NEVERHACK Estonia
12. juuni 2026
Küberrünnakud muutuvad kogu aeg ning AI-ajastu on toonud mängu uued vahendid. Kas oleme hukule määratud, nagu hiljuti püüdis selgeks teha Anthropic? Muuhulgas tuleb välja, et üks suur pettuseliik on Eestist pea täielikult kadunud.
Väikesest Eesti turvaettevõttest on tänaseks kasvanud rahvusvahelise haardega Neverhack Estonia, mis tegutseb Euroopa turul küberturbe kompetentsikeskusena. Ettevõtte juht Jürgen Erm tõdeb, et kuigi Eesti ettevõtete teadlikkus küberohtudest on kasvanud, õpitakse sageli alles siis, kui kahju on juba tehtud ja ettevõtte töö halvatud.
Jürgen Ermi teekond IT-maailmas sai alguse ülikoolist ja panga IT-toest, kust ta liikus IT-administraatori rollidesse. Tõsine huvi küberturbe vastu viis ta peagi turvanõrkuste haldusesse, kus ta osales ühe Eesti panga jaoks loodud suurema seiretiimi töös.
Pärast pangaprojekti lõppu liitus Erm ettevõttega Security Software OÜ, mis hiljem kandis nime CYBERS. Tema esimeseks suureks ülesandeks sai Eesti esimese 24/7 režiimis töötava turvaseirekeskuse (SOC) ülesehitamine. Tiim kasvas kiiresti kahest liikmest viieteistkümneni ning 2022. aasta teises pooles usaldati Ermile kogu ettevõtte juhtimine.
Eesmärgid olid ambitsioonikad: murda välisturgudele ja kasvatada teenusteportfelli. Käive õnnestus kahekordistada, mis äratas investorite tähelepanu. Nii liituski Eesti ettevõte rahvusvahelise Neverhack grupiga, tuues lauale Prantsusmaa, Itaalia, Hispaania, Belgia ja Mehiko turud. Täna on Neverhack Estonia grupi seireteenuste kompetentsikeskus, mis pakub kaitset üle kogu Euroopa.
Murrang mõtteviisis: turvalisust on mõistlik sisse osta
Neverhack katab täna 360 kraadi küberturbe vajadustest – alates riskijuhtimisest ja turvatestimisest kuni igapäevase monitooringuni. Lõviosa portfellist moodustab just turvamonitooring. Samuti aidatakse kliente kriitiliste intsidentide lahendamisel, olgu selleks siis lunavara rünnakud või andmelekked.
Kui veel 2010. aastal alustades oli ettevõtte fookus tugevalt avalikul sektoril, siis tänaseks on kliendibaas jagunenud avaliku ja erasektori vahel täpselt pooleks. Ermi sõnul toimus Eestis suurim mõtteviisi muutus aastatel 2021–2022.
„Veel 2020. aasta paiku oli Eestis raske veenda ettevõtteid, et küberturveteenuseid saab sisse osta, eelistati maja sees lahendusi, osteti kastid ja litsentsid ning edasi vaadati ise,“ meenutab Erm.
Tänaseks on mõistetud, et keskmise suurusega ettevõttel oma turvamonitooringu võimekuse loomine on ebamõistlikult kallis ja aeganõudev. Teenusena ostes saadakse vajalik kaitse nädalatega, makstes vaid murdosa iseehitamise kuludest.
Küberrisk pole enam lihtsalt „IT-poiste jutt“
Vaatamata edusammudele tunnetab Erm endiselt, et paljud ettevõtted alahindavad ohte. Sageli arvatakse ekslikult, et ollakse liiga väikesed, et küberkurjategijatele huvi pakkuda.
„Küberrisk pole lihtsalt IT-poiste jutt serverist – see on ettevõtte seismajäämine, andmekadu ja andmete sattumine võõrastesse kätesse. Kui võtad oma ettevõttest IT-kihi ära, mis jääb siis järele? Tänapäeval ei tee ilma IT-ta midagi, olgu tegemist mesiniku poe või tehasega,“ rõhutab Erm.
Turg jaguneb kaheks: proaktiivsed ettevõtted, kes teevad endale selgeks „mis juhtub, kui“, ja need, kes õpivad alles pärast valusat ja kallist intsidenti. Küberturbe kuldreegel kehtib endiselt: küsimus pole „kas“, vaid „millal“ midagi juhtub. Intsidentidega kaasneb lisaks rahalisele kahjule ka tohutu stress.
„Olles intsidentide lahendamise meeskonnas, näen, kui kõrge on stressitase lunavara juhtumite puhul. Halle karvu tuleb paari nädalaga juurde – käib pikk ööpäevatöö ja määramatus on suur,“ kirjeldab Erm.
Läbirääkimised kurjategijatega
Kuigi Erm juhib täna ettevõtte äripoolt, hoiab ta end tehniliselt teravana, koordineerides intsidentide lahendamist ja pidades vajadusel ka otse läbirääkimisi küberkurjategijatega. Läbirääkimiste peamine eesmärk on info kogumine ja nõutud lunarahasumma vähendamine, juhul kui ettevõttel puuduvad varukoopiad ja äri taastamine nullist tundub võimatu.
Diskussiooni käigus üritatakse valideerida, mis andmed täpselt lekitati ja mis mahus, sest sageli kaasnevad intsidendiga ka karmid regulatiivsed nõuded ja raporteerimiskohustus Andmekaitse Inspektsioonile.
Kurjategijate tegutsemismustrid on aga muutumas. Kui varem olid teisel pool ekraani pigem lihtsakoeliste hirmutamistaktikatega IT-spetsialistid, keda oli võimalik kergesti frustreerida, siis nüüd on mängu tulnud automatiseeritus.
„Täna näeme raporteid lugedes, et kurjategijad toovad vestlustesse aina enam tehisintellekti mudeleid, mis analüüsivad läbirääkimisi. On rühmitusi, kes ei viitsi enam isegi vestlusesse laskuda, nad ütlevad lihtsalt: siin on tingimused, tee või jäta,“ nendib Erm.
Siiski paneb ta ettevõtetele südamele, et laiaulatuslik lunavara mõju tekib vaid siis, kui baashügieen ja turvakontrollid on puudulikud. „Kas su süsteemid on turvalised – see on sinu kätes. Sina vastutad, kas ukselukk on lukus või mitte. Kui uks on pärani lahti ja pool seina kadunud, pole ime, et tegelased sisse tulevad.“
Arvepettused ja raamatupidajate sihtimine
Kuigi suured lunavaranõuded saavad palju meediakajastust, on järjest laiemalt levimas ärikirjade kompromiteerimine ehk BEC (Business Email Compromise). Jürgen Ermi sõnul on raamatupidajate vastu suunatud pettused klassika, sest neil on ligipääs sellele, mida kurjategija kõige enam jahib – rahale.
See on küberkurjategijate jaoks madala sisenemisbarjääriga turg. „Kulutad vaid enda aega, set-up’i kulu on sisuliselt null ja sulle kantakse korralik summa,“ selgitab Erm. Tumedast veebist ostetakse ettevõtete kompromiteeritud ligipääse, tehakse eeltööd ja oodatakse õiget hetke.
Eriti haavatavaks teeb ettevõtted laialdane PDF-arvete kasutamine. „Kui kurjategija kompromiteerib kellegi sinu tarneahelas, logib e-kirjakontole, vaatab, kellega suhtled ja kellele arveid saadad, saab ta õigel hetkel asendada õige arve oma PDF-iga, kus on muudetud vaid pangakontonumber. Sina kannad raha uuele kontole ja hiljem selgub, et see polnudki õige arve,“ toob ta elulise näite. Samuti on levinud sotsiaalse manipulatsiooni ja ekraanijagamistarkvarade (nagu AnyDesk või TeamViewer) pahatahtlik ärakasutamine.
Uus reaalsus: küberrisk on juhtkonna vastutus
Kuigi lunavararünnakute arv Eestis ei ole plahvatuslikult kasvanud, on intsidentide koguarv kindlas kasvutrendis. Viimase riikliku raporti kohaselt ületati aastas maagiline 10 000 intsidendi piir. Neverhacki seirekeskuses nähakse päevas kümneid tuhandeid turvasündmusi, mille tekitab paljuski ründajate infrastruktuur, mis skaneerib lakkamatult kogu internetti.
Olulise muudatuse ärimaastikule toob aga uus Euroopa Liidu küberturvalisuse direktiiv NIS2. „See toob reaalsuse: IT-risk ja küberturberisk on juhtkonna vastutus. Enam ei saa pugeda IT-inimese või teenusepakkuja taha. Lõplik vastutaja on juhtkond ja trahvid on prisked,“ hoiatab Erm.
Ka väikeettevõtted ei saa enam pead liiva alla peita. Isegi kui väikeettevõttel pole vaja palgata 24/7 monitooringut, peavad baashügieeni reeglid – identiteedihaldus, logid, varukoopiad ja baasturvatehnoloogiad – paigas olema. Kurjategijad kaardistavad pidevalt turgu. „Kui oled 100 000-eurose käibega ettevõte, aga sul on suur klient, võidakse sind kasutada nakatunud lülina tarneahelas,“ märgib ekspert. Lekkinud andmebaase kasutatakse igapäevaselt profiilide koostamiseks, et viia läbi ülitäpseid ja sihitud rünnakuid.
Ründajad on kiiremad, kuid tasakaal on tekkimas
Tehisintellekt (AI) on küberturbes megatrend, mis kujutab endast kahe teraga mõõka. AI ei diskrimineeri – seda saavad kasutada nii kaitsjad kui ka ründajad.
Ermi sõnul on AI oluliselt muutnud rünnakute kiirust. „Keelemudelid suudavad koodi skaneerida ja vigu leida. Mis on muutunud, on see, et lappimise aeg on kahanenud päevadest tundidele. Kui varem lappisid turvaauke kord kuus, siis nüüd pead tegema seda ühe tööpäeva jooksul,“ tõdeb ta ja lisab, et see paneb infoturbespetsialistidele tohutu surve.
Kuna ründajad on tehnoloogia kasutuselevõtul agiilsemad ja kaitsjatel on tihti organisatsiooniline inerts, oleme praegu ohtlikus faasis. Pikas plaanis usub Erm siiski tasakaalu tekkimisse, kus „üks AI võitleb teise AI-ga ja inimesed juhivad.“ Juba praegu aitavad keelemudelid seirekeskustes turvasündmuste infot analüüsida minutitega. Teisalt hoiatab ta pimesi avalikesse keelemudelitesse andmete söötmise eest, soovitades ettevõtetel liikuda lokaalsete ja kontrollitud AI-lahenduste poole, et vältida ärisaladuste lekkimist.
Küberdomeen on eesliin enne kineetilist sõda
Küberturvalisus mängib tänapäeval kriitilist rolli ka riigikaitses ja sõjanduses. Sõjavägi on olemuselt hiiglaslik IT-süsteem – drooniparved, õhutõrje, mereväe kaatrid ja kommunikatsioon, mida kõike tuleb reaalajas juhtida.
„Kui selle ära lõhud või muudad süsteemid haakumatuks, ei saa vägesid enam juhtida,“ selgitab Erm. Ta toob näiteks Ukraina sõja, kus küberrünnakud algasid ammu enne seda, kui esimesed saapad üle piiri astusid.
„Eesmärk oli häirida ühiskonda, võtta elekter maha, levitada propagandat, õngitseda infot ja koguda luuret. Küberdomeen on eelrünnak enne kineetilist sõda. Seepärast peamegi oma küberruumi ülihoolikalt valvama,“ võtab Erm kokku, lisades, et sarnaseid tehnoloogia ja AI põimimisi sõjaliste otsuste tegemisel näeme ka praegustes konfliktides Lähis-Idas.
Kollektiivne kaitse ja elutähtsate teenuste turvamine
Rääkides tehnoloogia ja tehisintellekti rollist sõjanduses, toob Erm välja karmi, kuid pragmaatilise tõe: inimelu on kallis. „Iga kord, kui suudad asendada inimese rindejoonel tehnoloogiaga – olgu selleks droon või iseliikuv vahend –, on see eelistatud,“ märgib ta.
Sama kriitiline on tehnoloogia kaitsmine tsiviilühiskonnas. Ermi sõnul ei ole Euroopa küberturbe valmidus veel kaugeltki „valmis“, vaid tegemist on keskkonnaga, mis on seadnud endale ambitsioonikad eesmärgid. Oluline on murda müüt, et küberturvalisuse tagamine on midagi ületamatult keerulist ja kallist. Vaja on jagada edulugusid ja õppetunde.
„See on kollektiivne kaitse: hoiame kokku, õpetame, kaitseme. Siis ei pea me seisma olukorras, kus näiteks Tallinnas pole vett, sest keegi häkkis süsteemi ja keeras klooritaseme üles. Selliseid suuri intsidente soovime me kõik vältida,“ rõhutab Erm.
Kuigi terve riigi täielik halvamine küberrünnakuga on haruldane, on maailmast tuua valusaid näiteid. USA-s pandi lunavara tõttu seisma suur kütusetorustik Colonial Pipeline, mis viis bensiinihinna lakke ja tekitas defitsiidi. Rootsis halvas küberrünnak terve toidupoeketi töö.
Uued regulatsioonid nõuavad talupojamõistust
Uute küberturbenõuete ja NIS2 direktiivi valguses on kriitiliste teenusepakkujate nimekiri Eestis kasvanud tuhandeteni. Erm nendib, et kuigi regulatsioonide eesmärk on õige, tuleb nende rakendamisel säilitada kaine mõistus ja riskipõhine lähenemine.
„Ma ei usu, et kõik tuhanded ettevõtted peavad tegema küberturvet täpselt ühtemoodi. Juhtimine peab olema organisatsioonile jõukohane. Ühe vitsaga lüües teeme karuteene – hirmutame inimesed ära ja ülesanne tundub võimatu. Vaja on analüüsi ja talupojamõistust,“ selgitab ta.
Samas on surve vajalik, sest kurjategijad ei maga. Automaatika teeb ründajate elu lihtsaks. „Kogu interneti IPv4 aadressiruumi läbi skaneerimiseks kulub ligi neli tundi. Kui kuskil tekib turvanõrkus, saavad ründajad kiiresti listi avatud süsteemidest ja automatiseeritud protsessid hakkavad kohe proovima sisse saada.“
IT-spetsialistide moraalne kohustus
Intervjuu lõpetuseks paneb Erm südamele, et küberturvalisus ei ole ainult ettevõtete ja riigiasutuste, vaid iga üksikisiku mure. Neil, kellel on teadmised, lasub moraalne kohustus aidata oma lähedasi.
„Tuleb rääkida küberohtudest ja jagada teadmisi oma vanematele ja lastele. Isiklik näide: kui lähen vanaemale külla ja viin talle uue arvuti, siis teen kindlaks, et süsteemid on ajakohased, lubatud programmid peal, teised keelatud ja kontodel on mitmeastmeline autentimine. Siis magan ma rahulikumalt,“ toob Erm sooja näite.
„Isegi kui paroolid lähevad rändama, ei pääse kurjategijad kõikidele kontodele ligi. Teiste aitamine on selles valdkonnas väga oluline,“ rõhutab ta.
Artikkel ilmus Ärilehes 10.06.2026
https://arileht.delfi.ee
