Nagyvilág
Team of Government Agents Tracking Fugitive with Boss's Survillance in Big Monitoring Room Full of Computers with Animated Screens.

Vajon készen áll a V4 egy kibertámadásra?

24.hu
24.hu

2018. 05. 15. 20:03

Ma a háborúk egy része már a kibertérben zajlik, és az államok egyre inkább az új típusú fenyegetésekhez igazítják védelmi képességeiket.

A visegrádi csoport (V4) felkészült a hibrid háborúk új korszakára. A régiót eddig nem érintette egyetlen kiterjedt kibertámadás sem, ellentétben Észtországgal, ahol 2007-ben weboldalak tucatjai váltak elérhetetlenné egy pillanat alatt, beleértve a kormány, több újság és bankok internetes felületeit is. Néhány jelentősebb incidenst azonban a visegrádi államok köréből is ki lehet emelni.

Cseh cégek és intézmények is áldozatul estek elosztott szolgáltatásmegtagadással járó támadásoknak. E támadások eredményeként bizonyos szolgáltatások részben meghibásodtak, illetve az elkövetők behatoltak az államigazgatás egyes alrendszereibe is

– mondta Tomáš Rezek, a prágai Nemzetközi Kapcsolatok Szövetség (NKSZ) kiberbiztonsági szakértője. Nem olyan rég, 2017 októberében, a cseh országgyűlési választások idején két az eredménykövető oldal is leállt a támadások következtében.

Szlovákia hasonló problémákkal küzdött 2016-ban, akkor a Statisztikai Hivatal weboldala vált elérhetetlenné az országgyűlési választások éjszakáján. A média szintén jelentős támadások célpontjává vált. A közelmúltban több szlovák országos sajtótermék weboldala állt le a támadásoknak köszönhetően, ideértve a közszolgálati televízióét és a rádióét (RTVS).

Üzleti célpontok

A mindennapokban a magáncégek elleni támadások meglehetősen gyakoriak, még ha ezekre ritkán is figyel fel a nyilvánosság. A szlovák cégek döntő többsége beéri az olyan általános számítástechnikai védelmi rendszerekkel, mint a vírusirtók és a tűzfalak. Lényegesen kevesebb szlovák vállalkozás támaszkodik olyan biztonsági eszközökre, melyek a modern fenyegetések ellen is védelmet nyújtanak, beleértve a zsarolóvírusokat, illetve a szolgáltatás- és weboldal-leállásokat eredményező támadásokat.

Magyarországon a nagyvállalatok fele, míg a kis- és középvállalkozásoknak alig 10 százaléka foglalkozik IT-biztonsággal.

Az egyéni felhasználói tudatosság alacsony szintjét pedig jól jelzi az Európai Bizottság tavalyi közvélemény-kutatása, amely szerint csak minden harmadik magyar aggódik amiatt, hogy például interneten keresztüli pénzügyi tranzakciók során visszaélnek a személyes adataival. Uniós összehasonlításban Málta és Románia után a harmadik legalacsonyabb értéket produkáltuk.

Woman hands over the keyboard on laptop.
Fotó: Thinkstock

A lengyel vállalatok hasonló gondokkal küzdenek. A cégek akár 65 százalékát is érinthették kibertámadások, leginkább zsarolóvírusok formájában, az esetek majdnem felében pedig ez pénzügyi veszteségekhez vezetett. Mindennek ellenére egy PricewaterhouseCoopers-jelentés szerint a vállalatok számítástechnikai költségvetésük mindössze három százalékát költik kiberbiztonságra.

A legalapvetőbb fenyegetés az emberi hiba, legyen az gondatlanság, nem megfelelő intézkedések vagy szándékos cselekedetek eredménye

– mondta Karel Macek a Fegyveres Erők Kommunikációs és Elektronikai Szövetségtől.

Hibrid háború vagy akaratlan manipuláció?

Macek rámutatott a nemzetközi politika és a kibertámadások közötti lehetséges kapcsolatokra is: „Csehország konkrét lépésekkel mutatta meg, hogy a keleti területek helyett a nyugati demokráciák sorába tartozik, ami az ország ellen indított célzott támadásokat vonhat maga után a Közép-Európa feletti befolyásért folyó hibrid háború következtében.”

Manapság a „hibrid háború” kifejezést a szakértők és a média gyakran Oroszország dezinformációs kampányával kötik össze, kiberbiztonsági stratégiájában mégsem említi egyetlen V4-tagállam sem Moszkvát.

Ez a tartalom automatikus, a felhasználói preferenciákhoz való hozzáigazításán keresztül történik, és nagyon veszélyes

– mondta egy cseh adat- és információfeldolgozásra szakosodott cég, a TOVEK munkatársa, Miroslav Nečas. Nem említi meg a Cambridge Analytica botrányt, inkább arról a módszerről beszél, ami megszűri a tartalmakat a közösségi médiában, és ezzel belekényszeríti a felhasználókat egy virtuális burokba.

The now defunct Cambridge Analytica data mining and political consultancy company logo is seen with the Facebook application on a mobile device in this photo illustration on May 7, 2018. (Photo by Jaap Arriens/NurPhoto)
Fotó: Jaap Arriens/NurPhoto/AFP

„A különálló virtuális burkok nemcsak a valóságtól térnek el, hanem a többi buroktól is, melyekben más emberek élnek. Úgy gondolom – így Nečas –, ez az egyik olyan tényező, amelynek szerepe van a társadalom valós megosztottságának kialakulásában, bár nem ez az egyetlen ilyen elem.”

Kiberbiztonság, kormányok és az EU

A négy visegrádi országnak nem csak hogy sikerült nehézségek nélkül átültetni a kiberbiztonsággal kapcsolatos európai követelményeket saját jogrendszerébe, de többen közülük a jó gyakorlatok példájává is váltak.

Csehország például már évekkel ezelőtt dolgozni kezdett saját kiberbiztonsági jogszabályainak javításán. Az új kiberbiztonsági törvény 2014 óta van érvényben, és ennek köszönhetően jött létre a Nemzeti Kiber és Információs Biztonsági Ügynökség (NKIBÜ) 2017. augusztus 1-jén.

Az NKIBÜ szóvivője, Radek Holý kiemelte, hogy országa 2018 májusára teljes mértékben eleget tesz majd a hálózati és információs rendszerek biztonságáról szóló uniós irányelvnek (NIS). Az úgynevezett NIS irányelv az első, az egész unió területére érvényes kiberbiztonsági szabályzat, amelyet 2018. május 10-ig kell a tagállamoknak átültetni saját jogrendjükbe. A NIS arra kötelezi az uniós tagállamokat, hogy nemzeti stratégiákat készítsenek a hálózatok és az információs rendszerek biztonságáról, illetve hogy állítsanak fel a felügyelettel, a fenyegetések korai jelzésével és a felmerülő problémákra adható válaszok kidolgozásával megbízott kompetens hatóságokat és csapatokat (CSIRT-ket).

A NIS 2017 decemberében vált a magyar jogrend részévé. Ezzel kapcsolatban Feledy Botond külpolitikai szakértő hangsúlyozta, hogy papíron létrehozták ugyan az ehhez szükséges intézményi struktúrát, működik a Nemzeti Kibervédelmi Intézet is, ám az uniós irányelv figyelemfelkető ereje erősen kérdéses, tekintve, hogy eddig nem sok nyilvános információ került napvilágra. A magyar kiberbiztonsági szakterület fejlődése ráadásul lelassult: egy 2015-ös jelentés a NATO-tagállamok kiberbiztonsági képességeiről Magyarországot még a legjobbak közé sorolta.

2015 áprilisáig Magyarország volt a NATO kibervédelmi munkacsoportjának elnöke, aktív tagja volt az EU információbiztonsági bizottságainak, és jól működő állami kibervédelmi központtal rendelkezett a Nemzeti Biztonsági Felügyelet irányításával.

Ám a rendszert 2015 áprilisában teljesen új alapokra helyezte az Orbán-kormány: az információbiztonsági törvény módosításával új szervezeti felépítést hoztak létre, a kibervédelem a titkosszolgálatokhoz került, ezzel transzparenciája is végleg odalett.

Lengyelország hamarosan szintén átültetheti a lengyel jogba a NIS-t. Az új – az irányelv átültetésére hivatott – kiberbiztonsági rendszerekről szóló törvényt a kormány elfogadta és megküldte a parlamentnek.

Jelenleg azonban nincs egységes kiberbiztonsági rendszer Lengyelországban. Az új stratégia és szabályzás felvázolása nem egyetlen minisztérium vezetésével folyt, a folyamat koordinálása során leginkább a védelmi és a digitalizációs minisztériumok versengtek a vezető szerepért. Anna Streżyńska digitalizációs miniszter januári menesztése után sokan a minisztérium megszűnésére számítottak. Ez nem történt meg, de márciusban a védelmi minisztérium került előtérbe ezen a szakterületen, és a kiberbiztonságért felelős kormányzati képviselő e tárca keretein belül kapott helyet. Három hónappal később a védelmi minisztérium is új tárcavezetőt kapott. Ezzel még kérdésesebbé vált, hogy ki felel majd valójában a kiberbiztonsági politikáért.

A lengyel pénzügyminisztérium látszólag nem akarja növelni a kiberbiztonságra fordított forrásokat, annak ellenére, hogy a NIS által szabott követelmények teljesítését biztosító stratégia ezt szükségessé teszi. Ugyanakkor a tény, hogy a kiberbiztonság egyre inkább védelempolitikai problémává válik, hasznára lehet a területnek, mivel a védelmi minisztérium jóval nagyobb költségvetéssel dolgozik.

Szlovákiában a kiberbiztonság egyre népszerűbb témává vált az elmúlt hónapokban, annak köszönhetően, hogy a kormány ebben az időszakban dolgozta ki az új kiberbiztonsági törvényt. A szlovák parlament 2018 januárjában fogadta el az ország első ilyen törvényét, amely módosította a közös és egységes kibervédelmi gyakorlatokat. Az előkészületek bonyolultak voltak, mert a folyamatban nemcsak hivatalnokok és a közigazgatásban dolgozó szakértők, de az egyetemi közösség, nem-kormányzati szakértők és elemzők is részt vettek.

Handsome man and attractive woman are working in data centre with laptop. IT engineer specialists in network server room. Running diagnostics and maintenance. Technicians examining server.
Fotó: Thinkstock

A NIS-t a szlovák jogrendbe átültető törvény 2018. április 1-jén lépett hatályba.

Általában a korai átvételt sikernek tekinthetjük. Az észt E- Kormányzás Akadémia Alapítvány nevű civil szervezet nemrég megjelent tanulmánya szerint Szlovákia végzett az első helyen a Nemzeti Kibervédelmi Index ranglistáján. Az index az államok komoly kiberfenyegetések elhárítása melletti elkötelezettségét, illetve a kiberincidensekre, bűncselekményekre és súlyos válságokra való felkészültségét méri.

Szlovákiának 2008 óta van Információbiztonsági Nemzeti Stratégiája. Emellett létezik egy a Nemzeti Hálózat és Elektronikus Szolgáltatások ügynökség és a Nemzetbiztonsági Hatóság által készített, 2015 és 2020 közötti időszakot lefedő Kiberbiztonsági Koncepció nevű dokumentum is, melyet a kormány 2015 júniusában fogadott el.

Az NH lett a kiberbiztonságért felelős nemzeti hatóság, ami a területet a korábban ezért a portfólióért felelős pénzügyminisztériumtól vett át. A kritikusok azonban rámutatnak, hogy az NH kommunikációja egysíkú mind a közélet, mind a vállalatok, mind pedig a szakértők felé. Az előrelátás hiánya is problémának tűnik, mivel a területet szabályozó törvényeket szinte teljesen szolgai módon vették át az európai szintről, elhanyagolva bármiféle nemzetspecifikus vonást.

Együtt a hackerek ellen

Miután minden V4 országnak megvan a stratégiája és kibervédelmi célú intézményrendszere, elkezdhetnek együttműködni a súlyos fenyegetések elhárítása, valamint a jó gyakorlatok egymás közötti megosztása terén.

A már idézett Radek Holý szerint van nemzetközi együttműködés, de nem úgy, hogy néhány nagy állami egység hatalmas hadseregeket hoz létre. „A közös munka a különböző szervezeteken keresztül összekapcsolt állami szereplők és biztonsági csapatok (CERT / CSIRT) együttműködésével valósul meg.,”

A szlovák szakértők sok nemzetközi workshopon, kiképzésen és versenyen (mint a Crossed Swords, Locked Shields, Cyber Coalition and Cyber Europe) vesznek részt. Ezeken a szlovák csapatok gyakran sikereket, magas pontszámokat érnek el. Ezt a szlovák kibervédelem sikerének tekintik, de mindez a lakosság látóterén kívül történik.

A lengyel digitalizációs minisztérium a V4-államok szélesebb, uniós kooperáció keretén belüli együttműködését emeli ki. „Egy másik példa lehet erre a Közép-Európai Kiberbiztonsági Platform, mely évente kétszer ül össze (stratégiai szinten), míg a képviselői Brüsszelben folytatják az együttműködést találkozók, illetve információmegosztás keretében. Lengyelország, Csehország, Szlovákia, Magyarország és Ausztria ebbe a platformba tartozik”, mondta a minisztérium szóvivője.

Feledy szerint a kiberbűnözés elleni közdelemben a V4-ek és az unió is előrébb tart, mint a kiberbiztonság tágabb értelemben vett területén való együttműködésben:

Közös gyakorlatot leginkább katonai oldalon tartunk NATO-kötelékben, míg civil oldalon érdemes lenne a kritikus infrastruktúravédelmet együtt is gyakorolni, különösen atomerőművek, bősi vízierőmű és egyéb triviálisan közös esetekben, mint a légiközlekedés biztonsága.

Szerzők: Zgut Edit (Political Capital), Aneta Zachová (EurActiv.cz), Lucia Yar (EurActiv.sk), Karolina Zbytniewska (EurActiv.pl)

Kiemelt kép: Thinkstock

vissza a címlapra

Ajánlott videó mutasd mind

Kommentek

Plastic debris floating on the ocean surface, shot underwater.
Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.