Biden átfogó kormányzati intézkedés-csomagot hirdetett az USA kiberbiztonsági védekező képességének erősítésére

Az utóbbi időszakban egyik súlyos – és megszégyenítő – csapás a másik után érte az Egyesült Államok informatikai infrastruktúráit. A mintegy tíz nappal ezelőtt bekövetkezett zsarolóvírusos támadás, amely az USA Keleti partvidékének egyik legfontosabb kőolajvezetékét üzemeltető vállalat rendszereit érte csak az utolsó csepp lehetett a pohárban. Miközben a Colonial vezeték, ez a minden szempontból kritikus infrastruktúrának számító fontos energia elosztó rendszer csak az elmúlt hét végén tudta ismét folytatni a működését (és egyes híresztelések szerint az üzemeltető cég csak úgy tudott felülkerekedni az IT-hálózatát ért támadáson, hogy jelentős méretű, 5 millió dollárra saccolt váltságdíjat fizetett ki a támadóknak) az amerikai kormányzat átfogó intézkedéscsomagot hirdetett az USA kiberbiztonsági helyzetének számottevő javítására. Biden elnök szerdán jelentette be azt a programot, ami már a közeli jövőben eredményesen növelheti a legfontosabb kormányzati rendszerek ellenálló képességét.

Az Elnöki Rendelet (amely bevezetőjében név szerint kitér az elmúlt időszak legsúlyosabb kiberkríziseire, a számtalan kormányzati és magánszervezet hálózatait feltörő ún. SolarWinds akcióra, és a Colonial vezeték elleni mostani támadásra) számos intézkedést irányoz elő. Hangsúlyozza ugyanakkor, hogy az ország kibertereinek hatékony védelme kizárólag a kormányzati és a privát szféra szoros összefogásával valósítható meg. Ennek megfelelően célul tűzi ki a szektorok közötti kiberbiztonsági célzatú információáramlás felgyorsítását. Ennek érdekében előirányozza azoknak a jogszabályi korlátoknak a lebontását, amelyek jelenleg gátjai a szervezetek közötti (és különösen a szektorokon árívelő) információ megosztásnak. Természetesen a kormányzati rendszerek állnak a figyelem középpontjában; ebben a szellemben a rendelet részletes javaslatokat fogalmaz meg a szövetségi kormányzat kiberbiztonsági képességeinek növelésére: a jógyakorlatok megosztására, a zéró bizalom elvén alapuló rendszer-architektúrákra átállásra, a biztonságos felhőszolgáltatásokra való áttérésre. Ezen túlmenően – nyilvánvalóan a SolarWinds-ügy egyik legfontosabb tanulságaként – előírja a szövetségi kormányzati szoftver-ellátási láncok biztonságának fokozott kiépítését, illetve ellenőrzését.

Az egyik legfontosabb intézkedésként a rendelet utasítja a szövetségi kormányzati szerveket, hogy a Belbiztonsági Minisztérium alárendeltségében állítsanak fel egy szövetségi Kiberbiztonsági Felügyeleti Testületet (Cyber Safety Review Board). Az új hivatal feladatául jelölte ki Biden elnök azt, hogy átfogóan vizsgálja és tanulmányozza a szövetségi kormányzat által meghatározott (szövetségi- és nem szövetségi-) rendszereket érő kibertámadásokat, a kihasznált sérülékenységeket, a megtett kárelhárítási intézkedéseket, a különböző érintett hatóságok ellenlépéseit.

Legalább ilyen horderejű lépésként intézkedik az elnöki rendelet a szövetségi hatóságok és szervezetek kiberbiztonsági eljárásrendjeinek egységesítéséről: ennek keretében azonos sztenderdek alapján kell majd fellépni az egyes kormányzati rendszerek sérülékenységeivel, illetve az ellenük irányuló támadásokkal kapcsolatban. Az intézkedések között szerepel továbbá a szövetségi rendszerek sérülékenységeit, illetve a hálózatok elleni próbálkozások korai jeleit figyelő korai előrejelző rendszerek kiépítése és működtetése. Hasonlóan előirányozza a szövetségi hatóságok – már megtörtént incidensekkel kapcsolatos – felderítési, nyomozati kapacitásainak számottevő erősítését is.
A több további részletre is kitérő Elnöki Rendelet egyértelmű célja, hogy az amerikai kormányzati informatikai rendszerek biztonságát már rövidtávon hatékonyan javítsa. A rendelet egyes intézkedéseinek végrehajtására a jogszabályban előirányzott 30-90 napos végrehajtási határidők egyértelműen mutatják, hogy az elnök azonnali eredményeket akar ezen a kulcsfontosságú területen.
Biden signs security-focused executive order meant to accelerate breach reporting, boost software standards; Sean Lyngaas; Cyberscoop; 2021. május 12.
Executive Order on Improving the Nation’s Cybersecurity; The White House; 2021. május 12.

A kiberbiztonsági képzési programok kerülnek az USA védekezési filozófiájának fókuszába

Az USA kormányzati rendszereinek biztonságát már rövidtávon javítani hivatott intézkedések mellett, amelyek a héten kiadott Elnöki Rendeletben foglaltak össze, az amerikai vezetés elkötelezettnek látszik egy további (jellegénél fogva óhatatlanul közép- vagy hosszú távú) intézkedési terület mellett. A jelek szerint a kiberbiztonsággal kapcsolatos képzések az USA védekezési filozófiájának fókuszába kerülnek most. Biden elnök, az átfogó kiberbiztonsági intézkedés-csomag bejelentésének napján egy sajtótájékoztatón tett hitet a mellett, hogy a kiberbiztonsággal kapcsolatos edukációt a kiemelten kezelt területek közé kívánja emelni. A kormányzat eltökélt arra, hogy számottevően növelje az informatikai alapkészségekkel, az IT-biztonságra vonatkozó átfogó tudással rendelkező kormányzati és magánmunkaerő számát. A képzések jelentős kiterjesztéséhez szükséges forrásokat az amerikai kormány biztosítani fogja a különféle felsőoktatási és más képzési programoknak. Elsődleges középtávú cél ugyanis az, hogy a felsőoktatási rendszerből egyre nagyobb számban kerüljenek ki olyan végzettek, akik széleskörű kiberbiztonsági ismeretekkel is fel vannak vértezve.
Biden Says US Needs to Train More People in Cyber Security amid Gas Crisis; Caroline Downey; National Review; 2021. május 12.

Kiemelkedő magyar siker a legrangosabb európai kiberbiztonsági versenyen

A kiberbiztonsággal kapcsolatos képzés erősítése (a módszertani elemek javítása, képzési programok nem-mernöki témakörökkel való fokozatos kiegészítése, az ún. kiberbiztonsági „szoft képességek” fontosságának fokozott érvényesítése) az Európa Unió kiberbiztonsági stratégiájában is előkelő helyet foglal el. A koncepció különösen gyors tempóval látszik meghonosodni a mi régiónkban, ahogy azt jól mutatja egy a napokban született kiemelkedő magyar eredmény. A legrangosabb európai kiberbiztonsági versenyen minden korábbinál jobban szerepeltek a magyar résztvevők, amit az elnyert díjak egyértelműen tanúsítottak.

A genfi székhelyű agytröszt, a Geneva Centre for Security Policy (GCSP) és a nagyhírű amerikai központú think tank, az Atlantic Council által közösen megrendezett versenyen 24 diákcsapat mérte össze az elméleti tudását, innovatív gondolkodásmódját, világos helyzetfelismerő képességét és döntési kapacitását. Bizonyos értelemben persze a stressztűrő képesség is komoly szerepet kapott a megmérettetésben: a két napos esemény ugyanis, szándékolt módon valóságos válsághelyzetek valós döntési szituációit igyekezett szimulálni, és az időhiány (valamint az ezzel együtt járó alvásmegvonás) erősen próbára tette a fiatal versenyzők fizikai és szellemi állóképességét is.
Az egyébként immár 7. alkalommal megrendezett „European Cyber 9/12 Strategy Challenge” elnevezésű rendezvényen a NATO tagállamokból érkezett csapatok mellett versenybe szállt a házigazda Svájc, valamint Svédország, sőt a távoli Chile felsőoktatási intézményeinek egy-egy válogatottja is. Magyarországot két csapat is képviselte: a Nemzeti Közszolgálati Egyetem színeiben önállóan induló mesterszakos hallgatói team, valamint a Nemzeti Közszolgálati Egyetem és a Tallini Műszaki Egyetem vegyes csapata.
Az idei versenyen a rendezők – már a témaválasztásban is igazodva az élet realitásaihoz – egy olyan szcenáriót terveztek, amelyben több európai ország egészségügyi infrastruktúráját éri egyidejű kibertámadás. A versenyző csapatok feladata az volt, hogy megfelelő válaszokat dolgozzanak ki a folyamatosan változó válsághelyzethez igazodva; ezek alapján olyan (európai szinten összehangolt) stratégiai politikai ajánlásokat kellett kidolgozniuk, amelyekre támaszkodva a döntéshozók (politikai vezetők, biztonsági szakemberek, vállalati vezetők) a szükséges intézkedéseket meghozhatták. A folyamat hipotetikus eszkalálódása, államok közötti konfliktusok kibontakozása nehezítette a helyes opciók, javaslatok kidolgozását.

A tekintélyes verseny idén egyértelmű sikereket hozott a magyar csapatoknak. A Team Tal-NUPS, tehát a talliniak és a magyar közszolgálatisok vegyese (Szőke Ágoston és Ináncsi Mátyás részvételével) ezüstérmes helyezést nyert. Ugyanakkor az NKE másik csapata (Kiss Adrienn, Tóth Rebeka, Katona Gergő, Ruszkovics Patrik) különdíjat kapott a leginnovatívabb javaslatért. „Ezzel a sikerrel az intézményépítés több éves kemény munkája érett be” – kommentálta az eredményt dr. Krasznay Csaba, a magyar csapattagok hazai intézményéül szolgáló NKE Kiberbiztonsági Intézet igazgatója. A fiatalok felkészítő tanára, a szintén az NKE-n oktató dr. Bányász Péter azt emelte ki: „Az külön büszkeséggel tölt el minket, hogy olyan hagyományos „fellegvárakat” sikerült megelőzni, mint az Oxfordi Egyetem. Ráadásul az első helyezésünk is csak egy hajszálon – egyetlen ponton – múlott.”
Intézeti sikerek a 7. Európai Cyber 9/12 versenyen; Ináncsi Mátyás; NKE Kiberbiztonsági Kutatóintézet; 2021. május 13.
Team Argonauts from ETH Zürich Wins the 7th European Cyber 9/12 Strategy Challenge; GCSP Geneva Center for Security Policy; 2021. május 12.

PÁR MONDATBAN – TOVÁBBI HÍREK, OLVASMÁNYOK, ADATOK

Újabb zsarolóvírus támadás: ezúttal az ír egészségügyi szolgálat rendszerei estek áldozatul a bűnözőknek

Az elmúlt héten az Egyesült Államok energetikai infrastruktúrájának fontos elemét megbénító támadás után most újabb állami IT-rendszerre csaptak le a kibertér bűnözői csoportjai. Ezúttal az ír állami egészségügyi szolgálat informatikai rendszerei estek áldozatul egy zsarolóvírusnak. Hivatalos bejelentés szerint a HSE (az állami egészségügyi szolgáltató szervezet) „elővigyázatosságból” állította le időlegesen a számítógépes hálózatait. Ugyanakkor az ügyben megszólalt – a szakképzettségét tekintve szintén orvos – Leo Varadkar, az Ír Köztársaság miniszterelnöke is, aki „rendkívül súlyosnak” nevezte a támadást. A problémát különösen akuttá teszi az a tény, hogy éppen a körzeti orvosi hálózat, valamint a koronavírus tesztelésben résztvevő egységek rendszerei váltak működésképtelenné. A miniszterelnök szerint a támadás következményeinek elhárítása bizonyosan átnyúlhat a következő hétre is. A támadás mögött – hasonlóan az amerikai gázvezeték-üzemeltető elleni akcióhoz – nemzetközi bűnözői csoportokat sejtenek a helyi szakemberek. Az egészségügyi hálózat vezetőjének közlése szerint a támadás során használt szoftver rendkívül kifinomult; azt is elmondta: mindeddig még nem jelentkezett senki váltságdíj követeléssel.
Ireland’s health service shuts down IT systems over ransomware attack by ’international criminals’; Sky News; 2021. május 14.

Súlyos biztonsági fenyegetést jelent az ausztrál hadsereg röviddel ezelőtt rendszerbe állított izraeli gyártmányú, automatizált harcvezetési rendszere

Az elmúlt két és fél évben az IT-technológiai szaksajtó, és persze a politika és a közélet is a kínai Huawei cég által szállított eszközök által jelentett „biztonsági fenyegetésről” szólt. Noha bizonyító erejű adatok nem kerültek a nyilvánosság elé, a nyugati világ elitjei gyakorlatilag axiómaként fogadták el, hogy a kínai Huawei eszközei titokban adatokat gyűjtenek (vagy gyűjthetnek) és továbbítanak a felhasználókról a kínai állambiztonság (vagy, ahogy manapság erős didaktikus célzattal ezt mondani szokták: „a Kínai Kommunista Párt – CCP”) számára. Noha a feltételezés önmagában nem elképzelhetetlen, az erre utaló egyértelmű tények hiánya arra sarkallja az embert, hogy kellő fenntartásokkal fogadja a vádakat. Különösen, ha tekintetbe vesszük, hogy a Kína és az USA között bontakozó techno-geopolitikai összecsapás kellős közepén merült fel ez a szempont, és nyomában (erős amerikai presszióra) sorra szorították ki a kínai óriásvállalatot az 5G hálózatok és technológiák európai és világpiacairól.
E háttér előtt különösen érdekes az a hír, ami a héten vált nyilvánossá az ausztrál sajtóban. A nyugati szövetségi rendszer Csendes-óceáni térségének egyik pillérét alkotó ország fegyveres erői csendben, de nagy gyorsasággal megkezdték azoknak az informatikai eszközöknek a leszerelését, amelyeket nem sokkal korábban – dollár milliárdokért – szereztek be a kifejezetten baráti országnak számító Izraeltől. Az egyik legjelentősebb izraeli hadiipari fejlesztő és gyártó cég, az Elbit leányvállalata által forgalmazott Automatizált Vezetésirányítási Rendszer ugyanis – az ausztrál hadsereg vezérkara szerint – titokban adatokat gyűjt és továbbít a gyártónak. A cég cáfolta a híreszteléseket, kiemelve, hogy a továbbiakban is „szorosan együttműködik az ausztrál védelmi tárca informatikai fejlesztésein”. Ugyanakkor az ausztrálok hozzákezdtek az Elbit-rendszerek leszereléséhez, és a május közepére prognosztizált teljes átállásig „karanténba helyezték” az érintett IT-hálózatokat és eszközöket.
Israeli company denies ’security rumours’ as Defence removes multi-billion-dollar technology and quarantines Army IT systems; Andrew Greene; ABC Net; 2021. május 7.

Összeállította és szemlézte: dr. Nyáry Gábor