Az oroszok Ukrajna elleni háborúja a klasszikus – földi, vízi és légi – hadszíntereken túl a kibertérben is zajlik. A támadások célpontjai között szerepelt például az orosz atomenergiaközpont, a Kreml honlapja, az orosz posta, egy fehérorosz fegyvergyár, egy orosz gázállomás, a fehérorosz vasúti irányítórendszer vagy az orosz állami tévé. Ilyen esetek megelőzésében segíthet a magyar fejlesztésű Vivesec.
A fenti, korántsem teljes listából látszik, hogy a célpontok között a kritikus infrastruktúrák (KI) – a lakossági ellátásbiztonság stratégiai fontosságú intézményei, úgymint erőművek, kórházak, közműszolgáltatók stb. – előkelő helyet foglalnak el. Ezek az esetek felhívták az európai döntéshozók figyelmét is az európai kritikus infrastruktúrák sebezhetőségére.

A háború kitörése után az EU kormányai egyhangúan kötelezték el magukat a védelmi kiadások jelentős növelése mellett. Ez nemcsak történelmi léptékű fordulat – főleg a német hadiipari fejlesztések bejelentése -, hanem azt is jelenti, hogy várhatóan jelentős erőforrásokat csoportosítanak át a KI szolgáltatók kibervédelmére is.
Ebben szeretne aktív szerepet vállalni egy magyar vállalat, a ViVeTech Zrt. A cég már több éve nyújt IT-biztonsági szolgáltatásokat magyar KI szolgáltatóknak, és a tapasztalatokra építve egy olyan szoftver, a Vivesec fejlesztését végzi, amely segíti a KI szolgáltatóknak a kibervédelemmel kapcsolatos jogszabályoknak való megfelelést.
A ViVeTech Zrt. vezérigazgatója, Márton Miklós pedig nemrégiben szakított egy kis időt arra, hogy válaszoljon pár kérdésünkre, kibertámadásokkal és az azok elleni védekezéssel kapcsolatban.
TechWorld: Mennyire sebezhetőek a kritikus infrastrukturák? Tényleg kikapcsolhatja egy hekker az áramot, átállíthatja a közlekedési lámpákat az interneten keresztül?
Márton Miklós: Az ukrajnai orosz katonai invázió kezdetén bejárta a világsajtót az az eset, amikor hackerek megbénították a belarusz államvasutak forgalomirányító rendszerét, hogy lelassítsák az orosz csapatok és harceszközök frontvonalra szállítását. Ez volt talán az első eset, amikor a széles közvélemény számára világossá vált, hogy milyen képességekkel rendelkeznek a legfelkészültebb hacker csoportok. Míg korábban ilyet csak hollywoodi filmekben láthatott a közvélemény, most hirtelen valósággá vált sokak számára, de legfőképpen a kritikus infrastruktúra (KI) üzemeltetői számára.
A kritikus infrastruktúrába a létfontosságú társadalmi funkciókat ellátó, népegészségügyi, közbiztonsági, nemzetbiztonsági és alapvető gazdasági szempontból nélkülözhetetlen szervezetek tartoznak az erőművektől a közműveken és kórházakon át az élelmiszert árusító áruházláncokig.
Ha itt valami leáll, akkor az sok tízezer ember életét nehezíti meg. Persze, az IT-biztonsági szakma tagjainak nem volt semmi új abban, hogy hackerek megbuherálták egy ország nemzeti vasúttársaságának rendszerét, ám a döntéshozókat talán ez az eset szembesítette a rideg valósággal. Pedig már régóta téma a KI sebezhetősége. Az EU már 2004-ben programot fogadott el az európai kritikus infrastruktúra védelméről, amit 2008-ban az erről szóló direktíva (2008/114/EC) elfogadása követett. A direktíva megszabta a tagállamoknak a KI kockázatok folyamatos minőségbiztosítási monitorozását, és jelentési kötelezettséget írt elő a kockázatok csökkentése érdekében elvégzett tevékenységekről. Jelenleg az irányelven kívül nincs egységes uniós szabályozás a KI minőségbiztosítási előírásaira, azokat a tagállamok maguk alakítják. Magyarországon is folyamatban van hasonló jogszabály előkészítése, ám az unión belül Németország jár legelőrébb a jogszabályi környezet kialakításában. A hatóságok elsődlegesen az ISO27001 és az úgynevezett BSI tanúsítás megszerzését várják el a szolgáltatóktól.
TW: Milyen mélységig juthat el egy rosszindulatú támadó az olyan fontos objektum irányítási rendszerében, mint mondjuk egy kórház vagy egy erőmű (esetleg atomerőmű)?
M. M.: Orosz hátterű hackerek 2015-ben és 2016-ban lekapcsolták az ukrán áramszolgáltatás egy részét. Negyedmillió ember maradt átmenetileg áram nélkül. Aztán 2018-ban került napvilágra, hogy a szintén orosz, „Szitakötő” nevet viselő hackercsoport behatolt számos amerikai áramszolgáltató irányítóközpontjába, és bármikor átvehette volna az irányítást az ottani számítógépeken, pedig azok nincsenek rácsatlakoztatva az internetre. Vagyis képesek lettek volna arra, hogy elsötétítsék az Egyesült Államok nagyvárosait, ahogy azt a filmekben láthattuk. Ma már azt is tudjuk, hogy főleg állami hátterű orosz hackerek évek óta támadják a nyugati energiaellátási rendszereket és Európában is értek már el „sikereket”, a kínai titkosszolgálati hackerek pedig tajvani célpontokra vadásztak és vadásznak. Ezek az esetek jól mutatják a helyzet súlyosságát.
TW: Milyen eszközökkel lehet az ilyen támadások ellen védekezni?
M. M.: A problémát az okozza, hogy a piac nem mindenhol szabályozza az IT-biztonságot. A bankrendszerben például, ahol az információbiztonság létkérdés, már a kezdetektől odafigyelnek a biztonságra és költenek is rá.
Például egy vízműszolgáltatónál, ahol akár harminc éves rendszereket üzemeltetnek mondjuk egy szivattyú távüzemeltetésére, még talán informatikus alkalmazására sem gondoltak.
Itt a piac törvényei ezt nem kényszerítették ki. Az Ukrajna elleni orosz háború, az energiahálózatok elleni állandósuló támadások felnyitották mindenki szemét, hogy ez így nem mehet tovább. A védekezés tervezésekor a legfontosabb nulladik lépés a szükséges információk begyűjtése, monitorozása, a protokollok kidolgozása, a személyi állomány felkészítése. A szervezetnek tudnia kell, mit, mire, és hogyan kell figyelni ahhoz, hogy tovább léphessen és felhúzza a szükséges és testreszabott IT-biztonsági rendszert, amit azután folyamatosan tesztelni és frissíteni kell. Ez egy állandó versenyfutás a hackerek és a biztonságért felelős szakemberek között.
TW: Az online térben a legkritikusabb sebezhetőséget szinte mindig az elővigyázatlan felhasználók jelentik. Van olyan rendszer, ami ezt a tényezőt képes kiküszöbölni?
M. M.: Az általunk most fejlesztett Vivesec rendszer többek között ezt is figyeli, ellenőrzi, de természetesen az emberi hibát, tájékozatlanságot sosem lehet alábecsülni. Mi arra tudjuk figyelmeztetni a felhasználókat, hogy például nem változtattak a gyári beállításon, vagy hogy ellenőrizték-e a jelszó erősségét, hogy két nagyon egyszerű példát mondjak. De nem lehet minden felhasználó mellé egy IT-biztonsági ellenőrt állítani. Lehet viszont egy rendszert, egy szervezetet folyamatosan monitorozni és javaslatokat tenni arra, hogy hol, mire figyeljen. Ez a kérdés különösen aktuálissá válik majd az IoT terjedésével. A filmekben már láthatunk olyat, amikor egy hacker hozzáfér egy felhasználó lakásában az okoshűtőhöz vagy az önvezető autóhoz. És már tapasztalatból tudjuk, hogy amit ma filmen látunk, az pár év múlva valóság lesz.
TW: Miben különbözik a Vivesec a konkurens biztonsági szoftverektől, mi az, amiben jobb lehet?
M. M.: A Vivesec – amely 100%-ban magyar fejlesztésű szoftver – elsősorban nem konkrét támadások elhárítását, hanem egy szervezet általános védekezési felkészültségét, a törvényi előírásoknak való megfelelést hivatott támogatni. Hamarosan az EU minden országa követi a német példát és lesznek jogszabályok, amelyek a kiberbiztonsági feladatokat és elvárásokat konkretizálják, és a hatóságok ezt folyamatosan ellenőrizni is fogják a KI vállalatoknál. Ezért úgy is mondhatjuk, a Vivesec az első lépés egy vállalat vagy szervezet védekezési stratégiájában: mi mondjuk meg mit, hogyan kell javítani. Aztán a második lépésben jöhetnek azon technológiai megoldások beszállítói, amelyek már a konkrét fenyegetést hárítják el vagy előzik meg.
A Vivesec tehát lehetővé teszi a szervezet számára, hogy számszerűsítse az informatikai kockázatokat, fenyegetéseket és sebezhetőségeket.
Az információbiztonságért felelős személyeket folyamatosan naprakész információkkal látja el, és segíti, hogy menedzseljék és megosszák a szervezet adatbiztonsági állapotával kapcsolatos riportokat. A szoftver teljeskörűen támogatja az ISO27001 szabvány, valamint a BSI által megkövetelt iparág- és országspecifikus elvárásoknak való megfelelést – beleértve az információbiztonsági irányítási rendszer bevezetését, a minősítés megszerzését, valamint a rendszer fenntartását, a minőség folyamatos kontrollját is. A mi megoldásunk előnye, hogy nem igényel fizikai jelenlétet, a minőségbiztosítási folyamat online és felhőben zajlik, kvantumrezisztens titkosítással. A fejlesztés során az egyik legfontosabb célunk a szükséges adminisztrátori és tanácsadói erőforrások minimalizálása volt az ügyfeleknél, amit mi „egyszemélyes IT biztonsági osztály” elvnek hívtunk és a folyamatok magas szintű automatizálásával tudjuk elérni. Ezzel nem csak tetemes költséget spórolnak meg a KI szolgáltatók, de a Covid-19 járvánnyal kapcsolatos kockázatok is megszűnnek.
[sc name=”facebook” ][/sc]