Kereső toggle

Kibertér: kényelem vagy védelem?

A Magyar kiberstratégia pillanatképe

Továbbítás emailben
Cikk nyomtatása

Kiberbiztonsági fronton több hónapja nem hallani magyar előrelépésről, holott világszerte nagyjából óránként adnak hírt újabb informatikai offenzíváról. A hibrid háború veszélye már nem távoli valóság, és erre nem csupán Magyarország nincs még közel sem felkészülve…

Az elmúlt hónapokban a Facebook és a Cambridge Analytica elemzőcég nevéhez fűződő adatbotránytól, illetve Amerika és több európai ország választásainak hekkermizériáitól zengett a globális média, a tavalyi évben pedig a NotPetya és a WannaCry zsarolóvírusok borzolták a kedélyeket. Legújabban a COSCO kínai szállítmányozó cég észak-amerikai kommunikációs kapacitásait érte támadás, és a milliós nagyságrendű szingapúri egészségügyi adatlopás emlékeztette az embereket a virtuális machinációkkal szembeni kiszolgáltatottságukra, továbbá Irán Amerikával és Oroszország Nagy-Britanniával szemben feltételezett fenyegetései hozzák egyre közelebb a hibrid hadviselés lehetőségét – csak hogy néhányat említsünk az elmúlt hét hírei közül. Ugyanis a kritikus infrastruktúrát (például kórházakat, kommunikációs rendszereket vagy erőműveket) célzó, jól szervezett támadások mögött nem ritkán államok állnak. Egyre inkább bebizonyosodik: a kényelem ígéretével az életünk minden területén rohamléptekkel hódító elektronizációnak és virtualizációnak nagy ára van.

Veszélyeztetettség

A nemzeti választások megbuherálásáról felröppent hírek sokakat sokkoltak, hiszen ez nemzetbiztonsági és politikai legitimációs szintekre emeli az ismeretlennel szemben vívott küzdelmet, komoly bizalmi válságot okozva. Mindazonáltal a 2016-os amerikai elnökválasztási kampány idején maga Obama elnök vallotta be, hogy szerinte „nincs olyan épeszű ember, aki azt állítaná, hogy az amerikai választásokba bele lehet nyúlni, és nincs rá bizonyíték, hogy ilyen valaha történt”. Mindmáig nincs bizonyítva, hogy az azóta közkeletűvé vált vádaknak lenne alapja. A kiberbűnözés és a virtuális arzenállal bővülő ötödik generációs hadviselés mindemellett szemmel láthatólag reális és egyben egyre égetőbb probléma szerte a világon a politikai, gazdasági és magánszférában egyaránt. Magyarországon legutóbb az Országos Katasztrófavédelmi Főigazgatóság (OKF) szerverét érte informatikai támadás, de a tavalyi évben több globálisan hódító vírus megjelenése is igazolta informatikai rendszereink sebezhetőségét.

Valójában már több éve is hallhattunk hasonló híreket szerte a világon, és szemmel láthatólag évről évre tanúi lehetünk „minden idők legnagyobb kibertámadásának”, ahogy a technológiai fejlődés egyre gyorsuló tempóban múlja fölül önmagát. A 2010-ben izraeli-amerikai kooperációként számon tartott Stuxnet – amely az iráni urándúsító centrifugák rongálását célozta – mára egy limitált hatású akciónak tűnik a kritikus infrastruktúrák komplett rendszereit dúló kártevő szoftverek mellett. Mégis, az emberek nagy részének – még a közel teljesen átvirtualizált nyugati világban is – fogalma sincs, mivel állnak szemben.

Magyar védelmi stratégia

Magyarországon hónapok óta csend honol az ország virtuális védelmi stratégiáját és kapacitásait illetően. Utoljára a tavaly októberben, az uniós „kiberbiztonság hónapjában” szervezett rendezvények kavarták föl a vizet, ahol Rajnai Zoltán, Magyarország kiberkoordinátora 2018 végére ígérte az új kiberbiztonsági stratégiát, valamint a konkrét intézkedéseket és felelősöket kijelölő akciótervet. A 2013-ban megalkotott korábbi stratégián kívül ugyanis eddig csupán a Nemzeti Kibervédelmi Intézet létrehozása jelentett előrelépést 2015-ben. Az egykoron úttörőnek számító stratégia mára igencsak elavulttá vált. Azt a szakember is elismerte, hogy az online térben igen nehéz évekre előre gondolkodni, mindazonáltal az állami intézmény – egyébként összhangban az EU és a NATO által képviselt irányvonallal – lényegében ötéves tervekkel operál.

A közép-európai országok a 2010-es évek elején jelentkeztek saját kibervédelmi politikával, illetve kezdték meg együttműködésüket. Ennek alapját képezték az egyes nemzetközi szervezetek által a 2000-es években kiadott stratégiák. Az Európai Unió 2004-ben hozta létre a Hálózatbiztonsági Ügynökséget (ENISA), amely a NATO 2008-ban létesült Kooperatív Kibervédelmi Kiválósági Központjával (NATO CCDCOE) egyetemben zászlóshajójává vált az informatikai védelem nemzetközi koordinálásának. A NATO Tallini Kézikönyve egyfajta kibervédelmi keretkiadványként és mintegy „kibertérbe tett genfi egyezményként” a világon első ízben helyezte jogi keretbe a virtuális hadviselést ajánlásai révén.

A visegrádi négyek egymás között, illetve Ausztriával karöltve a Közép-európai Kiberbiztonsági Platformon belül törekednek együttműködésre. Azonban ez idáig ezek a tematikus szerveződések javarészt gittegyletként működtek. A rotálódó elnöki rendszer sem hozott érdemi előrelépést, a kibervédelem többszöri fókuszba állítása ellenére sem. A 2010-es évek elején Magyarország élen járt kiberstratégiájával, azonban az elmúlt években Cseh- és Lengyelország váltak a régió húzóerőivé.

Kiberbűnözés

A fenyegetések ellen nem csupán állami stratégiák születtek: idén áprilisban a világ techgigászai szövetkeztek, hogy felhasználóikat megvédjék a hekkerek offenzívájától. A kezdeményezés annak tükrében visszatekintve különösen időszerűnek hat, hogy a CrowdStrike kiberbiztonsági cég júliusi felmérése alapján a válaszadó cégek kétharmada tapasztalt az ellátási láncára mért szoftveres típusú támadást az elmúlt tizenkét hónapban – egy ilyen ostrom átlagosan 1,1 millió dolláros kárt hagyott maga mögött. Globálisan a kibertámadások okozta károk összértékét a tavalyi évre nézve 575 milliárd dollárra becsülik. A kibervalóság kártékony folyamataival szemben koordinált védelmet szervező Cybersecurity Tech Accord (CTA) nevű kezdeményezéshez ez idáig 34 vezető technológiai nagyvállalat csatlakozott (köztük a Microsoft, a Facebook, a Cisco-Systems, a Nokia és a Dell is), amelyek arra is elkötelezték magukat, hogy ők maguk állami nyomásra sem fognak részt venni kibertámadásokban. A kiberpatronátustól azonban nem csupán Oroszország, Kína, Észak-Korea vagy Irán cégei maradtak távol, hanem olyan nyugati óriások, mint az Amazon, az Apple, a Twitter vagy a Google anyavállalata, az Alphabet sem képviseltették magukat, szkeptikusan szemlélve az egyébként általuk jónak vélt célokat kitűző kezdeményezés megvalósítási módszereit.

Vajon elégnek bizonyulnak-e ezek az intézkedések a védelemhez, vagy továbbra is ki vagyunk szolgáltatva a hekkerek kénye-kedvének? A kibertámadások száma és hatása ugyanis minden évben exponenciálisan növekedik, amivel a védelmi oldal nem képes lépést tartani, így egyes elemzések szerint 2022-re szinte 350 ezer kiberbiztonsági szakember fog hiányozni csak az EU-n belül, míg globális viszonylatban ez a szám 1,8 millió embert is jelenthet. A teljeskörű védelem a szakértők szerint (egyelőre) hiú ábránd, azonban az olyan új technológiák, mint a blokklánc (blockchain), segíthetik felvenni a harcot a rosszindulatú szoftverekkel és adatlopásokkal szemben.

A Magánszféra erőfölénye

A kezdeti próbálkozások ellenére úgy tűnik, az államok és a nemzetközi szervezetek kibervédelmi stratégiái lassan cammognak, amelyek mellett a magánszféra a techcégekkel szépen elhúz. Azonban a kapucnis hekkereket, a mély internet lovagjait egyelőre ők sem tudják utolérni, akik képernyőjük mögött több lépéssel előrébb járnak bárkinél az online térben. Rajnai Zoltán kiberkoordinátor szerint az egyik legfőbb probléma, hogy a nyugati vezetők nem veszik kellően komolyan a veszélyt. Így eshetett meg, hogy fegyelmezett működése miatt Oroszország is pár lépéssel az EU előtt jár. Mika Lauhde, a Huawei szakértője szerint Európának az is nagy baklövése volt, hogy kiszervezte területéről a chip- és mobilgyártást, kivonva magát a technológiai iparfejlődés fő áramából. A szakértő szerint a 28 EU-tagország közül körülbelül hatnak van versenyképes kiberbiztonsági technológiája, a többiek csak üres szólamokat hangoztatnak. Ennek ellenére az országok egymás iránti bizalmatlansága gátolja az együttműködést.

Az állami és vállalati szintű kiberpolitikába a legtöbbeknek igen csekély a beleszólása. Mindazonáltal a hétköznapi ember jelentős előrelépéseket tehet biztonsága érdekében, ha a saját háza táján sepreget, és a technológia tudatos kiválasztásán kívül fegyelmezett marad az online felületeken. Az okoseszközök világában egyre nagyobb területet hódít meg az IoT, azaz a „Dolgok Internete”, amikor hálózatra csatlakozik a kávéfőző és a játékbaba. Ezek önmagukban is hatványozott és nehezen kezelhető biztonsági kockázatot jelentenek. Emellett a tavalyi felmérések szerint az uniós lakosság 71 százaléka osztott meg magáról valamilyen személyes adatot az interneten, 40 százalékuk bank- és hitelkártyaadatokat is. Aki buzgón és képekkel, videókkal illusztrálva kürtöli szét magánélete kisebb-nagyobb részleteit – legyen szó eljegyzésről, nyaralásról, személyes futórekordról vagy a gyerek első lépéseiről – Facebookon, Instragramon és akár Snapchaten egyszerre, gyakorlatilag önként dobálja ki az (internetes) ablakon a kiismerhetetlen kibertérbe a feketepiacokon lényegében aranyárban mért személyes adatait. A közösségi médiában határokat szabó adatvédelmi beállítások ismerete és helyes használata már önmagában csodákra képes, bár a legcélszerűbb kétségkívül a magánjellegű részleteket meg sem osztani.

Olvasson tovább: