Itt volt az ideje, hogy a miniszterek is a kiberbiztonságról beszéljenek

2022. május 20. – 11:26

Itt volt az ideje, hogy a miniszterek is a kiberbiztonságról beszéljenek
Szalay-Bobrovniczky Kristóf honvédelmi miniszterjelölt meghallgatása az Országgyűlés Nemzetbiztonsági – Fotó: Huszti István / Telex

Másolás

Vágólapra másolva

A kiberbiztonság hagyományosan nem tartozik a legnépszerűbb témák közé, az utóbbi hónapokban azonban a szokásosnál jóval többet beszéltek róla, leginkább az orosz–ukrán háborúval összefüggésben. Ahogy arról korábban írtunk, minden tekintetben 21. századi háború zajlik a szomszédban, melynek szerves részét képezi a kiberhadviselés is, még ha nem is pont úgy, ahogy azt előzetesen gondolták a szakértők. Ennek jelentős része persze a színfalak között zajlik, és a nyilvánosságra kerülő hekkelések sem mindig megfoghatóak az átlagemberek számára, de vannak azért kivételek,

elég csak arra gondolni, amikor a hírhedt hekker-aktivista csoport, az Anonymous eltérítette az orosz állami propagandatévé, az RT adását, és Ukrajnát éltető bejátszásokat sugároztak rajta.

Hasonlóan kézzelfogható, az emberekhez kellemetlenül közeli téma volt az is, amikor kiderült, hogy magyar kormányhivatalok is terjesztik az orosz állami hekkerek egykori fegyverét, vagy amikor a Direkt36 nemrég kiderítette, hogy Putyin hekkerei is látják a magyar külügy titkait. Az elmúlt években ráadásul érezhetően nőtt is a kibertámadások száma, nem kis részben az otthoni munkavégzés miatt, így annyira nem is meglepő, hogy az új kormány felállítását megelőző miniszteri meghallgatások során többször is felmerült a kiberbiztonság kérdése. A Balasys csütörtöki sajtóeseményén többek közt erről és a magyar IT-biztonsági cég új megoldásáról is szó volt.

Fontosabb a kiberbiztonság, de ez nem is meglepő

Ahogy az a fentiek alapján is látszik, a kiberbiztonság kiemelten fontos témának számít mostanában, a csütörtöki eseményre meghívott szakértők pedig mind egyet is értettek, hogy itt volt az ideje annak, hogy az új kormány tagjai is beszéljenek erről. Szerdán Pintér Sándor leendő belügyminiszter és Szalay-Bobrovniczky Kristóf leendő honvédelmi miniszter is pedzegette ezt a témát, amelynek Krasznay Csaba, a Nemzeti Közszolgálati Egyetem (NKE) Kiberbiztonsági Kutatóintézetének igazgatója szerint az egyik oka nyilván az, hogy háború van a szomszédban, az összecsapások pedig a kibertérben is folynak.

Krasznay szerint abban is biztosak lehetünk, hogy ha megkezdődik a deeszkaláció, akkor mind Ukrajna, mind a szövetségesei felkészülhetnek a kibertámadásokra, amelyek tökéletesen kitöltik a háborús állapot és a helyzet nyugvópontra jutása közötti vákuumot. A szakértő elmondta, hogy több százezer hekker végez aktívan műveleteket a két ország szolgálatában, ha pedig vége lesz a háborúnak, akkor egy részük törvényszerűen kiberbűnözésre adja majd a fejét. Azt is hozzátette, hogy a magyarok egy része megdöbbentő módon csak most találkozott a kiberbűnözéssel,

pedig főleg a járványhelyzet alatti átrendeződés miatt korábban is robbanásszerűen megnőtt a kiberbűnözés.

A szakértő pozitívan értékelte azt is, hogy Pintér a cyberbullyingra, vagyis az internetes zaklatásra reagálva arról is beszélt, hogy talán a kiberbiztonság oktatását is bele kellene vinni az iskolai tananyagba. Oszkó Péter, az OXO Holdings igazgatóságának elnöke azt is hozzátette, hogy egy harmadik meghallgatáson az e-állampolgárság is felmerült, és megjegyezte, hogy ő akkor lett volna csalódott, ha erről nincs ennyi szó. Persze eddig azért ez közel sem volt kulcstéma a kormányban, de a háború mellett az állampolgárok érezhető felkészületlensége is szerepet játszhatott abban, hogy most mégis fontosabb lett.

Keleti Arthur kibertitok jövőkutató, az ITBN nevű kiberbiztonsági konferencia alapítója azért azt is hozzátette, hogy előbb érdemes lesz megvárni, hogy mi sül majd ki ebből. Egyrészt mert korábban is volt már szó ilyesmikről, másrészt pedig mert jelenleg percek vagy legfeljebb órák alatt kell tudni reagálni egy kibertámadásra, sok szervezetnek pedig a nulláról kell kiépítenie egy olyan infrastruktúrát, amellyel 24/7-ben képes is lehet erre. Keleti azt is hozzátette, hogy több kimutatás is született már arról, hogy a kis- és középvállalkozások ennek ellenére egyelőre nem érzik a nyomást, úgyhogy biztos, hogy lenne még hova fejlődni.

Dr. Krasznay Csaba, Oszkó Péter, Keleti Arthur és Cseledi Sándor a Balasys csütörtöki sajtóeseményén – Fotó: Flachner Balázs / Telex
Dr. Krasznay Csaba, Oszkó Péter, Keleti Arthur és Cseledi Sándor a Balasys csütörtöki sajtóeseményén – Fotó: Flachner Balázs / Telex

A szakértő szerint alapvetően a terheléses támadásokra kell mindenkinek felkészülnie, ezekkel indul minden, és sokszor nem is folytatódik mással, mert ezekkel is komoly károkat lehet okozni. Az utóbbi időben olyan kritikus infrastruktúrák is összeomlottak, amelyekre nem számítottak – például nukleáris létesítmények –, és olyan típusú incidensek is megjelentek, amelyekre még a harcedzett szakértők és a képzett menedzserek sem feltétlenül voltak felkészülve. Krasznay azt is hozzátette, hogy a zsarolóvírusok is fontosak, és az ellátási láncokat érintő kibertámadások is nagyon aktuálisak most.

Most jöhet el az áttörés

Cseledi Sándor, a Balasys vezérigazgatója szerint most már nemcsak az üzleti célú pénzszerzésre irányuló támadások, hanem a hadviselés is megjelent, ahol konkrétan a károkozás a cél. Szerinte szükség lehet az összefogásra, együttműködésre a szakma, a kormányzat és a piaci szereplők között, hogy ne merülhessen fel bizonyos programoknál, hogy kompromittálták őket. Emellett pedig az oktatás is fontos lenne, mert sok ember nincs tisztában azzal, hogy milyen károkat lehet okozni. Ezt Oszkó is kiemelte, mint mondta, a cégek nem feltétlenül mérik fel reálisan a kockázatokat, mindenki az evidens eseteket tartja kezelendőnek. A magyar információbiztonsági cégek eddig olyan területeken működtek, ahol kézenfekvően kell kezelni problémákat,

a piac még mindig arra összpontosít, hogy az üzeneteket ne lássa más, a fizetés biztonsága legyen garantálva – ez az általános szint, erre tudtak sikeres startupokat indítani.

Mint mondta, az összetettebb megoldások felé tapogatózó cégek egyelőre nem igazán tudtak betörni a piacra, de arra számítanak, hogy most már hamarosan jönni fog egy robbanás. Egyrészt mert most már a hétköznapi ember számára is kézzelfogható, hogy milyen támadásokat lehet végrehajtani; másrészt pedig mert több a konkrét káresemény is, egyre többen vannak azok, akik a saját bőrükön tapasztalják a kiberbűnözést, vagy legalábbis ismernek olyat, akiből áldozat lett. Keleti Arthur is hasonlóan fogalmazott, szerinte nagyon érdekes, hogy mekkora a különbség aközött, hogy a kiberbűnözők milyen magasra értékelik az ellopott, majd adott esetben zsarolásra használt adatokat, illetve, hogy maguk a cégek mennyire értékelik ezeket – legalábbis az ellopásuk előtt.

A szakértő szerint a cégek nem stratégiai szempontok alapján döntik el, hogy hogyan védik meg az adataikat, inkább anyagi vagy akár teljesen ad hoc módon döntenek erről, így nehezebb a védekezés is. Vannak persze auditok, de itt általában inkább valamilyen protokollnak igyekeznek megfelelni, ahelyett, hogy a gyakorlatban megnéznék, hogy pontosan mi a fontos számukra, hol vannak a kritikus folyamatok, adatok.

Az is fontos probléma, hogy a cégek nem tudják, hogy mit kell csinálni egy támadás esetén, így ha az őket zsaroló kiberbűnöző készségesen elmagyarázza, hogy hogy tudnak eleget tenni a követeléseinek, akkor gyakran egyszerűen belemennek ebbe. Eközben pedig a szolgáltatásokkal kapcsolatos szemléletmód is archaikus, mindenki maga akarja megoldani ezeket a dolgokat ahelyett, hogy egy szakértő cégre bíznák a dolgot. Cseledi erre reagálva elmondta, hogy nem akar félelemre buzdítani bárkit, inkább a megoldás felé terelné a cégeket, de az szerinte is létező probléma, hogy a nagyvállalatok a szükséges minimumot akarják elérni. Más szavakkal van ugyan IT-biztonság, de az nem biztos, hogy működik is, a lényeg, hogy legyen róla egy papír, amelyet lehet lobogtatni.

A képzés és a tudatosság is fontos lenne

Arra a kérdésre, hogy egyetemi oldalról mennyire más ez a helyzet, Krasznay elmondta, hogy az NKE-n 2014 óta van ilyen posztgraduális képzés, ahol az elmúlt nyolc évben 1200-an végeztek, idén pedig mindennel együtt 120-an fognak. Az NKE nem műszaki egyetem, az állam igényeinek megfelelően képzik ezeket a szakembereket, de azt látják, hogy a végzősöket és a hallgatókat így is elviszi a bank- és a tanácsadó szektor, relatíve kevesen mennek az állami szférába. Mint mondta, a mérnökképzések egyelőre nem tudták felvenni ezt a tempót, az NKE-n kívül jelenleg egyáltalán nincs alap- vagy mesterképzés információbiztonságban, csak posztgraduális.

Szerinte jó lenne, ha eljutnánk oda, hogy az EU-s trendekhez hasonlóan a mérnökképzések is elkezdenek bekapcsolódni ebbe. Ez azért is fontos lehetne, mert a fiatalok egyelőre nem is érdeklődnek az információbiztonság iránt. Krasznay úgy fogalmazott, hogy a kultúra 8-10 éves lemaradásban van az Egyesült Államokhoz, Nagy-Britanniához vagy Izraelhez képest, és a biztonságkultúra hiánya miatt nincsenek cégek, amelyek ezt komolyan veszik, nincsenek olyan startupok, amelyek felismernék a modern trendeket. Krasznay szerint jól illusztrálja a helyzetet, hogy

a brit hírszerzés egyik ága, a GCHQ néhány éve egy ütemben 10 ezer embert akart felvenni csak az állami szolgálathoz kibervédelemre, míg nálunk összesen durván ennyi ember van a szektorban.

A képzés Oszkó szerint is fontos lenne, illetve a tájékoztatásra is nagy szükség van. Mint mondta, egyelőre csak a magánszektor csinál ilyesmit önszorgalomból, biztonsági konferenciák és beszélgetések képében, pedig ennek nemcsak néhány fős beszélgetéseken kéne előfordulnia, hanem folyamatosan témának kellene lennie. Keleti szerint az információáramlást is meg kellene könnyíteni, mert a kultúrahiánynak van egy olyan negatív hozadéka, hogy az áldozattá válást, az incidenseket még mindig titkolni kell, pedig az áldozatok segíthetnének másoknak a további támadások megakadályozásában. A másik dolog, amely segíthetne a munkaerőhiányban, az szerinte a mesterséges intelligencia és az adatelemzés automatizálása, mert az olyan terheléses támadásokat például, ahol másodpercenként 15 millió lekérdezés érkezik, csak ilyen hibrid rendszerekkel lehet kivédeni.

Az olyan védelmi cégeket is be lehetne vonni az építkezésbe, amelyek eszközei kettős felhasználásúak, hadászati és rendészeti célra is bevethetők. Krasznay szerint miután a kibertér lett az ötödik műveleti terület, erre szükség is lenne, az EU pedig komoly lépéseket tesz arra, hogy legyen ilyen ipar, mert most főleg izraeli és amerikai eszközökre lehet támaszkodni. Magyarországon is van erről szó, de ez nem egyszerű feladat. A meglévő cégek akár tudnának is kettős felhasználású eszközöket gyártani, de nagyon nehéz dolguk van, mert a védelmi és a privát szektor nagyon különbözik egymástól, és komoly bizalmat kell kiépíteni ahhoz, hogy ez működni tudjon. Ez pedig az Egyesült Államokban is sokáig tartott.

Nemzeti Közszolgálati Egyetem Államtudományi és Nemzetközi Tanulmányok Kar épülete – Fotó: Róka László / MTI / Bizományosi
Nemzeti Közszolgálati Egyetem Államtudományi és Nemzetközi Tanulmányok Kar épülete – Fotó: Róka László / MTI / Bizományosi

Színre lép a Zero Trust-modell

A csütörtöki esemény apropója egyébként az volt, hogy a Balasys egy új megoldással állt elő, amely a pénzügyi szervezetek, telekommunikációs vállalatok és egyéb cégek által széles körben alkalmazott alkalmazásprogramozási felületek (API) védelmét erősítheti meg. (Az API-kon keresztül tehetik a cégek külső fejlesztők számára elérhetővé a szolgáltatásaikat, például azért, hogy össze lehessen kötni két különálló szolgáltatást.)

Cseledi kiemelte, hogy a kiberbűnözői csoportok folyamatosan fejlődnek, a felhasználói tréningek viszont láthatóan nem elégségesek – egy kutatás szerint a felhasználók 90 százaléka nem ismeri fel a phishinget, vagyis az adathalász támadásokat, pedig ezekkel komoly károkat lehet okozni, akár teljesen le lehet blokkolni egy cég működését. Jó példa erre a korábban már emlegetett, magyar kormányhivatalok által is terjesztett, végül a magyar állam által kiiktatott oldal,

ahol néhány éve az egész történet egy célzott adathalász támadással indult, amellyel a támadók a Honvédelmi Minisztériumot célozták meg.

Egy kevesebb mint egy hónapos globális kutatás szerint egy átlagos vállalat több mint tizenötezer API-t használ, több mint dupla annyit, mint egy évvel ezelőtt. Mint azt a Balasys sajtóközleménye is kiemelte, az API-k elterjedése nem meglepetés, hiszen bármely szektorban is működik egy vállalat, ezekkel tud igazán modern szolgáltatást nyújtani az ügyfeleinek – függetlenül attól, hogy pénzt akarnak küldeni vagy a nagybevásárlást akarják időre házhoz rendelni. Romics Attila, a Balasys szolgáltatási igazgatójának elmondása szerint most már a hálózati forgalom 85 százaléka API-alapú, és bár az üzletfejlesztés és a szabályozások egyaránt megköveteli ezek biztonságossá tételét, a fejlesztés során azért még mindig a funkcionalitáson van a hangsúly.

Ez sokszor a biztonság rovására megy, a tradicionális hálózatvédelmi megoldások pedig egyébként is nagyjából a felét tudják kivédeni az API-specifikus támadásoknak, amelyek emiatt nagyon elterjedtek az iparban, a Gartner elemzőcég becslése szerint ezek lehetnek majd a legkedveltebb célpontok 2022-ben. Erre próbál választ adni a Balasys új megoldása, a Proxedo API Lifecycle Platform nevű API-portfólió, amely nagyban épít az úgynevezett Zero Trust biztonsági modellre. Ez azt veszi alapul, hogy a kibervédelmet nem lehet úgy felfogni, mintha egy várat kellene védeni – ahol bent csak védők vannak, kint meg csak ostromlók –, mert a szerteágazó IT-infrastruktúra miatt a kiberbűnözők valószínűleg már rég bejutottak a rendszerekbe.

A behatolás megakadályozása helyett így azon van a hangsúly, hogy a támadások hatékonyságának csökkentése, a károk minimalizálása és feltárása, illetve a javítások felgyorsítása érdekében a lehető legapróbb részekre szabdalják szét a rendszert, a felhasználóknak pedig csak indokolt esetben adjanak hozzáférést egyes részekhez, azt is auditált módon. Ez a modell egyébként 2021 májusa óta az iparág egyik legtöbbet emlegetett koncepciója, Joe Biden amerikai elnök ugyanis ekkor írta elő egy rendeletben azt, hogy a szövetségi kormánynak fel kell készülnie a legmodernebb IT-biztonsági modellek, konkrétan a Zero Trust-modell használatára. Cseledi elmondása szerint pedig jó lenne, ha nemcsak az amerikai intézmények, hanem minden vállalatvezető is felkészülne ugyanerre.

Támogasd a Telexet! Nekünk itt a Telexnél a szabad sajtó azt jelenti, hogy politikusok, oligarchák nem befolyásolhatják azt, miről írunk, miről nem, kivel dolgozunk, vagy kivel nem. A szabad sajtó nekünk kritikusságot, korrektséget, kíváncsiságot jelent. Hogy a közérdekű sztorikról beszámolunk, hogy mindig oda megyünk, ahol a dolgok történnek.

Nem egyszerű a munkánk, van, hogy falakba ütközünk: nem válaszolnak a megkereséseinkre, kordonokkal zárnak el, hogy ne tehessünk fel kérdéseket. Ha szeretnéd, hogy ennek ellenére is kitartóan kérdéseket tegyünk fel, hogy megmutathassuk a lehető legtöbbféle álláspontot, a legtöbb tényt és bizonyítékot, támogasd a munkánkat!
Támogatom