnoloogia.

On selge, et küberrünnakute oht kasvab vastavalt meie suurenevale sõltuvusele internetist ja digitaaltehnoloogiast. Arvamuses viidati ühele Symanteci hiljutisele aruandele, mille kohaselt suurenes andmetega seotud rikkumiste koguarv 2013. aastal 62%, ulatudes üle 552 miljoni andmeavaldamise juhuni. Nende rikkumistega avaldatakse sageli tegelikud nimed, sünnikuupäevad või ID-numbrid, meditsiinilised andmed või finantsteave. Lisaks on 38% mobiilikasutajatest langenud viimase 12 kuu jooksul mobiiliseadmete küberkuritegevuse ohvriks. Ühe 2011. aasta tööstusaruande kohaselt kannavad küberrünnakute ohvrid üle maailma igal aastal kahju 290 miljardi euro ulatuses, mis tähendab, et küberrünnakud on tasuvamad kui ülemaailmne marihuaana-, kokaiini- ja heroiinikaubandus kokku. 

Riskid 

Küberrünnakute kaudu ähvardab inimesi pidev identiteedivarguse oht. Näiteks varastati 2014. aasta mais ühe küberrünnakuga andmebaas, mis sisaldas 145 miljoni eBay konto omaniku isikuandmeid. Ühe 2013. aastal Kenti Ülikoolis läbi viidud küberjulgeoleku alase uuringu kohaselt häkiti Ühendkuningriigis vaid ühe aasta jooksul (2012/2013) sisse 9 miljoni täiskasvanu veebikontole, 8% elanikkonnast kaotas küberkuritegevuse tõttu raha ja 2,3% Ühendkuningriigi elanikest kaotas küberkuritegevuse tõttu üle 10 000 Inglise naela.Ühendkuningriigi valitsuse 2011. aasta aruande hinnangul läks küberkuritegevus riigi majandusele maksma kokku 27 miljardit naela. Kahju aga, mida küberrünnakud tekitavad, ei pruugi olla otsene rahakaotus vaid selle puhul võib arvestada veel järgmisi aspekte: 

• intellektuaalomandi ja tundlike andmete kaotus;
• alternatiivkulud, sh häired teenuste osutamisel ja töötamisel;
• kahju kaubamärgi kuvandile ja ettevõtja mainele;
• kahjutasud ja hüvitismaksed klientidele (ebamugavuse või kaudse kahju eest) või lepingust tulenevad hüvitismaksed (viivituste jms eest);
• vastumeetmete ja kindlustuse kulud;
• riskide maandamise strateegiate ja küberrünnakutest taastumise kulud;
• äritegevuse ja konkurentsivõime kaotus;
• moonutused kaubanduses;
• töökohtade kadu.

Isegi kui rünnakud ei ole edukad, on vastava riski maandamise kulu kiirelt kasvamas. Hinnanguliselt kiireneb 2014. aastal ülemaailmse infoturbeturu kasv 8,6%ni ja selle maht ületab 73 miljardit USA dollarit. 

Enimlevinud küberründe liigid 

EMSK tõi oma arvamuses välja ka enamlevinud küberrünnete liigid: 

• Tavaliselt kasutatakse küberrünnakus ründevektorit, mille abil saab küberkurjategija ligipääsu veebiidentiteedi andmetele, arvutile või võrguserverile, et jõuda oma kuritegeliku eesmärgini. Sagedased ründevektorid on USB-seadmed, e-posti manused, veebilehed, hüpikaknad, kiirsõnumid, jututoad ja pettused, näiteks andmepüük.
   
• Kõige sagedasem rünnakuvorm hõlmab pahavara kasutust. Pahavara on tarkvara, mille kaudu võetakse kuritegelikul eesmärgil kontroll digitaalseadme üle, näiteks selleks, et varastada kasutaja andmed või raha või levitada seda pahavara teistesse seadmetesse. Pahavara hõlmab arvutiviiruseid (sh ussid ja Trooja hobused), lunavara, nuhkvara, reklaamvara, paanikatarkvara ja muid pahavaraprogramme. Näiteks lunavara on teatud liiki pahavara, mis halvab juurdepääsu nakatunud arvutisüsteemile ja nõuab juurdepääsu taastamiseks lunaraha.
   
• Pahavara võib muuta arvuti ka robotiks, mis on ühendatud küberkurjategija robotvõrgu või zombivõrguga, mille üle kurjategijal on kontroll ja mida ta kasutab ohvrite ründamiseks.
   
• Rämpspostirünnakuga saadab kurjategija massiliselt mittetellitud e-kirju, mille eesmärk on sageli panna ohver raha kulutama võltsitud kaupadele. Suurema osa rämpsposti saatmiseks kasutatakse robotvõrke.
   
• Andmepüügiga tahetakse varastada isiku kasutajanimesid, salasõnu ja krediitkaardiandmeid, teeseldes usaldusväärset asutust, nii et kurjategija saaks kontrolli ohvri e-posti kontode, sotsiaalvõrgustike ja pangakontode üle. Andmepüük on kurjategija jaoks eriti tulus, sest 70% internetikasutajatest valivad sama salasõna peaaegu iga veebiteenuse jaoks, mida nad kasutavad. 
   
• Mõnikord kasutavad küberkurjategija teenusetõkestusrünnakut (DoS), et ettevõtjatelt või organisatsioonidelt raha välja pressida. Teenusetõkestusrünnak on püüe muuta arvuti või võrguressurss sihtrühmale kättesaadamatuks, ujutades sihtmärgi üle väljastpoolt tulevate teabenõuetega, nii et see ei saa reageerida ehtsatele andmevoogudele või reageerib nii aeglaselt, et on põhimõtteliselt kättesaadamatu. Ka teenusetõkestusrünnakutes kasutavad kurjategijad sageli robotvõrke. 

Kuidas end kaitsta? 

Kuidas siis end kaitsta ehk mida tuleks teha. ELi tasandil pakub EMSK välja erinevaid meetmeid alates organisatsioonilistest ja õiguslikest ning lõpetades koolituse ja üldise teadlikkuse tõstmisega. Kodanikele ja ettevõtetele soovitab EMSK aga järgmist:

Kodanikel tuleks: 

• kasutada tugevaid ja meeldejäävaid salasõnu;
• installeerida uutesse seadmetesse viirusetõrje;
• kontrollida sotsiaalmeedias privaatsuse seadistusi;
• osta veebipoodidest turvaliselt, kontrollides alati veebipoe ohutust;
• kui pakutakse, laadida alla tarkvara- ja rakenduste parandused.

Ettevõtjatel tuleks: 

• luua usaldusväärsete rakenduste nimekiri; 
• kasutada turvalisi standardseid süsteemi konfiguratsioone; 
• paigaldada rakenduste parandused 48 tunni jooksul; 
• paigaldada süsteemi parandused 48 tunni jooksul; 
• vähendada administraatoriõigusega kasutajate arvu.