A kibervédelem paradoxona: a túlreagálás hosszú távú veszélyei
A kibervédelem rendszerszerűen a túlreagálásra építi a védekezési műveleteket – vélik a szakemberek. És ez maga sem veszélyek nélküli hozzáállás, fogalmazzák most meg a kételyeiket a kiberbiztonsági szakma egyes szereplői. A probléma azért is érdemel figyelmet, mert a „túlreagálásnak” nevezett hozzáállás (tehát az, hogy veszélyre utaló jelek észlelésekor a védelemmel megbízott szervezetek erejük és lehetőségek maximumával csapjanak le az aggasztó kezdeményezésekre) magától értetődően emberi hozzáállás. Az a megfontolás, gondolatmenet áll mögötte, hogy „egy mindent elsöprő ellencsapásból biztosan nem lehet baj”, a veszélyt inkább az okozhatja, ha túl későn, túl keveset reagál a védelem. Ez az első látásra józan megközelítés azonban – legalábbis hosszú távon – komoly veszélyeket rejt.
A probléma jobb megértését hatékonyan szolgálhatják a geopolitikának a közvélemény széles körei előtt is jól ismert eseményei. Nagyon gyakran szerepel ugyanis a hírekben, hogy bizonyos válságövezetekben (ilyen például manapság a Baltikum vidéke, vagy az Oroszországhoz tartozó Kalinyingrád enklávé körzete) az egymással szemben álló felek fenyegetőnek látszó katonai akciókat hajtanak végre. A leggyakoribb esetben a NATO, illetve Oroszország repülőgépei (jellemzően felderítők, esetleg bombázók) közelítik meg az ellenfél légterét, gyakorta behatolva annak „előterébe”, a nem hivatalos felségterületként birtokolt „légvédelmi azonosítási körzetbe”. Többnyire az elemzők az erődemonstráció (tehát végső soron a politikai nyomásgyakorlások) körébe sorolják ezekez az incidenseket. Miközben természetesen ilyen vonatkozásai is lehetnek ezeknek a nagyon is gyakori műveleteknek, egy legalább ennyire fontos megfontolás húzódik meg a hátterükben. A fenyegető, vagy szokatlan manővereket végző (vagy a másik félhez túlságosan is közel merészkedő) repülőgépek szinte automatikusan keltik fel az ellenfél légvédelmi szervezeteinek a figyelmét. És tulajdonképpen éppen ez ezeknek a szokatlan, „provokatív” akcióknak az igazi mozgatórugója, rendeltetése: ellentevékenységre, reagálásra kényszerítik az ellenfelet. Közben maguk (illetve az ilyen manővereket kísérő egyéb felderítő szervezetek és technikák) szorgalmasan rögzítik az ellenintézkedéseket: a technikai paraméterektől kezdve a követett eljárásrendekig. Ezzel a módszerrel tehát rendkívül értékes információkat tudnak gyűjteni az ellenfél védelmi képességeiről, védelmi eljárásairól, sőt még a védekezésben várhatóan résztvevő erőiről is.
Valójában nincsen ez másként a kiberműveleteknek a széles közvélemény szeme elől jobban elrejtett világában sem. A kiberdomén támadó szereplői, legyenek azok magánzók (azaz köztörvényes bűnelkövetők), vagy állami szolgálatban álló kiberkatonák, esetleg hasonlóan politikai célokért fellépő nem állami szereplők hackerek a műveletek és akciók jelentős része a kiszemelt célpont védelmi rendszereinek a „kipuhatolására” összpontosítják erőiket. Ez a felderítési fázis lehet stratégiai jellegű (tehát, amikor átfogó információkat igyekeznek gyűjteni egy potenciális ellenfél rendszereiről, azok működéséről, esetleges sebezhetőségeiről), vagy akár operatív, azaz egy konkrét akció (kiberkémkedés, vagy kiber károkozás) előkészítő szakaszának részeként mérik fel a célpontot. Valójában a puhatolózó lépések mögötti gondolat éppen az, hogy a kiszemelt célpont bizonyosan reagálni fog az észlelt felderítő-támadó kezdeményezésekre. A kibervédelem reagálásának megfigyelése pedig rendkívül értékes információkhoz juttatja a támadó szándékú hackereket: feltérképezhetik a védekezésbe bekapcsolódó konkrét szereplőket; fogalmat alkotnak a védekezéssel kapcsolatos engedélyezési-döntési szintekről és eljárásokról; értékes adatokhoz jutnak a célpontul kiszemelt rendszer védelméért felelős szervezet védelmi taktikáiról, védelmi technikáiról és védelmi eljárásairól (azaz a kulcsfontosságú elemként elkönyvelt, TTP-ként is emlegetett hármasról). Valójában az informatikai rendszerek védelméért felelős szervezetek, személyek esetében szinte általánosan jellemző az a „reaktív kultúra”, ami szinte automatikusan ellenlépések sorozatára kényszeríti a védekezőket a rendszereiket ért legkisebb próbálkozások hatására is.
Szakértők most arra figyelmeztetnek, hogy a kiberdimenzióban zajló műveletek érezhető intenzifikálódásának korában (ahol a bűnözők által indított akciók éppen úgy szaporodnak, mint az állami szereplők kiberműveletei) mindenképpen érdemes szem előtt tartani ezt a szempontot, ha úgy tetszik, védelmi paradoxont. Természetesen nem arról van szó, hogy a kibervédelem erői felhagyjanak a puhatolózó akciókra való reagálással. Arról viszont igen, hogy tisztában legyenek azzal, hogy a védelem minden reagálásának ára van: és ez az ár a támadókhoz jutó információ darabokban mérhető. Ahogy nő a puhatolózásokra adott védelmi válaszok száma – úgy növekszik az ilyen tapogatózó akciókban az ellenfelet feltérképezni igyekvő támadó tudása a védelem rendszeréről, képességeiről.
Érdemes egy további szempontot is figyelembe venni: az állami szereplők által végrehajtott (ill. nem állami, de politikai célú szereplőkhöz köthető) kiberműveletek meghatározóan fontos jellemzője az a törekvés, hogy az akciót a nyílt összecsapáshoz vezető „ingerszint” alatt tartsák. A kiberdimenzióban azonban (részben kiforratlansága, képlékenysége, illetve eszközrendszerének újszerűsége miatt) nagyon nehéz pontosan látni, hogy hol is húzódik az a bizonyos határvonal, aminek az átlépésével a kibertámadó egy nyílt konfliktus kirobbanását kockáztatja. A puhatolózó akcióknak ez is az egyik fontos funkciója, hogy segítsen a támadónak kitapogatni ezt a láthatatlan vörös vonalat. Már pedig, a kibervédelem szervezetének, erőnek reakcióiból éppen ezt a létfontosságú értesülést lehet apránként összeállítani. Ennek birtokában aztán a támadó a valószínűsített nyílt konfliktus ingerküszöböt éppen csak súroló szinteken folytathatja a későbbi tevékenységeit.
A kiberdomén állami (és politikai célú nem állami) szereplői által vívott kiberhadviselés egy nagyon fontos tényezője, potenciális veszélyforrása az eszkaláció lehetősége, illetve az eszkaláció kérdése is. Közkeletű az az álláspont, hogy a kiberdimenzió hadszínterének képlékenysége, mássága, amire korábban utaltunk, a geopolitikai szembenállás hagyományos dimenzióihoz képes különösen fogékonnyá teszi a kiberteret az eszkalációra. Arra tehát, hogy a lépések-ellenlépések-újabb lépések-újabb ellenlépések lépcsőzésében az események irányítása hamar kicsússzon a szereplők kezéből. A védelmi reakciók tervezésénél ezt a szempontot sem szabad figyelmen kívül hagyni.
Átfogó megoldás természetesen itt sem létezik, de érdemes folyamatosan összevetni és mérlegelni minden egyes kibervédelmi lépésből eredő védekezési előnyöket, illetve az információ felfedés révén előálló védekezési hátrányokat. Annak ellenére, hogy nyilvánvalóan gondot okoz az is: miközben az agilis védekező lépésekkel nyerhető előny azonnal jelentkezik, a védelmi képességeink fokozatos felfedéséből származó hátrányok hosszú távon jelentkeznek.
The long-term cost of cyber overreaction; Jan Kallberg; C4ISRNet; 2021. május 27.
PÁR MONDATBAN – TOVÁBBI HÍREK, OLVASMÁNYOK, ADATOK
Köteleznék a zsarolóvírusos kibertámadások áldozatait az esetleges fizetés nyilvánosságra hozatalára
Az egyre világosabban kibontakozó trend szerint a zsarolóvírusos támadások jelentetik az elkövetkező időszakban az informatikai rendszereket érő (egyik) legnagyobb fenyegetést. Az elmúlt hetek sorozatos támadásai (amelyek közül az amerikai Colonial gázvezeték szolgáltató elleni akció kapta a legnagyobb figyelmet, bár az okozott károk tekintetében több nagyobb ügy is történt mostanában) ráirányították a figyelmet a szabályozás kérdéseire is. A napokban ausztrál politikusok körében vetődött fel az a koncepció, hogy a vállalati szereplőket érő zsarolóvírusos támadások esetén jogszabályi kötelezettséggel kellene előírni azt, hogy a váltságdíj kifizetésének tényét az érintett vállalatok nyilvánosságra hozzák. Az elképzelés mögött az a nyilvánvaló megfontolás áll, hogy a zsarolóvírusos támadások rohamos terjedésének hátterében álló okok között vélelmezhetően komoly súllyal szerepel az, hogy a támadást végrehajtó bűnözők „csendben és feltűnés nélkül” tudnak hozzájutni követeléseikhez, mivel a megtámadott vállalatoknak az esetek többségében a jóhírnév sérelmének elkerülése fontosabb, mint az anyagi veszteség. Ha azonban a váltságdíj fizetés tényét kötelező lenne nyilvánosságra hozni, akkor ez jelentősen csökkenthetné a megtámadott cégek hajlandóságát a fizetésre. Ez viszont a bűncselekményfajta „problémamentes jövedelmezőségét” csökkenthetné, segítve ezzel a riasztóan elharapózó esetek számának kordában tartását, vagy akár visszaszorítását.
A tervezett szabályozás egyébként hasonló lenne azokhoz a rendelkezésekhez, amelyek az adattulajdonos cégeket kötelezik arra, hogy nyilvánosságra hozzák, ha az adatkészleteik kompromittálódnak, azokat illetéktelenek megszerzik. A zsarolóvírusos kibertámadások terjedése egyébként Ausztráliában is egyre aggasztóbb méreteket ölt. Ennek következtében az ellenzéki Munkáspárt tavasszal egy vitaanyagot állított össze annak megvizsgálására, hogy milyen keretek között és milyen tartalommal lehetne kidolgozni egy nemzeti kiberzsarolás-ellenes stratégiát. Ezzel párhuzamosan a kormányzat kiberbiztonsági szakértői csoportja a kiberzsarolásokkal kapcsolatos jelentést tett közzé. Ebben igyekeztek útmutatót megfogalmazni a magánszektor szereplői számára az ilyen támadásokkal szembeni hatékonyabb védekezésre.
Business could face mandatory reporting of cyber payouts: Pezzulo; Max Mason; Australian Financial Review; 2021. május 24.
Labor calls for ransomware notice scheme; Denham Sadler; Innovation Aus; 2021. május 24.
Összeállította és szemlézte: dr. Nyáry Gábor
