„ A modern kiberbűnözés, bár nem száz százalékig, de nincsen emberi beavatkozás, emberi butaság, tévedés, hiszékenység nélkül – mondta Krasznay Csaba, a Nemzeti Közszolgálati Egyetem Kiberbiztonsági Kutatóintézetének vezetője az InfoRádió Aréna című műsorában. A szakértő beszélt a járvány alatt átalakult kiberbiztonságról, az egészségügyi hálózatra leselkedő kockázatról és a Pegasus-ügyről is.

A Covid-járvány két éve alatt látszik már, hogyan változott a kiberbiztonság szerkezete?

Olyan változáson mentünk keresztül, amilyen üteműt – húsz éve vagyok ebben a szakmában – még nem láttam. A helyzet egyre rosszabb.

A kiberbiztonságban nem látott ilyen gyors ütemű fejlődést, vagy a kiberbűnözők nem fejlődtek ekkorát?

A kiberbiztonság védelmi oldalán is hatalmas fejlődés volt, amit megkövetelt a digitalizáció, másrészt viszont a kiberbűnözői oldalon is olyan technológiákat kezdtek el alkalmazni, amelyek korábban csak jellemzően állami csoportok tulajdonsága volt.

A mi viselkedésünk, az, hogy home office-ba kényszerültünk és ott digitális eszközökkel, számítógépekkel kezdtünk el dolgozni, megváltoztatta a kiberbűnözés jellegét?

2020 januártól 2021 januárjáig az emberiség népessége körülbelül 1 százalékkal nőtt, a közösségi médiafelhasználók száma 14 százalékkal. Olyan rétegek jelentek meg az interneten, amelyek korábban egyáltalán nem használták, és nyilvánvalóan olyan rétegek kezdték el sokkal sűrűbben használni, amelyek korábban ugyan használták, de nem ilyen szinten. Ki kell emelnem a gyermekeket, illetve az idősebb korosztályt.

Azonnal ráugrottak a bűnözők, amikor látták, hogy mindenki otthon van és mindenki valamilyen eszközt kezel?

Úgy kell elképzelni a kiberbűnözést, hogy vannak infrastruktúrák, támadó szerverek, támadó kódok, kész keretek, amiket föl lehet használni. Ezek 2020 márciusának közepén egy-két hét alatt alkalmazkodtak ahhoz a globális lezáráshoz, amit megtapasztaltunk, és rögtön jöttek azok a Covid-tematikájú támadások, adathalász támadások, online csalások, amelyek kihasználták ezeket az infrastruktúrákat, és rögtön lecsaptak a helyzetre.

Mit akarnak ilyenkor megszerezni? Lehet pénzt, lehet adatot szerezni. Mit lehet még?

Pénzt mindenképpen, ez mindig is egy nagy bevétellel kecsegtető iparág volt. Olyan rétegek jelentek meg, amelyek teljesen felkészületlenek voltak az online csalásokkal szemben, s ez azt is jelentette, hogy sokan jelentek meg olyanok, akikből pénzt lehet kiszedni. Erre ült rá egyébként az az általános aggály, hogy mi lesz a jövővel, amit két irányból lehet megközelíteni. Egyrészt a kriptovalutalázt, a kriptovalutákra épülő csalásokat, sőt, önmagában a kriptovalutát is én egy hatalmas nagy pilótajátéknak tartom, hihetetlenül elterjedt, építve az embereknek arra az aggályára, hogy mi lesz az anyagi jövőnkkel. A másik nyilván az egészséggel kapcsolatos félelmeink. Nagyon sok csodaszer hirdetését lehetett látni főleg az elején, amelyek majd jól meggyógyítják az embereket, sőt megelőzik a Covidot.

Ezek a fapados technikák az interneten is működnek? Az a legősibb csalás, amikor az ember panáceát, csodaszert árul.

Gyakorlatilag a bűnözés a fizikai térből jórészt átment az online térbe. Éppen mostanában lepleztek le Németországban egy ezer főből álló pedofil hálózatot. Ez annak is köszönhető, hogy például a gyermekekkel szembeni szexuális visszaélések hihetetlenül hamar átmentek az online térbe, hiszen nem volt gyerek a való világban. Ezért elkezdték ott kiélni a szenvedélyeiket az érintettek. Minden bűnözési ágra jellemző, hogy megjelent egy olyan hatalmas online előretörés, ami korábban nem volt jellemző.

Honnan tudja egy internetes bűnöző, hogy ki van a vonal másik végén? Nem mindegy nyilván, hogy egy informatikatanár vagy én ülök le ugyanezen számítógép elé?

Nagyon egyszerű: azokat, akik korábban nem jelentkeztek még online lenyomattal, meg lehet találni az interneten úgy, hogy mindent megosztanak magukról. Egy nyugdíjas, egy idősebb ember, akinek korábban nem volt széles online lábnyoma, elkezdte úgy kiírni az összes információt magáról, mintha nem lenne holnap. Ez alapján pedig a profilozások már nagyon egyszerűen mennek és nagyon egyszerűen meg lehet találni, hogy az áldozatot hogyan lehet behúzni a csőbe.

Ki profiloz? Ember vagy gép?

Az egyik technológia, amit elkezdett használni az online bűnözés, a mesterséges intelligencia. A mesterséges intelligencia mögött lévő nagy adatok összegyűjtése, az erre épülő profiloknak a fölállítása sem volt korábban jellemző. De azért a legtipikusabb még mindig az, hogy van egy közösségi hálózat például, amin lehet látni, hogy ki van ott, ki van a kapcsolati körben, van egy csomó email-cím, amit csak úgy látatlanban ki lehet küldeni, és azokból a töredék információkból, amit a támadó lát, már lehet következtetni, hogy ki van a másik oldalon, érdemes-e nekimenni. Engem húsz év tapasztalatával viszonylag ritkán találnak meg ezzel, viszont az ismerősi körbe tartozó tipikus áldozatokat gyakorlatilag folyamatosan.

A számítógép előtti magatartásunkból tud következtetni a másik oldalon álló rosszfiú, hogy minket érdemes megcsípni?

Minden egyes válasz, minden egyes apró visszajelzés jel arra vonatkozóan, hogy be lehet-e valakit húzni a csőbe. Jó példa erre a kéretlen levelek, vagyis a spamek kérdésköre. Ilyen leveleket milliárdszámra küldenek ki napi szinten, de nagyon kevesen válaszolnak rá, nagyon kevesen hisznek még a nigériai hercegek létezésében, akik majd meg fogják osztani velünk a vagyonunkat.

Csak 100-200 dollárt kell fizetni, hogy jól menjen az ügyintézés, ez volt a trükk.

Pontosan. Még a töredék százaléknyi válaszoló is több tízezres tömeget tesz ki. A másik tipikus példa az úgynevezett randizós csalások kérdése. Jó vágású amerikai katonák jelölték meg a közösségi hálózaton ismerősnek és kezdeményeztek romantikus kapcsolatot, főleg középkorú és idősebb hölgyekkel. Beszélgetésbe kezdenek és pénzt kérnek egy idő után apróságokra, majd egyre több pénzt fognak kérni azért, hogy a kapcsolat elmélyüljön. Ezek a pénzkérő csalások tipikusan úgy kezdődnek, hogy válaszolni kell az áldozatnak. Vagy az üzleti kisvállalkozásokat érintő tipikus csalások, az úgynevezett vezérigazgatói csalások, amelyek úgy kezdődnek, hogy küldünk egy e-mailt a pénzügyi kollégának a vezérigazgató nevében, hogy legyen szíves kiutalni az üzleti partnerünknek az új bankszámlaszámára egy jelentősebb összeget. Ez az új bankszámlaszám nyilván a bűnözőé. Ez is úgy kezdődik, hogy kell valaki a másik oldalon, aki hisz ezeknek a leveleknek. A modern kiberbűnözés, bár nem száz százalékig, de nincsen emberi beavatkozás, emberi butaság, tévedés, hiszékenység nélkül.

Mi a jó védekező magatartás?

A védekezés első lépése, hogy tudjunk róla. A tudatosság a legerősebb fegyver. A másik nagyon fontos dolog az egészséges bizalmatlanság. A való életben is egy sötét utcába, ahol rosszarcú emberek állnak és nagyon néznek minket, nem biztos, hogy be fogunk menni, mert van ilyen szocializációnk évtizedek, évszázadok, évezredek óta. A kibertérben ilyen még nincsen, ezt most kell megszereznünk.

Jó, de ő nem egy rosszarcú figura, nem félelmetes, éppen ellenkezőleg!

Amíg a fizikai térben tudjuk azt, hogy mik azok a jelek, amikre oda kell figyelni, a kibertérben ezek még nincsenek meg. Például ha egy ismeretlen jelöl meg a közösségi hálózaton, például ha az ismeretlen elkezd velünk olyan jellegű kapcsolatot építeni, beszélgetni, olyan e-maileket küldözgetni, üzeneteket küldözgetni, ami valahogy gyanús, szokatlan.

Hogy ezt most vajon miért csinálja?

Így van.

Amikor az ember erre a kérdésre nem kap egy egyértelmű választ saját magától, akkor el kell gondolkodni azon, hogy itt valami nem stimmel?

Akkor az embernek érdemes legalább használni ugyanúgy az internetet, ahogy a támadó ezt teszi és rákeresni a keresőszoftverben, hogy ez a séma, amit látok, ez a jelenség ismert-e. Ezt valahogy leírták-e már, hogy ezt nem szabad továbbvinni, mert ez veszélyes. A Nemzeti Kibervédelmi Intézet például a múlt héten adott ki egy olyan riasztást, amiben figyelmeztetnek minket arra, hogy most olyan körlevelek mennek, amikben a fenyegető azt közli, hogy a webkameránkat távolról bekapcsolva levideózták, ahogy felnőtt oldalakat nézünk és olyan intim tevékenységet hajtunk végre, amivel zsarolhatóvá válhatunk. Ezek a zsaroló hangvételű e-mailek legalább 15 éve megjelennek folyamatosan, és ha ilyet kapunk, akkor az első dolog az legyen, még ha nézünk is ilyen oldalakat és folytatunk ilyen tevékenységet, hogy biztos, hogy be lehet kapcsolni távolról a webkamerámat?

Jó, de azt olvastuk mindenhol, hogy már hogyne lehetne bekapcsolni.

Maradjunk annyiban, van az a szoftver, amivel be lehet kapcsolni, de ezt egyelőre még csak inkább titkosszolgálati szervek használják. Tehát egyáltalán nem triviális ez az egész történet.

Mi van akkor, ha az ember megijed és fizet?

Akkor búcsút inthet annak a pénzösszegnek, ráadásul fölkerül arra a listára a támadónál, hogy jó, ezt az embert érdemes lesz még néhányszor megtalálni. Semmiképpen sem érdemes fizetni, mert ezzel egyrészt nem váltjuk meg a szabadságunkat, másrészt hozzuk magunkra a további zsarolásokat.

Az emberek nem nagyon szoktak a gépeiken, ha csak nincs automatikusan beállítva, biztonsági mentéseket alkalmazni. Nem nagyon használnak külső adattároló rendszereket sem, mert az macera.

Ezeket érdemes ilyenkor használni? Vagy nem szabad annyira megijedni az ilyen fenyegetésektől?

A kulcsszó, amire megint csak érdemes rákeresni az interneten, az a kiberhigiénia. Ha már Covid van és megtanultunk rendesen kezet mosni, lehet, hogy itt az idő, hogy rendesen megtanuljuk a számítógép biztonságának alaphasználati útmutatóját is. Ebben a kiberhigiéniában a mentések nagyon fontos szerepet töltenek be, amúgy mindannyiunk rendelkezésére állnak, a felhő alapú technológiákkal, a különböző drive-okkal, ami ma már minden operációs rendszerben ott van és olyan mennyiségű adattárolást tesz lehetővé, ami néhány évvel ezelőtt még fizikai adattárolón is elképzelhetetlen volt. Ezek automatikusan mentik is az adatokat és elég jó védelmet tudnak adni. Cserébe viszont tudjuk, ha valamiért nem fizetünk, márpedig ezért nem fizetünk, akkor az adatért fizetünk, tehát hogy ezek a szolgáltatók analizálni fogják azokat a szoftvereket és azt a kis profilt, amiből utána majd kereskedelmi termékként hirdetéseket fognak nekünk eladni. El kell dönteni kockázatarányosan, ár-érték arányban, hogy megéri-e nekünk. De én azt gondolom, hogy egy átlagembernek a mentésekre, pláne, ha még fizet is érte havi néhány száz forintot, érdemes befektetni a felhőtárolásba.

A közösségi platformok a kiberbűnözés legnagyobb főutcái?

Így van, a Facebook köztársaságnak van több mint hárommilliárd felhasználója, szoktam mondani, még Kínához képest is kétszer annyi állampolgárral rendelkezik, akik ráadásul egy friss kutatás alapján az ébren töltött idő átlagosan egyharmadát a közösségi hálózaton töltik. Ez azt is mutatja, hogy valóban rengeteg minden tevődik át oda, és bár nagyon szeretnénk bízni abban, hogy a mesterséges intelligencia majd automatikusan megoldja a kiberbűnözés minden problémáját, a helyzet sajnálatos módon nem ez. A személyes kapcsolatok, az üzleti kapcsolatok áttevődnek ezekre a platformokra. A nagyon egyszerű online csalásoknak, amelyek ténylegesen az emberi hiszékenységet használják ki, valóban a közösségi hálózatok a legnagyobb gazdái.

Bízhatunk a közösségi hálózatok szűrőképességében? Nyilván érdeke egy közösségi platformnak, hogy ne úgy híresüljön el, hogy ott lehet a legnagyobb csalásokat csinálni.

Érdekelt benne, de az érdekeltség nagyban attól függ, hogy egyébként mekkora a célpiac. Egy tízmilliós nyelv és egy tízmilliós célpiac közel sem akkora probléma, mint, mondjuk, egy angol nyelven elérhető 700-800 milliós piac, ahova sokkal pontosabb szűrőket lehet betenni. De a közösségi média szolgáltatója abban érdekelt, hogy minél inkább pörögjön a kereskedelem és minél több időt töltsenek el a felhasználók magán a platformon, ami azt jelenti, hogy azért sok olyan egyszerű védelmi lépés sincsen beiktatva, amivel a csalásoknak, a visszaéléseknek a jelentős részét meg lehetne állítani.

Eddig a magánszemélyek ellen irányuló tevékenységekről beszéltünk, de az elmúlt két évben, meg talán már korábban is, voltak olyan esetek, amikor úgynevezett kritikus infrastruktúrákat támadtak meg, áramhálózatot, vízellátást, kórházakat.

Így van, és ez például hatalmas újdonság az elmúlt két évben, de főleg tavaly. Kritikus infrastruktúra minden olyan infrastruktúra, amitől egy ország, egy társadalom, egy gazdaság működik. Magyarországon például, amikor a Covid-járvány elkezdődött és a különleges jogrend elindult, nyilvánosságra is hoztak legalább kétszáz olyan vállalatot, amelyik szükséges volt ahhoz, hogy az ország működni tudjon ebben a helyzetben. Ezek a kritikus infrastruktúrák jellemzően informatikaalapúak, tehát van mit megtámadni. A tavalyi év azért volt különleges, mert több olyan kritikus infrastruktúrát ért látható, úgynevezett zsarolóvírus-támadás, amire korábban nem volt példa. Például a Colonial Pipeline nevű amerikai szolgáltatót, ami az amerikai keleti part kőolaj- és földgázellátásáért volt felelős vagy a JBS nevű élelmiszeripari céget, a világ legnagyobb sertéshús-feldolgozóját, és ez komoly problémákat okozott az ellátásban. Mi történt? Valaki ezeknél a cégeknél rossz helyen megnyitott egy olyan rossz e-mailt, amiben benne volt egy olyan zsarolóvírus, ami utána a teljes infrastruktúrát titkosította. Nem maga a működéshez szükséges speciális informatika ment tönkre, hanem, mondjuk, a Colonial Pipeline esetében egyszerűen nem tudtak könyvelni, nem tudták azt, hogy kinek, mennyi kőolajat adtak el, és ezért inkább leállították a kereskedést. Ezért pedig hihetetlen nagy összegeket kértek a támadók, akik olyan eszközöket használtak, amelyek korábban csak kimondottan titkosszolgálati eszközökre voltak jellemzőek. Van aggodalmam azzal kapcsolatban, hogy lehet, hogy átszivárogtak a szervezett bűnözésbe olyan titkosszolgálati szakértők, akik megtanulták ezt a know-howt és most elkezdték használni.

Az hogy lehetséges, hogy valaki, mondjuk, egy gázszolgáltatónál rákattint egy olyan email-bővítményre, aminek utána ez a következménye? Azon a gépen nincsenek jogosultsági szintek, hogy ki mihez nyúlhat hozzá, milyen mozdulat, a teljes rendszerre milyen hatással van?

A felderítésnek pontosan ez a lényege, hogy elég időt szánnak a támadók arra, hogy megtalálják azt a gyenge pontot mind informatikai, mind pedig személyi tekintetében, ahova érdemes azt a bizonyos e-mailt elküldeni. Nagyon komoly felderítő munka történik, sokszor akár beépített emberekkel. És megint csak egy újdonság: megjelentek olyan felhívások ezeknél a bűnözői köröknél, hogy drága belső ember, aki ott dolgozol és akár rendszergazda vagy, ha részt veszel ebben a programban, akkor igen jelentős, dollármilliókban mérhető összeget adunk neked, már ha legalább tízmillió dollárt ki tudunk hozni az adott szervezettől. A beépített emberekkel is foglalkozni kell.

Az emberek a leggyengébb pontok az informatikai rendszerekben még mindig?

Ez teljesen egyértelmű állítás volt mindaddig, amíg szintén a tavalyi év elején nem találkoztunk egy SolarWinds nevű céggel. A kutya sem hallott róla korábban az informatikai üzemeltetőkön kívül, de kiderült, hogy az általa szállított, fejlesztett Orion nevű terméket nagyjából tízezer igen nagy cégnél és amerikai állami szervezetnél is használják. A támadó ebben az esetben gyakorlatilag ennek a szoftvernek a gyengeségét használta ki, beavatkozott a szoftverfejlesztési folyamatba, és egy úgynevezett hátsó kaput telepített valahogy ebbe a szoftverbe, ami utána kikerült a felhasználókhoz. Ezen a hátsó kapun keresztül tudott a támadó úgy hozzáférni titkokhoz, hogy nem közvetlenül a céget támadta meg, hanem egy beszállítót. Ezt nevezik ellátási láncok kibertámadásának. Általában az ember a leggyengébb láncszem, az embert kell megtalálni, de szintén új trendként ezeknek a gyakorlatilag láthatatlan szoftvereknek a támadása is megjelent.

A dolgok internete hogyan jön a kiberbiztonsághoz? A dolgok internetéről egy átlagember azt képzeli, az az, amikor okos a hűtőszekrényem.

Így van, okos a hűtőszekrényem, de ez az én szempontomból azt jelenti, hogy egy újabb hardver, ami valami szoftvert futtat, ami a hálózatra kapcsolódik valahogy, amit így vagy úgy, jól vagy rosszul megírtak azok, akik hűtőszekrényt biztosan tudnak programozni, de biztonságos kódot írni szinte biztos, hogy nem. Néhány évvel ezelőtt volt egy olyan úgynevezett botnet robothálózat, megfertőzött számítógépekből álló hálózat, ahol egészen konkrétan nem számítógépek voltak megfertőzve, hanem okos kamerák, egyéb okos eszközök, és ezeken az okos eszközökön keresztül sikerült olyan úgynevezett túlterheléses támadást indítani, aminek a hatására a legnagyobb streaming szolgáltató, a Netflix sem tudott működni jelentősebb ideig. Ezek az okos eszközök nagyon sokszor nagyon rossz minőségben megírt kódot tartalmaznak, amelyek melegágyai lehetnek a későbbi kibertámadásoknak.

Ha van nekem otthon egy gyerekfigyelő kamerám, az milyen áttételeken keresztül képes a Netflixet megállítani?

A következő a megoldás. Veszek egy nagyon olcsó, nagyon jó, hangzatos képességekkel rendelkező kínai eszközt.

Minden eszköz kínai…

Összeszerelés szempontjából igen, tervezés szempontjából egyébként nem. Ezt a gyermekfigyelőt szépen hazaviszem, fölteszem otthon. Elgondolkodtunk-e már azon, hogy a gyermekfigyelő milyen kapcsolatokon keresztül működik? Az út a következő a gyerekszoba és a felnőttek hálószobája között: gyerekfigyelő kamera, Kínában elhelyezkedő felhőszerver, szobám és a telefonom. Maga a kép, a hang keresztülmegy egy olyan eszközön, egy olyan szerveren, ami egy másik kontinensen van. Hogyan tud ebből probléma lenni? Úgy, hogy a kínai fejlesztői kultúrában nagyon gyakran benne van, hogy beleprogramoznak ezekbe az eszközökbe olyan, úgynevezett hátsó kapukat, amikről igazából senki nem tud a fejlesztőn kívül. A mondás az, hogy ha valami probléma van esetleg az eszközzel, akkor tudjon segíteni a fejlesztő a felhasználónak. Ha viszont valaki hozzáférhet az internetről gyakorlatilag bármihez, vagy maga a felhőszolgáltatás, amin keresztül a kép megy, borzasztóan támadható, ez magával hozza azt, hogy ezek az eszközök az internet felől elérhetőek. Van egy támadható, lyukas eszköz, amire nagyon egyszerűen be lehet jutni, amire nagyon egyszerűen föl lehet telepíteni egy kódot, ami utána ennek a bizonyos botnetnek, tömeges gépekből álló hálózatnak a része lesz. Egy központi utasításra úgyis azt fogja csinálni, amit én mondok, és innentől van az, hogy egyébként egy ilyen bizonyos elosztott túlterheléses támadást, amilyen eszközökről jön, óránként tíz dollárért tudok megvenni a feketepiacon.

Tehát nem azt akarják nézni, hogy az én gyerekem hogy alszik, hanem akarnak egy eszközt, aminek van egy bizonyos kapacitása, és azt ők mint egy motort akarják használni.

Nem a támadó fizeti a hardvert, nem a támadó fizeti az áramot, nem a támadó fizeti az internet-sávszélességet és óránként 10 dollárt tud kérni valaki másnak a számítógépéért. Van olyan is, amikor egyébként szeretnék látni, hogy mi van a kamerán, mert erre is vannak modellek, ha, mondjuk, egy csinosabb hölgy van a kamera másik oldalán, akkor azt jó pénzért árulják a feketepiacon, de azért nem ez a jellemző.

Az eszközök valószínűleg átmennek valamilyen kereskedelmi engedélyezésen. Az a vizsgálat ezekre a lyukakra nem terjed ki?

A világon sehol sincsen olyan kereskedelmi engedélyezés, ami az informatikai biztonságra vonatkozna. Európában 2019 óta van olyan keretrendszer, ami előírja azt, hogy ilyen eszközök csak kiberbiztonsági tanúsítás után jöhessenek be az európai piacra, de ez egyelőre még csak egy keretrendszer, a gyakorlat nincsen meg mögé. Magyarországon január 1-je óta létezik a kiberbiztonsági tanúsítással foglalkozó igazgatóság. Körülbelül három-öt évet adnék, mire ezek Európában tényleg tanúsítvánnyal jelennek meg.

Az otthoni számítógépünkön, ha be van állítva az automatikus frissítés rendszere, akkor ezt rábízhatjuk a gyártóra, hogy ők olyan állapotban tartsák az eszközeinket?

Nagyon bájos, jó tanács volt az Európai Kiberbiztonsági Ügynökségtől, hogy próbáljuk meg a számítógépes rendszereinket is úgy kezelni, mint ahogy a háztartásunkat, és ha megvan az a heti eljárásunk, hogy fölmosunk, megvan az, hogy havonta lemossuk az ablakot, akkor legyen meg az is, hogy egyébként havonta ránézünk az összes informatikai termékre, hogy van-e valami új szoftver.

De az ember hogy tudja egyáltalán összegyűjteni a létező összes informatikai terméket? Mindegyiket minden hónapban egyszer vegyem ki és ellenőrizzem? Azt sem tudom, hogyan kell hozzáfogni. A számítógépet még csak-csak, mert azon ott van az automatikus frissítés.

Normál esetben, és látok erre vonatkozó kezdeményezéseket, előbb-utóbb meg fognak jelenni az otthonainkban azok a szolgáltatások, amelyek kimondottan segítenek minket. Úgy kell elképzelni, hogy a kis fekete dobozban, ami az internetet adja az otthonainkban és amit a szolgáltató tesz le, lesz először havi díjért, utána néhány év múlva szerintem majd ingyen is egy olyan modul, ami küld nekünk havi jelentést arra vonatkozóan, hogy észlelt a hálózatban egy olyan okos hűtőszekrényt, ami nincsen frissítve, de kéne, legyél szíves, kedves user, ezt megtenni.

Arról most hogyan szerzek tudomást, hogy valami az én hálózatomban nem stimmel? Valamelyik eszközömet valami olyasmire használják, amire én nem szeretném?

Ez az a fajta figyelem, amit az ember általában, ha erre affinitása van, akkor el szokott követni. Tehát figyelem a híreket és tudok arról, hogy följött az én termékemmel kapcsolatban valami probléma. Ezt lehet strukturáltan is csinálni, ha nem is havonta, de negyedévente, évente csak úgy kíváncsiságból rákeresni egy-egy termékre, ami így a szemem elé jön, és ha azzal van valami probléma, akkor alapvetően lehet, hogy találok róla valami hírt. De nem igazán tudok most olyan strukturált tanácsot adni, ami jelzi azt, hogy a háztartásomban valami probléma van. Megint kiberhigiénia, persze, mindenre telepítsek víruskeresőt, amire már lehet.

Az egészségügyi rendszerek elleni támadásnak mi a szerkezete?

Az adat nagyon fontos. Az adat az érték. Bármilyen adatbázis valamilyen hasznot tud hajtani. A Coviddal kapcsolatos tapasztalat az egészségügyben nagyon erősen megjelent. Milyen tapasztalatok voltak? Zsarolóvírus. Az egészségügynek működnie kell, tehát a feltételezés az volt, ha egy zsarolóvírussal megtámadnak egy kórházat, akkor a kórház vagy a mögött álló szolgáltató állam fizetni fog, hogy visszakapja az infrastruktúrát. Ez ellen nagyon határozott nemzetközi összefogás volt, erről leálltak. Voltak a Covid-vakcinával kapcsolatos ipari kémkedési ügyek. Ezek, miután ma már a vakcina elég jól hozzáférhető, illetve akinek kellett, az úgyis ellopta a más know-howját, megint csak elmúltak. A harmadik dolog viszont az adatok összegyűjtése. Muszáj volt átmennie a világ legtöbb országának abba az irányba, hogy az egészségügyi ellátásból adatokat generáljon, ezek alapján tudta megszervezni a védekezést és az ellátást is. Magyarország ebben a tekintetben európai szinten is az elsők között van az egészségügyi felhővel, az EESZT-vel, tehát mi jó bázisról indultunk. Nagyon sok európai országban elméletben megvolt, hogy kéne ilyet csinálni, csak még nem csináltak. Ha viszont valamit hirtelen és hamar kell megcsinálni, az azt jelenti, hogy az elsődleges feladat az, hogy működjön és nem pedig az, hogy biztonságos is legyen. Különleges személyes adatokról beszélünk, tehát ezeknél még az adatvédelem is fontos, nagyon bonyolult a képlet. A támadónak ebből a szempontból nagyon könnyű dolga van, hiszen ha olyan információs rendszerre akad, amiben egészségügyi adat van, akkor el is viheti, el is adhatja vagy éppen megzsarolhatja az egészségügyi szolgáltatót azzal, hogy csak akkor nem rakja ki a feketepiacra, ha fizetnek érte. Hiszen különleges személyes adatokról van szó, és az európai adatvédelmi rend, a GDPR miatt, ha ilyenek kikerülnek, akkor büntetés lesz. Ezért nagyon komplex és érdekes helyzet van az egészségügyben.

Az kiberbiztonsági probléma-e, ha egy eredetileg bűnüldözésre tervezett eszközt másra kezdenek használni? A Pegasus-ügytől hangos az egész világ. Vagy az a probléma benne, hogy egyáltalán kiderült?

Engem nem lepett meg, hogy létezik Pegasus, meg létezik NSO Group, meg létezik még 25 másik ilyen szoftver. Ezek nem titkok, hiszen az Amnesty International, illetve mindenki, aki a nyomozás mögött volt, évek óta beszámol az NSO Group tevékenységéről, csak nem kapott nagy hangsúlyt az egész történet. Az, hogy léteznek ilyen eszközök, ez tudott. Szükséges? Nagyon szükséges, mert a rendvédelmi szerveknek igazából nagyon más eszközük nem áll rendelkezésre jelen informatikai fejlettség mögött, hogy a tevékenységüket ellássák. És akkor itt van a nagy de! Az adott jogrendnek minden körülmények között megfelelő kontrolt kell teremteni abban a tekintetben is, hogy kivel szemben történik a megfigyelés. Minden országban azt mondják, hogy a megfigyelés jogszerű volt.

Egy állam nem mondhatja azt, hogy jogszerűtlenül figyelek meg.

Sőt, én leteszem a nagyesküt, hogy minden országban minden papír abszolút rendben van és mindenhol ténylegesen jogszerű volt. Hogy ez egyébként etikus-e, ez pedig egy politikai-közéleti kérdés, amit majd az adott ország választópolgárai eldöntenek. De a Pegasus-ügynek nagyon sok olyan vonzata van, amiről nem beszéltek még a médiában, holott szakmai szempontból nagyon fontos lenne ezt megvitatni. Most csak egyet mondok: a Pegasust nagyon sokszor úgy hangsúlyozták a médiában, hogy kiberfegyver. Komoly vitáim is voltak szakmabeliekkel arról, hívhatjuk-e kiberfegyvernek, mert a nemzetközi jog definíciója, szakmai definíciók alapján ez nem az, hanem egy kiberkémkedési eszköz, ami viszont a mögötte levő technológiákkal kiberfegyverré fejleszthető. Ezzel nagyon súlyos problémákat lehetne okozni, például, kritikus infrastruktúrákban. Felvetődött, hogy kell-e, lehet-e ezeknek a kereskedelmét korlátozni. Egy analógiát hoznék, a hasadóanyagoknak a kereskedelméről. Míg a múlt század húszas-harmincas éveiben az urán minden háztartásban ott volt, mert szép zöld volt és világított éjszaka. Idővel rájöttek, hogy ez egészségtelen, majd utána csináltak belőle nukleáris fegyvert, csináltak belőle egy teljes hidegháborút, és ma már gyakorlatilag egy gramm uránt nem lehet úgy elmozdítani a világban, hogy az valamiféle megállapodás, valamiféle kontroll alapján ne legyen látható. Sőt, műholdjaink is vannak, amelyek követik a hasadóanyagok útját. A kiberfegyverekkel ilyen jellegű kontroll nincsen, tehát ma minden állam úgy halmozza fel ezeket a kiberfegyverré fejleszthető hibákat, amelyek például a Pegasusban is voltak, hogy erről senki nem tud. És ha ezek véletlenül kiszivárognak, mint ahogy Pegasus-ügyben – de 2017-ben a WannaCry NotPetya nevű kártékony zsarolóvírus esetében is az NSA által hasonló eszköz szivárgott ki –, beláthatatlan következményei vannak, ha rossz kézbe kerül.

De elkerülhető, hogy rossz kézbe kerüljön? Ha valamiből egy darab kint van a piacon és az egy szoftver, akkor N + 1 forintért máshoz is kerülhet. Mert ilyen a piac, nem?

A piacnak ez a fajta logikája már nem annyira teljesül. Kicsit olyan, mint a klasszikus fegyverkereskedelem. Alapvetően államok engedélyezik azt, hogy ki gyárthat ilyen jellegű fegyvereket. Nyilvánvalóan minden tekintetben van feketepiac, viszont az államoknak, titkosszolgálatoknak nem érdekük az, hogy az igazán jó minőségű fegyverek olyan kezekbe kerüljenek, amelyeket nem tudnak kontrollálni, úgyhogy vannak feketekereskedők, van feketekereskedelem, de mindenkinek sokkal jobban megéri az államilag kontrollált szürkezónában maradni.

A mesterséges intelligencia kiberbiztonsági aspektusa hogy néz ki?

A mesterséges intelligencia egyszerre nagyon komoly fenyegetés és nagyon komoly lehetőség is. Vannak védelmi eszközeink, amelyek hihetetlen mennyiségű adatot generálnak. Ezekből az adatokból akár korai fázisban is észrevehetnénk azt, hogy valami nem úgy működik, ahogy kéne, valami anomália van. Viszont ezeket az adatokat nagyon sokszor még embereknek kell átnéznie, vagy legalábbis, ha a gép elő is készít valamit döntésre, embereknek kell dönteniük. Nincs annyi emberünk, akik a jó döntést, a megfelelő mennyiségű vizsgálatot végre tudják hajtani. A mesterséges intelligencia azzal kecsegtet, hogy ezt a manuális, nagyon lélekölő emberi tevékenységet át tudjuk terhelni a gépre, ami jó. Másik oldalról viszont azt lehet látni, hogy a támadók is nyilván ismerik ezt a technológiát és ma például egy a Colonial Pipeline-hoz hasonló kritikus infrastruktúrán át történő zsarolóvírus-támadás nemcsak arról szól, hogy titkosítom a számítógépeket, hanem előtte több tíz terrabájtnyi adatot töltök le az áldozattól, merthogy az adat nem kér enni. Viszont ha a mesterséges intelligenciát, tanulóalgoritmust, bármit ráengedek erre a hatalmas adathalmazra, olyan mennyiségű céges információs vagyonhoz jutok hozzá támadóként, ami irgalmatlanul kinyitja a lehetőségeimet. Tehát egyszerre egy ígéret és egyszerre egy veszély.

Miután egyre több gyerek dolgozik főleg a home office meg az online oktatás alatt eszközökön, érdemes-e az ő eszközeikre valami szülői figyelőprogramot csinálni?

Nagy barátja vagyok a szülői felügyeleti szoftvereknek, már csak azért is, mert valamiféle keret közé tereli a gyermekeknek az internethasználatát. De ez csak egy eszköz és nem pedig a megoldás a gyermekek internethasználatára. A gyermekek az internethasználattal kapcsolatos nevelése valahol a születés után nem sokkal kezdődik el és egy folyamatos beszélgetést, egy folyamatos tanítást jelent a szülő részéről. A szülőnek jó példát kell mutatnia. Ha mi ráfüggünk a telefonunkra, akkor mit várunk el a gyerektől? A szülői felügyeleti eszköz egy technikai eszköz a digitális nevelésben, mely digitális nevelés nem sajátja még alapvetően a magyar háztartásoknak, de érdemes ebben is egy kicsit elmélyedni.”

Forrás:
Krasznay Csaba: az új kulcsszó a kiberhigiénia; Exterde Tibor; Infostart / InfoRádió; 2022. január 18.