Vabateema: SolarWinds

Kui me räägime küberrünnakutest siis tavaliselt kujutame ette mingit häkkerit, kes murrab otse sisse kellegi serverisse. Aga 2020. aasta detsembris tuli päevavalgele hoopis teistsugune ja palju kavalama loogikaga rünnak — SolarWinds Orion tarneahela kompromiteerimine. Ja see pani kogu küberturvalisuse maailma mõtlema kui haavatavas positsioonis me tegelikult oleme.

Mis juhtus? 

SolarWinds on Ameerika firma, kelle Orion tarkvara kasutavad tuhanded organisatsioonid üle maailma oma IT-süsteemide monitoorimiseks. Ründajad said kuidagi ligi SolarWindsi enda arenduskeskkonnale ja lisasid pahavara (hiljem nimetati see SUNBURST) otse tarkvara uuenduspaketti. See tähendab et kliendid said pahavara kätte täiesti legaalse tarkvarauuenduse kaudu ehk nende enda IT-süsteem installeeris selle ise. Pahavara sisaldavaid uuendusi levitati 2020. aasta märtsist juunini ja SolarWindsi enda hinnangul puudutas see kuni 18 000 klienti.

Ohvrite seas olid USA rahandusministeerium, kaubandusministeerium ja mitu teist föderaalasutust. Rünnaku taga arvatakse olevat Venemaa välisluure SVR kuigi SolarWinds ise pole ründajat ametlikult kinnitanud.

Miks see oluline on?

See rünnak näitas kätte ühe fundamentaalse probleemi, kus usaldame oma tarkvara tarneahelat justkui pimesi. Kui sa uuendad oma süsteemi siis sa eeldad, et see uuendus on puhas. SolarWindsi juhtum tõestas, et just see usaldus ongi nõrk koht, mida ründajad ära kasutavad. See on nagu keegi mürgitaks vee juba veepuhastusjaamas enne, kui see kraanist välja tuleb.

Eesti kontekstis on RIA samuti hoiatanud tarneahela rünnakute eest ja 2020. aasta IV kvartali ülevaates käsitlesid nad SolarWindsi juhtumit eraldi. Nad andsid tugevalt mõista, me ei ole selliste rünnakute eest kaitstud lihtsalt seetõttu, et oleme väike riik.

Lugu ei lõppenud 2020. aastal. SEC  esitas 2023. aastal SolarWindsile ja nende CISO-le süüdistuse investorite eksitamises, täpsemalt ettevõte olevat oma küberturvalisust üle reklaaminud. Kohtuasi kestis kaks aastat ja lõppes 2025. aasta novembris kui SEC loobus süüdistusest. SolarWindsil endal on siiani turvaprobleeme - 2025. aastal pidid nad sama haavatavust juba kolmandat korda parandama.

Minu meelest on see teema eriti aktuaalne praegu, kus igasugused tarkvarad uuenevad automaatselt ja me isegi ei mõtle selle peale, mis see uuendus tegelikult sisaldab.

Viited:

• SolarWinds cyber attack: An overview
  https://www.fortinet.com/resources/cyberglossary/solarwinds-cyber-attack
• SolarWinds Dismissed: What the SEC’s U-turn Signals for Cyber Enforcement:
  https://corpgov.law.harvard.edu/2025/12/07/solarwinds-dismissed-what-the-secs-u-turn-signals-for-cyber-enforcement/