Megbénított ukrán villamoshálózat, megfertőzött Dél-Koreai közműszolgáltatók és kormányzati szervek, a világ legnagyobb szórakoztatóipari óriásától ellopott felhasználói adatok – egy közös van bennük: kifinomult kibertámadás áldozatai mind. Különböző mértékben, de ugyanilyen veszélynek van kitéve minden intézmény és vállalat: a legújabb becslések szerint évi 1 milliárd dollár kárt okoznak a kiberbűnözők, miközben a vállalatok legkevesebb ennek felét költenek a károk kivédésére. Az Európai Parlament várhatóan júliusban fogadja el a kibertámadások elleni védekezést célzó uniós irányelvet, ami számos kötelezettséget ró nemcsak az alapvető szolgáltatókra, de különböző mértékben az infokommunikációs egyes szereplőire is. Az Informatika a Társadalomért (Infotér) szakértői elemzése szerint a legnagyobb vállalatok mellett a kisebb cégek is egyre inkább ki vannak téve az új veszélyeknek, és mindenkinek már most fokoznia kell a védelmi képességeit – már csak a jól felfogott üzleti érdekei miatt is.
Egy amerikai jelentés szerint kibertámadás okozhatta a tavaly decemberi ukrán áramkimaradást. A jelentés szerint az akció koordináltan zajlott, a megtámadott cégekre ugyanabban az időben e-mailek csatolmányába ágyazott kártevővel mértek csapást. Idén májusban és júniusban már sokadik alkalommal hiúsítottak meg feltehetően Észak-Koreából indított kibertámadásokat: volt, hogy szöuli kormányzati szerveket, volt, hogy infrastruktúra-szolgáltatókat ért támadás. Az FBI vizsgálata szerint szintén észak-koreai hackerek jutottak be a Sony tűzfala mögé másfél évvel ezelőtt. Megszerezték a vállalat számos fontos adatát, az egy éves belső levelezéstől kezdve olyan bizalmas információikig, mint az alkalmazottak egészségbiztosítási adatai és fizetési listái.
A szervezett bűnözésnek is kiemelt célterülete a kibertér: mindennaposak az internetes csalások, a banki adatokkal történő visszaélések: napjainkra ezeknek a bűneseteknek a mértéke a drogüzletekével vetekszik. Csak egy idén májusban elkövetett bankkártyás csalással 13 millió dollárt loptak el hekkerek hamis dél-afrikai kártyaadatokkal – két óra leforgása alatt.
A kiberbűnözők egyre kifinomultabb eszközöket használnak, ha ezek kivédésében nem követik őket maguk a célpontok, a vállalatok, súlyos és növekvő károkat szenvedhetnek és szenvednek is nap mint nap. A Symantec 2015-ös biztonsági jelentése szerint ugyanis csak tavaly 429 millió felhasználói adatot loptak el a bűnözők, ami 35%-os növekedést jelent egy év alatt. Ráadásul 85%-kal emelkedett azoknak a vállalatoknak a száma, akik nem jelentették az ellopott adatok pontos számát, így a Symantec becslése szerint a valós számok meghaladják a félmilliárdot.
Egyre több „dolog” veszélyben
Az internetre kötött eszközök számának növekedésével a potenciális támadási felületek száma is rohamos mértékben fog emelkedni a következő években. A Gartner becslése szerint ugyanis az internet-kapcsolattal rendelkező eszközök száma a mostani 6,4 milliárdról 2020-ra közel 21 milliárdra nő. Ebben a TV-k, autók, az ipari berendezések, de még az egészségügyi készülékek is beleszámítanak. A jóval nagyobb számú eszköz pedig jóval nagyobb kitettséget jelent. A szakértők ezzel összefüggésben arra hívják fel a figyelmet, hogy a „dolgok internete” újabb szintre emeli a biztonsági kockázatokat, azaz a netre kapcsolt gépek alkotta hálózatban újabb kihívásokkal kell majd szembenézni.
A terroristák számára is kiemelt célpontot jelentenek ezek, sőt a katonai konfliktusok szereplői is új frontokat nyitottak a kibertérben. A már említett ukrán esethez hasonló, de kivédett támadások nap mint nap tömegesen zajlanak le például Izraelben. Az ottani elektromos művek elnökének egyik nyilatkozata szerint egy átlagos napon mintegy 300 ezer online támadás éri hálózatukat, de a legutóbbi gázai háború idején ez a szám elérte az 1 milliót. Hogy mekkora veszélyt jelent ez az újfajta terrortípus, azt mutatja a Lloyds biztosítótársaság egy elemzése, amely szerint az USA elektromos hálózatának megtámadásával akár egytrillió dolláros kár is okozható. Nem véletlen, hogy a szövetségi büdzséből 2015-ben mintegy 14 milliárd dollárt fordítottak az ország kibervédelmének megerősítésére.
Mit a helyzet itthon?
Az állami és kormányzati szervek, a kritikus infrastruktúrák stabilan és hatékonyan működő szervezetek felügyelete alatt üzemelnek, a támadások elleni védettségük hatékony – közölte Rajnai Zoltán Kiberbiztonsági Koordinátor. Magyarországon a jogszabályi feltételrendszer adott ahhoz, hogy jól szervezett, biztonságos kiberhálózatok és kibervédelem üzemeljen. A Nemzeti Kibervédelmi Intézet felállítása és a 2013-ban elfogadott nemzeti kibervédelem stratégia megvalósítása beváltotta a hozzá fűzött reményeket. Ezzel együtt a hazai intézmények ugyanúgy kitettek, mint bármely más intézmény a világon, mivel az interneten mindenki elérhető. Ráadásul a támadások egy része nem célzott, intézménynek szóló, hanem véletlenszerű, illetve automata zsarolóvírusok, és a támadások mértéke itthon is növekszik. A kormányzati szervek ellen évente több ezer támadást indítottak. A leginkább gyakori technikának a honlaprongálás és a robothálózatok alkalmazása bizonyult, az esetek 24% esik ebbe a körbe, ezt követték a káros szoftverek okozta veszélyek és a sérülékeny szolgáltatások miatt bekövetkezett esetek.
Ez egybecseng az Informatika a Társadalomért (Infotér) kiberbiztonsági szakértőjének állításával, aki szerint jelenleg az adatlopások (felhasználói adatok, bankkártya adatok, pénzügyi, üzleti adatok), zsarolóvírusok, weboldalak elleni támadások a legjellemzőbb fenyegetések. Erdei Csaba szerint az állami intézmények és a cégek számára egyértelműen a célzott (úgynevezett APT Advanced Persistent Threat) támadások a legveszélyesebbek. Ezek természetesen nem minden intézményt és céget érinthetnek egyformán, hiszen nagyon fejlett szaktudást, általában komoly emberi erőfeszítést igényelnek és egy-két kifejezett célpont ellen irányulnak. Ezeket általában szervezett bűnözői csoportok és-vagy állami hírszerző csoportok viszik véghez. Rajnai Zoltán kiberbiztonsági koordinátor is arra hívja fel a figyelmet, hogy a gazdasági károkon túl a kritikus infrastruktúrákat működtető rendszerek sebezhetősége miatt a létbiztonság is veszélybe kerülhet. A terrorista szervezetek az elmúlt években egyre szélesebb körben használják az internetet elméleti megalapozásra, toborzásra, műveleti feladatokra, valamint kiberlopásra.
Közösségi fellépés – júliusban jön az uniós irányelv
Az uniós szintű kiberbiztonságot megteremteni hivatott szabályozást – az úgynevezett hálózat- és információbiztonsági irányelvet – idén májusban fogadta el az Európa Tanács, július folyamán pedig várhatóan megszavazza azt az Európai Parlament is. Ezt követően lépnek hatályba azok a szabályok, amelyek célja, hogy minden tagállam rendelkezzen a kibervédelemhez minimálisan szükséges képességekkel, megfelelő intézményi háttérrel, nemzeti szintű szabályozással, valamint a hálózat- és információbiztonság minél magasabb szintjét biztosító stratégiával. Az irányelv ezeket összehangolva európai szintre emeli és egységesíti a kibervédelemre irányuló tagállami törekvéseket és együttműködést.
Az irányelv biztonsági követelményeket, valamint bejelentési kötelezettségeket ró az alapvető szolgáltatásokat nyújtó intézményekre is. Ilyenek az energia-, közlekedési, pénzügyi piaci infrastruktúrák működtetői, az egészségügyi intézmények, ivóvíz szolgáltatók, valamint a digitális infrastrukturális hálózatok üzemeltetői. Nekik azt kell bizonyítaniuk, hogy miként tudnak kivédeni egy esetleges kibertámadást, illetve kötelesek ezekről beszámolni a hatóságoknak. Mellettük számos egyéb piaci szereplőre, a digitális szolgáltatást – online piactér, online kereső motorok, felhő-szolgáltatások – biztosító vállalatokra vonatkozóan is megszabja ugyanezeket. A hatályba lépést követően huszonegy hónapjuk lesz a tagállamoknak a szükséges nemzeti intézkedések, jogszabályok megalkotására, valamint további hat hónap áll rendelkezésükre az alapvető szolgáltatásokat nyújtó intézmények azonosítására.
Felmérni és felkészülni
Az egyes vállalkozásoknak az irányelv előírásain túl is jól felfogott érdekük a minél alaposabb felkészülés és védekezés az újfajta kiberveszélyekkel szemben. Hogy mekkora szükség is van erre, jól mutatják a Ponemon Institute által 2015-ben készített Global Cyber Impact Report adatai, melyeket 37 országban több mint 2200 szakember megkérdezésével nyertek. A kutatásából kiderül, hogy a válaszadóknak mindössze negyede van teljes mértékben tisztában a kibertámadások lehetséges pénzügyi és jogi következményeivel, míg ötödük egyáltalán nem látja át ezeket. Holott a válaszadó cégek 37 százalékánál léptek már fel adatvesztéssel vagy -károsodással járó anomáliák.
A támadásoknak kitett adatok fontossága és értéke ugyanakkor a technológiai fejlődéssel párhuzamosan egyre csak növekszik. A megkérdezett vállalatok tárgyi eszközeivel közel azonos értéket képviselnek az információs eszközök – ez utóbbiba beleértendőek az alapvető üzleti információk, pénzügyi jelentések, vásárlói adatok, alkalmazottak által előállított nyilvántartások, kódok, de a big data állományok is. Vagyis az adatokat legalább ugyanolyan védelemmel és biztosítással érdemes ellátni, mint a hagyományos termelőeszközöket. Ha viszont azt vesszük alapul, hogy a normál üzletmenetben jóval nagyobb károkat tud okozni egy adatbázis sérülése vagy elvesztése, mint mondjuk egy hagyományos tárgyi eszközé, akkor belátható, hogy ezen a téren komolyabb károkat szenvedhetnek a cégek.
Az egyes támadástípusok okozta kockázatokat nézve az IDC – International Data Corporation – és a Szingapúri Egyetem által közösen készített globális kutatásból az derül ki, hogy a felhasználók 60 százaléka szerint a vírussal fertőzött szoftverek jelentik a legnagyobb veszélyt az adatbiztonságra. Ezt követik – 51 százalék szerint – az illegális tranzakciókból, 50 százalék szerint pedig az e-mailek, közösségi oldalak, bankszámlák feltöréséből származó károk. A támadásoknak leginkább kitett célpontok a bankok és egyéb pénzügyi intézmények, de nincsenek biztonságban a közepes vagy kisebb cégek sem. A Symantec elemzése szerint a támadások megközelítőleg felét olyan vállalatok szenvedték el, ahol 2500-nál kevesebb alkalmazott dolgozik, további 18%-uk pedig 250 alkalmazottnál is kevesebbet foglalkoztató vállalkozás volt. Vagyis nincs túl kicsi célpont, nincs túl kis cég, ahol ne lenne szükséges a védekezésre koncentrálni.
A már idézett Erdei Csaba szerint is elengedhetetlen ma már a megfelelő szaktudás és szakértők, módszertanok és szabványok gyakorlati alkalmazása az IT-fejlesztésekben és az üzemeltetésben. A szakértő úgy véli, a kisebb cégek számára leginkább hatékony megoldás, ha szakosodott IT-üzemeltetőnek szervezik ki a feladatot. Nagyobb vállalatoknál pedig elengedhetetlen az érdemi belső kompetencia kialakítása, egyes specializált területekre azonban nekik is érdemes külső szolgáltatókat igénybe venniük. A minimális védelmi stratégia a vírusvédelem, hálózati határvédelem, illetve az adattárolás és adatmentés korszerű, hatékony és biztonságos módszereinek alkalmazása, az IT-biztonsági szabályozás kialakítása, valamint a munkatársak, belső felhasználók folyamatos képzése és a biztonsági tudatosság kialakítása.