„Magyarországon a kibertámadások által veszélyeztetett szereplők többnyire vagy állami vagy külföldi tulajdonú gyártó vállalatok, ám a magyar gazdaság kisebb szereplőit is be lehetne vonni egy szélesebb körű kiberbiztonsági együttműködésbe – véli Krasznay Csaba, a Kiberbiztonsági Kutatóintézet vezetője.
Négy éve született meg a Digitális Mohács 2.0. című, Kovács Lászlóval közösen írt tanulmányuk, amelyben szakértők azt vizsgálták, hogy Magyarország kritikus infrastruktúrái megfelelő, elégséges kibervédelem alatt állnak-e. Dolgozatukban akkor arra jutottak, hogy egy jól felépített támadássorozattal szemben nem vagyunk biztonságban. Megoldási javaslatukban több lépést is javasolnak, vegyük sorra ezeket! Az egyik ilyen elem az információbiztonsági tudatosság növelése. Hogyan állunk ezzel?
E téren messze nem ott tartunk, ahol kellene, még ha ezzel nem is vagyunk egyedül a világban. Jelenleg nincs központi felelőse a tömeges információbiztonsági tudatosság növelésének, ez egy olyan űr a hazai szabályozásban, amelyet mindenképpen célszerű lenne betölteni. Részsikerek vannak, a közszolgálatban például ez egészen jól megy, a nagyvállalatoknál is megtörténik ez a fajta tudatosságnövelés, de az elsődleges potenciális áldozatokat – a széleskörű lakosságot – ez nem éri el.
Nyugaton jellemzően ki, mely intézmény felelős?
A spanyol példát konkrétan ismerem: ott az Nemzeti Kibervédelmi Intézethez (NKI) hasonló szervezetnél kilenc ember napi nyolc órában biztonságtudatossági anyagokat gyárt a közösségi és a hagyományos média számára. Itthon mindenki foglalkozik e témával egy kicsit, de senki nem felelős ezért a területért.
A másik javaslatuk az alternatív, vészhelyzetben is működő infrastruktúrák kiépítése, fenntartása. Hol tart most ez a folyamat?
A cikk írása óta megszületett a hálózati és információs rendszerek biztonságáról szóló uniós direktíva, a NIS, aminek most zajlik a felülvizsgálata NIS 2 néven. Ez kimondottan segítette azt, hogy az európai és a nemzeti kritikus infrastruktúrák azonosítása megtörténhessen. Ami komolyan előkerül, az a nemzeti ellenállóképesség (national resiliency) kérdésköre. Ez olyannyira fontos, hogy éppen most, közvetlenül a beszélgetésünk előtt jött hozzám is egy kérdés a Belügyminisztériumból egy ezzel kapcsolatos szakmai állásfoglalást kérve. Ez most egy uniós szintű probléma. Vannak olyan infrastruktúrák, amelyek vészhelyzetben is működnek, hiszen ez a dolguk, de a Solarwinds-ügy rámutat arra, hogy ezeknek az összefüggése, egymásra épülése jelenleg egy olyan gordiuszi csomó, amelyet nem nagyon tudunk kibogozni és nem nagyon tudjuk, hogy ha e rendszerben egy elem eldől, milyen más elemeket sodor majd magával. Ez a 2020-as évek egyik legizgalmasabb kérdése lesz.
Harmadik lépésként a koordinált, centralizált védelem eszközrendszerének erősítését, az állami incidenskezelést szorgalmazták, hangsúlyozva ebben a Nemzeti Kibervédelmi Intézet szerepét.
Itt nagyon komoly törvényi garanciák vannak arra, hogy az állami incidenskezelés megvalósulhasson. Látszódik, hogy az NKI számos olyan fejlesztést is hajt végre, amelynek részletei ugyan a közvélemény számára nem ismertek, de fontosak. Ilyen például a korai figyelmeztető rendszerek kiépítése. Mind több olyan szenzor van, amely segítségével az NKI-nál összefutnak azok az információk, amelyek alapján megoldható a koordinált, centralizált kibervédelem.
A közigazgatás, a piaci szereplők, valamint az akadémiai szféra párbeszéde is fontos a kibertér és az ott elvárt biztonsági kérdések támogatása kapcsán. Ebben történt előrelépés?
Sajnálatos módon nem. Erre ráerősít az a nagyon tudatos törekvés, hogy amikor a magyar kormány kiberbiztonságról beszél, akkor szabályozásában államközpontú stratégiát épít fel. Ez nem feltétlenül probléma, hiszen a szakirodalom kétfajta kiberbiztonsági stratégiaalkotást ismer, az egyik az államközpontú, a másik a széles körben kinyúló. Nyilván én jobban örülnék az utóbbinak, de el kell fogadni, hogy a kezdetektől az állami, kritikus infrastruktúra védelmét középpontba emelő megközelítést alkalmaz. Ez van, meglátjuk, ebben történik-e előrelépés. Azt kell látni, hogy itthon a kiberbiztonsági egyelőre nem az a stratégiai fenyegetés, mint sok más országban. Egyelőre ezt egy klasszikus belbiztonsági kérdésként kezelik idehaza.
Milyen szakmai érvek szólhatnak a centralizált modell mellett?
Magyarországon a jelentős szereplők, amelyek ellen a kibertérből érkezhet fenyegetés, többnyire vagy állami tulajdonú cégek vagy külföldi tulajdonú gyártó vállalatok – a gépjárműiparra gondolok –, amelyek az anyaországból oldják meg ezt a fajta védelmet. Azokban az országokban, ahol kiterjedtebb, széleskörű kibervédelmi együttműködés van, ott a magánszféra, nemzeti ipar erősebben van jelen. Bár én úgy gondolom, hogy a magyar ipart is jócskán be lehetne vonni, a stratégiai gondolkodók vélhetően úgy találták, hogy a helyzet még nem érett meg arra, hogy kihasználják azt a magyar jogrendben is rendelkezésre álló lehetőséget, hogy a kiberbiztonságot egy szélesebb körű együttműködés keretében próbálják megoldani.
Tehát lényegében a gazdaság szerkezete indokolta a döntéshozók választását.
Igen. Hozzáteszem, hogy ezzel szerintem elszalasztunk egy lehetőséget arra, hogy a magyar gazdaság ilyen irányú fejlesztését segítsük.
Holott talán társadalmi edukációs hatása is lehetne egy szélesebb körű együttműködésnek.
Igazából azt kell látni, hogy ez az egész kiberbiztonság közel sem akkora stratégiai fenyegetés itthon. Kiberbűnözéssel azért mind gyakrabban találkozhatunk, és egyre komolyabb károkat jelent mindez, de eddig e szempontból periféria ország voltunk, nem célpont, hanem ugrópont.
Talán a geopolitikai súlyunk sem lesz soha akkora, hogy ez markánsan változzon.
Épp tegnap olvastam egy érdekes cikket a kínai nyomulásról – ez nekünk azért érdekes, mert mi vagyunk a Huawei legnagyobb európai gyártóbázisa, ezáltal tipikus ütközőpont a nagyhatalmak között. Ez nem Magyarország kiberbiztonságát érintő kérdés, hanem egy ütközőpont, ahol a nagyhatalmi érdekek egy kiberes ügyben találkoznak. De a jelentőségünk messze nem olyan nagy, hogy mondjuk a választásokat megpróbálják befolyásolni, vagy tudást, szellemi tulajdont próbáljanak tőlünk lenyúlni. Még nem ért meg ez a helyzet arra, hogy a kormányzat szélesebb körű együttműködésben kezelje ezt az ügyet, szemben Nagy-Britanniával, az Egyesült Államokkal, Észtországgal, ahol direkt célpontként találkoznak ezzel a fenyegetéssel. E terület jelentősége azért itthon is nő. A 2020-as új Nemzeti Biztonsági Stratégia sok helyen foglalkozik a kibertérből érkező fenyegetésekkel.
Laikusként mindemellett nehéz érteni, miképpen lehetséges, hogy középiskolás vagy egyetemista diákok törnek fel egy-egy rendszert, mint az néhány éve történt az elektronikus jegyrendszerrel. Mi lehet belőle a tanulság a szakemberek számára?
Ma már bárki írhat szoftvert, és ebből adódik, hogy sokszor a nem kellő tervezés okán az emberek elkezdik azt keresni, hogy hogyan lehet rajta rést találni. Nemrégiben nézegettem egy hekker fórumot, ahol arról beszélgettek, hogy az oltottsági igazolványokkal kapcsolatos plasztiklapokkal kapcsolatban van-e sebezhetőség a QR-kódokban. Kiderült néhány órán belül, hogy milyen technológiával készítették a QR-kódot, mi van mögötte, hol lehet ennek az esetleges sebezhetősége. Mi e próbálkozások célja? Egyfelől érdekes szellemi kihívás, emellett attól kezdve, hogy egy ilyen vakcinaigazolást hamisítani lehetne, megjelennének azok, akik pénzért kezdenék árulni azokat, a QR-kódok leolvasása pedig hasznot hozhatna. Valahol itt kell keresni annak okát, miért kell biztonságossá fejleszteni a szoftvereket. Magyarországon is többezer ember van, aki elkezd tovább gondolkodni, és ilyen esetekben a kihívást keresni, és minél gyengébben van megírva az adott szoftver, annál előbb sikerül célt érniük. Habitus kérdése, hogy valaki a talált hibát lejelenti a gyártó cégnek, a sajtóhoz rohan vele, vagy önmaga publikálja. A Nemzeti Kibervédelmi Intézetnek van egy kimondottan erre a célra fenntartott email címe, ahol ezeket a hibákat be lehet jelenteni, ez a leghelyesebb eljárás.
A fenti esetben az illető nem élt vissza helyzetével és jelezte a biztonsági rést, ám Jay Redcliffe, egy multicég informatikusaként dolgozó, cukorbeteg szakember saját inzulinadagoló készülékén vett észre biztonsági rést, amelynek kihasználásával akár meg is ölhették volna. Mennyire vagyunk biztonságban az Internet of Things (IoT) korában?
Erre szokták viccesen azt mondani, hogy az IoT rövidítésben az S betű jelenti a Security-t, ami ugye nincs benne, és a biztonság valóban hiányzik is ezekből az eszközökből. Nem véletlen, hogy az EU-ban sok egyéb mellett az egyik jogalkotási feladat az, hogy az IoT rendszerekben alapvető biztonsági előírások jöjjenek létre. Szerintem ez egy nagyon komoly követelmény lesz, és rövid időn belül el fogják fogadni, így az európai piacon nagyobb biztonságban lehetünk. Ami nem azt jelenti, hogy minden problémát meg fogunk oldani, hiszen száz százalékos biztonság soha nem lesz, de a mostani állapothoz képest remélem, hogy előbbre fogunk lépni.
Amikor, mint az említett esetben is, az egészségünk forog kockán, ijesztő hallani a szabályozás rendezetlenségéről. Csak az EU-ban jelent ez most gondot?
Ugyanazokat a kínai gyártású eszközöket használják a világon mindenhol.
Vagyis a gyártó lelkiismeretére van bízva a biztonságunk.
Igen.
Akkor nem lehetnek illúzióink, hiszen aligha fűződik érdekük ahhoz, hogy extra összeget áldozzanak erre, ha ez nem kényszer.
Így van. A biztonság mindig pénzbe kerül. Ameddig nem muszáj, nem költenek rá.
Végül beszéljünk egy kicsit a Solarwinds-ügyről! Nemzetközi szinten várható-e összehangolt védekezési, megelőzési akcióterv kidolgozása? Vagy inkább nemzeti alapon történnek majd megelőző lépések, csapások? Biden elnök 2 milliárd dollárt máris átirányított kibervédelemre.
Sajnos nem várható globális megállapodás. A kibertér klasszikus közlegelő, és mint minden ilyen, nincsenek lefektetett szabályok, amelyeket nagyhatalmi status quo szokott kikényszeríteni. A kibertérben még jó ideig küzdelem lesz azért, hogy a nagyhatalmak a megfelelő hatalmi pozíciókat elfoglalják. Ezért van az, hogy a legtöbb keleti nagyhatalom megpróbál egyfajta nemzeti internet felé elmozdulni, míg a nyugati államok a globális internet fenntartása mellett érvelnek. Ennek megvan az az oka, hogy az internet mégiscsak egy amerikai találmány, és sok kulcseleme amerikai kézben van, tehát érthető az orosz vagy a kínai álláspont, amivel megpróbálják megvédeni a saját érdekszférájukat. Viszont amíg a staus quo nem valósul meg, addig e téren béke nem lesz. Nemzeti alapon történnek a megelőző csapások. Itt, Európában egy klasszikus, összehangolt kiberbiztonsági lépés előnye a hatékonysága, hiszen azt 27 tagállam együttesen adja ki. Hátránya pedig az, hogy mire sikerül e sok országnak egyetértésre jutni, az idő.
Nem az Egyesült Államok Kiber Parancsnoksága, hanem egy tőzsdei cég, a FireEye hozta nyilvánosságra a kibertámadás tényét. Mire utal mindez?
Arra, hogy sikerült találni az Egyesült Államok jogrendjében egy olyan lyukat, amelyet sikeresen kihasználtak. Maga a támadás az USA-n belül indult el. A két ezzel foglalkozó szervezetnek nincs joghatósága, akinek volt, az a US Department of Homeland Security, azaz a belbiztonsági minisztérium, amely el is kezdte kiépíteni azt a fajta belső figyelő rendszert, amelyen keresztül akár észlelhették is volna a támadást, de az erőforrások ebben az időben arra mentek el, hogy az amerikai választások biztonságát megpróbálják megóvni. Ezért sikerült a támadást végrehajtani. Ez azt is megmutatja, hogy a világ pénze sem volna elég a védekezésre.
Hogyan alakul a jövőben az állami és a magánkézben lévő szervezetek szerepe e támadások kapcsán?
Ezt az amerikaiak is nagyon szeretnék tudni. Ott voltam San Franciscoban négy éve, amikor az amerikai kormány képviselője kiállt a cégek elé és együttműködést kezdeményezett, de Washington és a Silicon Valley között nagy a távolság, és nemcsak földrajzi értelemben, hanem gondolkodásban is. Az elmúlt négy évben, Trump elnöksége alatt ez a kapcsolat nem váltott át bizalmi viszonnyá. Meglátjuk, hogy Biden alatt ebben lesz-e változás.”
Forrás:
Rések a pajzson; Kovács Ágnes Lilla; Ludovika.hu; 2021. március 22.