Távmunkára rárepülő kiberbűnözők, kórházakat támadó zsarolóvírusok, tudósokra utazó hekkerek, kockázatos vakcinahűtők, veszélybe kerülő kiberszuverenitás – a járvány legnagyobb kiberbiztonsági kihívásairól és a magyar kiberbűnözés érdekességeiről is hallhattunk az idei ITBN konferencián.
Idén már 17. alkalommal rendezték meg az ITBN nevű éves budapesti kiberbiztonsági konferenciát kedden és szerdán, bizonyos értelemben mégis fiatal eseményről van szó, mert a tavalyi alkalmat a koronavírus-járvány miatt teljesen új alapokra helyezték: a hagyományosan egy vásári forgatagra emlékeztető nyüzsgést felváltotta egy interaktív tévéműsorra emlékeztető, online program. Ahogy a tavalyi beszámolónkban írtam, ezt épp azért sikerült profin kivitelezni, mert időben gondolkoztak, és nem az utolsó pillanatban tuszkoltak fel az internetre egy offline konferenciát.
A szervezők a járvány miatt idén is maradtak ennél a megoldásnál, a résztvevők pedig otthon, de idén már volt mire építeni, és az esemény talán még letisztultabb volt, mint tavaly – hogy mást ne mondjunk, elhagyták az előadások végéről a teljesen tájidegen műtapsot, amit már tavaly sem igazán értettem. Volt viszont több előadás és beszélgetés a magyar kiberbűnözés helyzetéről, illetve arról, hogyan változtatott ezen a világjárvány. Ezeknek a legérdekesebb megállapításait foglaljuk össze.
A járvány alatt vérszemet kaptak a kiberbűnözők
Azt valószínűleg senkinek nem kell már különösebben magyarázni 2021 őszén, hogy a járvány miatt milyen radikálisan átalakultak a képernyőhasználati szokásaink is. Sokkal több lett a távmunka, emiatt a munkavégzés jelentős része is az internetre, azon belül is a céges hálózatokon kívülre költözött, erre a hirtelen váltásra azonban sem a cégek, sem a munkavállalók nagy része nem volt felkészülve, ami a kiberbűnözők előtt óriási új támadási felületet nyitott.
Zámbó Péter bűnügyi szakértő szerint a bűnözők is racionálisan terveznek, értékelik a lehetséges akciók kockázatait és potenciális hasznát, és ha azt látják, hogy megnőtt az internetes aktivitás, mert az emberek rákényszerültek az online felületek gyakoribb használatára, akkor értelemszerűen nekik is nagyobb lesz a mozgásterük a kibertérben – és tényleg nagyobb lett, az Europol szerint négyszeresére nőtt a kiberbűnözés volumene ebben az időszakban. Ez a változás egyébként nemcsak a kiberbűnözésre igaz Zámbó szerint, hanem minden bűnözői szegmensre, például a kábítószer-kereskedelem egy része is áttevődött online csatornákra, hiszen a korlátozások miatt a hagyományos lehetőségek itt is beszűkültek.
Az elmúlt másfél évben itthon is jelentősen megnövekedett a támadások száma, a korábbinál sokkal több adathalász próbálkozással, zsarolóvírussal és hasonlókkal találkoztak a hatóságok is – mondta el Halász Viktor rendőrszázados, aki a Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztályának Felderítő Osztályát vezeti. A zsarolóvírusok – a megfertőzött gépen az adatokat váltságdíj fejében titkosító kártevők – fő célpontjának néhány éve még a magánszemélyek számítottak, de a bűnözők is rájöttek, hogy a cégek fizetőképesebbek, és a fizetési hajlandóságuk is nagyobb, hiszen több és értékesebb adatot kezelnek. A másik oldalon viszont a cégek is rájöttek, hogy védekezniük kell az ilyen támadások ellen, például rendszeres biztonsági mentésekkel, hogy ha a támadók sikerrel járnak, akkor se vesszenek el az adataik. Ezért a bűnözők megint taktikát váltottak, és már nem titkosítják az adatokat, amelyekhez hozzáférést szereznek, hanem azzal fenyegetőznek, hogy nyilvánosságra hozzák azokat, ami a mai világban szinten ugyanolyan kellemetlen lehet egy cégnek – mondta Halász.
Ezek a trendek természetesen nem magyar sajátosságok, így a védekezés is nemzetközi együttműködést igényel. Szalóki Roland nemzetbiztonsági főhadnagy, a Nemzeti Kibervédelmi Intézet (NKI) Számítógép-biztonsági Incidenskezelő Csoportjának (CSIRT) helyettes vezetője szerint napi szintű a kapcsolattartás a nemzeti hatóságok között, így ha egy trend az egyik országban elindul, már azelőtt kap róla információt az NKI is, hogy Magyarországon is jelentkeznének az első támadások, ami nagyban segíti a felkészülést. Ez történt például tavasszal a FluBot nevű, nagyszabású adathalász kampány esetében, amelyben magukat például futárcégnek kiadó támadók sms-ben kérték a felhasználókat, hogy telepítsenek egy mobilappot az úton lévő csomagjuk követéséhez, de az alkalmazás telepítésével valójában hozzáférést szereztek az áldozatok telefonjához. Hasonló történt azzal a nagy volumenű túlterheléses támadássorozattal is, amely tavaly év végén kezdődött, és a pénzügyi szektor ellen irányult. Erről Németországból érkeztek olyan információk, amelyek alapján a hazai cégek fel tudtak készülni, és ha kivédeni nem is feltétlenül tudták a támadást, de az okozott kárt minimalizálni igen.
A kórházak is ki vannak téve a támadásoknak
„Ma már a kórházi munka szinte minden területén működik valamilyen informatikai eszköz, a képalkotó eszközöktől kezdve a laborokon keresztül az egyszerű betegfelvételig, és ha ezek hozzáférhetetlenek, gyakorlatilag megáll a működés”
– ezt már Palicz Tamás, a Semmelweis Egyetem Egészségügyi Menedzserképző Központjának stratégiai igazgatóhelyettese mondta az egészségügy kiberbiztonsági kihívásairól. Talán mondanunk sem kell, hogy a járvány alatt ezek a kihívások is megszaporodtak.
Az egyik ilyen kihívás a zsarolóvírus-támadások növekvő száma. Azt gondolhatnánk, hogy ez inkább távoli probléma, de már öt éve, még az Indexen részletesen írtam arról, hogy ez nem igaz: akkori információink szerint legalább négy magyarországi kórházat ért ilyen támadás, ezt akkor két érintett intézmény meg is erősítette. A zsarolóvírusok terjesztői pedig a járvány alatt sem kímélték a világ kórházait.
Ezért a kórházaknak igenis készülniük kell az ilyesmire, ugyanúgy, mint a kritikus infrastruktúrák ipari létesítményeinek. „A 21. századi orvosnak tudnia kell, hogy az adat legalább olyan fontossá válik, mint a kézmosás vagy a szike. Tudnom kell azt is, hogy mit csináljak, ha mondjuk szívkatéterezés közben a képernyőn a zsarolóvírus-támadás képe jelenik meg. Egy orvosnak is tudnia kellene, hogy ilyenkor hogyan fejezze be a műtétet” – mondta Palicz. Felmerül a logikus kérdés, hogy a magyar orvosok készen állnak-e erre, Palicz szerint mérsékelten: „A magyar egészségügy előtt még nagyon sok lépés áll, hogy akár intézményesen, akár egyénileg jól tudjunk válaszolni egy ilyen helyzetre”.
Lakatos Iván, a Kormányzati Informatikai Fejlesztési Ügynökség IT-biztonsági szakértője ezzel kapcsolatban, a magyar kórházak informatikai helyzetére utalva megjegyezte – pozícióját tekintve talán némileg cinikusan –, hogy jó a rosszban, hogy még papíralapon is megvan minden fontos adat, nem csak a digitális rendszerekre támaszkodnak a kórházak.
A zsarolóvírusok áldozatainak a szakértők általában azt tanácsolják, hogy ne fizessék ki a váltságdíjat, mert ez egyrészt igazolná és bátorítaná az elkövetőket, másrészt nem ad garanciát arra, hogy valóban visszakapnak minden adatot, illetve hogy az elkövetők valóban végleg távoznak a megtámadott hálózatról. „Ezzel az erővel a Széll Kálmán téren is kioszthatnánk azt a pénzt” – mondta erről Trócsányi Sára, a Semmelweis Egyetem adatvédelmi tisztviselője is.
A szükséghelyzet azonban gyakran felülírhatja ezt. A kórházakban nemcsak érzékeny betegadatokat tárolnak, de azt sem engedhetik meg maguknak, hogy huzamosabb időre kiessenek a szolgáltatásaik. Ahol pedig piaci alapon szerveződik, azaz magánszolgáltatókból áll az egészségügy, mint az Egyesült Államokban, ott Palicz Tamás szerint még fontosabb az adott intézmény és cég reputációja, ezért nagyobb hangsúlyt fektetnek arra, hogy egy támadást minél előbb észleljenek, hogy minél kisebb hírverés övezze az ügyet, és hogy minél nagyobb biztonságban tudják a betegek – a fizető ügyfeleik – adatait, és ezért nagyobb eséllyel is fizethetnek a zsarolóknak.
„Mindenki úgy gondolkozik, hogy nem szabad fizetni, mert ez mégiscsak terrorizmus, de ha nálunk történne ilyen támadás, én azon fogok dolgozni, hogy ha ez reális összeg, akkor valahogy ki tudjuk fizetni. A gyógyszerlogisztikában nincs közvetlen életveszély, de ha leáll a működés egy napra, azt bizony megérzi az egész ország, a kórházak és közvetve a betegek is”
– mondta Nagy Andor, a koronavírus elleni vakcinák tárolásáért és szállításáért is felelős gyógyszer-nagykereskedelmi vállalat, a Hungaropharma Zrt. informatikai igazgatója.
Nagy szerint nemcsak a zsarolóvírusok fenyegetik őket is, előfordult például olyan célzott támadás, ahol egy partnerüket hekkelték meg, és a támadók az ott megszerzett adatokat felhasználva, valós, üzleti szempontból logikus információkkal keresték meg a Hungaropharma dolgozóit. Mivel ez pont az első hullám idején történt, amikor amúgy sem találkoztak személyesen, könnyű lett volna bedőlni egy ilyen célzott adathalász támadásnak. Nagy Andor szerint valóban fontos az adatvédelmi tudatosítás, de ilyen méretű cégeknél ez sem jelent bombabiztos megoldást. „Ha sokan dolgoznak egy munkahelyen, úgyis lesz, aki rákattint arra a linkre” – mondta.
A vakcinák tárolásában is van kockázat
A járvány nemcsak a távmunka miatt nyitott új frontot a kiberbűnözőknek, hanem a vakcinák iránti érdeklődés és kereslet megugrása miatt.
Nagy Andor szerint a Hungaropharmát ez kevésbé érinti, nekik eddig is védekezniük kellett, ebben nem hozott újat a járvány, inkább maga a szállítási logisztika, a folyamatos hűtést biztosító hideg ellátási lánc jelentette a nagy kihívást. Lakatos Iván ezzel kapcsolatban megjegyezte, hogy mostanában elég sok netre kötött okoskütyüt, azaz IoT-eszközt törtek fel a világban, amelyek például a hűtést is szabályozzák, ez vakcinalogisztika szempontjából is veszélyt jelenthet.
„Biztos vagyok benne, hogy nálunk is van olyan IoT-eszköz, ami problémát okozhat”
– ismerte el Nagy Andor, felidézve, hogy a hőmérséklet-monitorozó rendszernek is vannak vezeték nélküli komponensei, és bár ezek kisebb hatótávolságúak, tehát a fizikai közelség is szükséges a támadásukhoz, a kockázat azért fennáll. Szintén van bizonyos kiszolgáltatottság a szállítóautók nyomon követéséhez használt, szintén vezeték nélküli technológiában.
Palicz Tamás felidézte, hogy a járványspecifikus kibertámadások elsősorban nem a Hungaropharmához hasonló végpontokat érték, mert az túlságosan erőforrásigényes lenne, de a terméklánc szinte minden pontján történtek kibertámadások, a vakcinafejlesztéstől az engedélyezésen át a szállítmányozásig. Az állami hekkerek által is vívott vakcinaháborút korábban ebben a cikkben mutattuk be részletesen.
Magyar kutatókat is célzottan támadtak
A vakcinákért folyó verseny kiberbiztonsági vonatkozásaira Török Szilárd kibernyomozó is kitért. Török az előadásában a nagyobb port kavart magyarországi támadások történetét mutatta be röviden, ezekre itt nem térünk ki, de két érdekesebb, friss esetet érdemes felidézni.
2019-ben egy gyártó beépített hátsó ajtóját fedezték fel olyan tűzfalak rendszerében, amelyek „nagyon komoly szerepet játszottak egy meg nem nevezhető, országos rendszerben”. A gyártó kínai volt, és ezen a titkos hozzáférések keresztül képes lehetett volna távolról leállítani, átállítani vagy lenémítani a tűzfalat.
A „hibát” jelezték a gyártónak, és az küldött is egy új rendszert a tűzfalhoz, amelyből kiszedte az azonosított hátsó ajtót – viszont belerakott egy másikat.
Török Szilárd szerint ezért kellene minden frissítés után monitorozni, hogy nem került-e be újonnan egy hátsó ajtó a kritikus hálózati eszközökbe. Azt nem mondta el, hogy melyik cégről volt szó, bár tippelni azért nem olyan nehéz az alapján, hogy kínai, és 2019-ben egy országos rendszerhez szállított be eszközöket.
A vakcinákkal kapcsolatos támadást pedig 2020 márciusában, azaz még a járvány legelején azonosították. Ez egy úgynevezett keresőmérgezés volt, amikor a hekkerek egy netes kereső – itt konkrétan a Google – találati listáját manipulálják, hogy ezzel a kívánt irányba tereljék a célpontokat. A célpontok pedig a koronavírussal kutatók voltak, köztük magyarok is.
Az oroszországi szerverekről futtatott támadás lényege az volt, hogy ha egy kutató rákeresett a saját nevére, hogy megnézze, milyen videók találhatók róla, akkor a találatok között olyan oldalak jelentek meg, amelyekről azt hihette, hogy egy bizalmas kutatási előadása került fel valahogy a netre. Márpedig ha ezt hitte, jó eséllyel kattintott, de a megnyíló oldalon nem ilyen bizalmas videót talált, hanem egy kártevőt, amely a tudtán kívül megfertőzte a gépét, hozzáférést adva a támadóknak.
A támadás annyira célzott volt, hogy egyrészt kizárólag kutatók nevével működött, másrészt figyelték azt is, hogy honnan jöttek a keresések, azaz hogy passzolt-e a keresett név a tartózkodási helyhez. Ha nem passzolt, akkor az illető nem minősült a csapda célpontjának, ezért őt máshová irányították, és zavartalanul folytathatta a netezést. Ha viszont igen, akkor a támadók értékes vakcinafejlesztési információkhoz juthattak hozzá.
„Ezek után talán nem meglepő, hogy melyik ország jött ki a leghamarabb a Covid-vakcinával”
– mondta Török Szilárd, nem részletezve a dolgot, de nyilvánvalóan Oroszországra utalva.
Ezt a támadókampányt egyébként a Google-lel együttműködve, mérnöki szinten sikerült elhárítani, ezért később nem is tudták újraépíteni, így ez a fajta kutatói megfigyelési módszer meg is szűnt.
Uniós szuverenitás a globális kitettség ellen
Egy másik előadásban Bencsik Balázs, a Nemzeti Kibervédelmi Intézet igazgatója épp arról beszélt, hogy a világjárvány rávilágított arra, hogy a 21. században milyen erős az államok globális függősége.
Példaként hozta fel, hogy március végén, amikor az Ever Given nevű konténerhajó napokra beszorult a Szuezi-csatornába, a történtek a járvány alatt megugró online kereskedelmet is jelentősen megakasztották. De általában is masszív kitettségünk van kelet felé a hardvergyártók, nyugati irányban pedig a szoftverfejlesztők iránt, és a világjárvány keresztbe álló óriáshajók nélkül is fel tudja borítani az ellátási láncokat, ami kiberbiztonsági szempontból is nagy kihívás. Mindeközben a decemberi SolarWinds-ügy, azaz minden idők egyik legsúlyosabb kibertámadása arra is rávilágított, hogy ha ez az ellátási lánc egy ponton sebezhetővé válik, vállalatok ezrei lesznek kitéve támadásnak, ami ellen ők nem is feltétlenül tudnak tenni. Mindez az Európai Uniót is arra sarkallta, hogy felpörgessen olyan, már korábban elindított folyamatokat, amelyek javíthatják az európai kibertér szuverenitását – mondta Bencsik.
Az egyik ilyen az unalmasan hangzó, de annál fontosabb kiberbiztonsági tanúsítási keretrendszer. Ennek a fő célja, hogy minden IT-terméket kategorizáljon a biztonsági szintje szerint, egységes szempontok alapján, és ez alapján a vásárló eldönthesse, hogy kockázati helyzete és anyagi lehetőségei szerint mennyire biztonságos terméket választ. Bencsik szerint fontos kérdés, hogy a magyar vállalatok hogyan fognak erre reagálni, a magyar cégek képesek lesznek-e megfelelni ennek a kihívásnak, illetve az EU-n kívüli cégek termékeihez képest hogyan hozhatók helyzetbe az európai, magyar termékek. „Magyar gyártók, ébresztő, van egy új lehetőség, ezt mindenkinek meg kell ragadnia” – üzente.
Bencsik röviden ismertette a magyar kibertér egészségi állapotáról készített éves felmérésük főbb eredményeit is. Ebből a kórházi támadások fentebb részletezett kockázatainak fényében most csak egy részletet emelünk ki. A levelezőrendszerek biztonságát:
Ahogy az ábrán is látszik, az NKI ügyfélkörbe tartozó intézmények – állami, önkormányzati szervek és kritikus szolgáltatók – körében a levelezőszerverek alig egyharmada felel meg biztonsági szempontból, de ezen belül is kifejezetten aggasztó képet mutat az egészségügyi szektor állapota. „Kormányzati oldalon is látunk ezzel problémát” – jegyezte meg Bencsik Balázs.