Bajba kerülhetünk, ha úgy véljük, mindent tudunk a kibertér fenyegetései elleni védekezésről

Az informatikai biztonság fontosságát nem lehet elégszer hangsúlyozni: a magánszemélyeknek, vállalatoknak, valamint az intézményeknek is egyaránt el kell fogadniuk, hogy értékeink a fizikai térből egyre inkább a digitális térbe költöznek át, ezeket pedig saját érdekünkben is védenünk kell. Varga Gábor, az Informatikai Vállalkozások Szövetségének (IVSZ) szabályozási szakértője, kiberbiztonsággal és mesterséges intelligenciával foglalkozó specialistája adott interjút az Origónak.

Origo: Az adatok szerint tavaly 23 milliárd forintnyi elektronikus pénzforgalmi visszaélést követtek el Magyarországon, az idei első negyedévben pedig a Nemzetgazdasági Minisztérium júliusi közlése szerint 9 milliárd forintnál járt az összeg. Ez csak egy statisztika kiberbiztonság területéről. Mi történik most az országban, a digitális világunkban? 
Varga Gábor: A statisztikák különösen érdekesek ebből a szempontból. Van olyan friss statisztika, ami azt mutatja, hogy az említett pénzügyi vonatkozásban javulás tapasztalható az elmúlt egy-két negyedéven. Ugyanakkor az éves, évtizedes trendeket tekintve egyértelmű, hogy sajnos romlik a helyzet. Ez ugyanakkor valahol természetes is, hiszen a támadók oda mennek, ahol az értékeink vannak. Az értékeink pedig egyre inkább a digitális világba költöznek át. Mindazok az értékeink, amelyek mondjuk tíz-húsz évvel ezelőtt még fizikai entitásokban jelentek meg, egyre nagyobb arányban költöznek át a digitális térbe. Az egyik kifejező példa erre a személyes adataink problémája: már évtizedekkel ezelőtt, amikor még nem digitális eszközökben tartottuk azokat, akkor is nagyon csúnyán vissza lehetett élni azokkal. Nem meglepő, hogy most a digitális tér vonzza a rosszakaratúakat, hiszen ott érhetők el az adataink. 

A trendek egyértelműen azt mutatják, hogy egyre több veszteség éri a gazdaságot és a magánembereket is a kibertérben megvalósuló támadásoktól.

Ugyanakkor nagyon fontos lenne, hogy a támadásokat megpróbáljuk legalábbis a lehető legszűkebb területre visszaszorítani.

A tolvajok az ügyesebbek, vagy mi vagyunk azok, akik hanyagok vagyunk?

Ez egy macska-egér harc, amiben hol a macska, hol az egerek vannak előnyben. Nagyon szívesen mondanám azt, hogy az informatikai közösség majd kitalál valamit, amivel egyszer s mindenkorra megoldja ezt a problémát, de ilyen nem várható. Az várható, hogy a digitális térben is ugyanazon a folyamaton kell végigmennünk, mint a fizikai térben. Tudjuk, hogy van bűnözés, és azt is, hogy ha éppen rosszkor vagyunk rossz helyen, akkor mi is áldozatává válhatunk egy támadásnak, de mégis ezzel a belátással éljük életünket. Eközben mindent megteszünk azért, hogy minél kevésbé legyünk bűncselekmények elkövetésének kitéve. Ezt a logikát kell alkalmazni a digitális térben is. Mert ha egy picit mi, mondjuk úgy, hogy a jó oldalon állók, előrébb is kerülünk ebben a macska-egér harcban, akkor sem dőlhetünk hátra, mert jön egy következő negyedéves statisztika, amiben az látszik, hogy újra a másik oldal került előnybe. A vállalkozások számára különösen fontos, hogy rendszeresen frissítsék kibervédelmi ismereteiket. Szerencsére a digitalizáció és kiberbiztonság terén olyan hazai programok is elérhetőek, amelyek térítésmentes oktatással és tanácsadással segítik a vállalkozásokat a harcban.

A kiberbiztonságnak van egy, a magánszférához, a magánszemélyekhez köthető oldala, és van egy vállalati oldala is, aminél persze ugyanúgy mi vagyunk az érintettek. Mikor vagyunk tudatosabb informatikai felhasználók: ha magánszemélyként, vagy ha egy cég alkalmazásában használjuk eszközeinket?
Nem látok szignifikáns különbséget a két vonatkozás esetében a kiberbiztonsági tudatosságban. Nagyon sok tényezője van annak, hogy egy informatikai támadás sikeres legyen, ezeknek a tényezőknek a jelentős része viszont az emberi tényezőben gyökeredzik, vagy azt célozza. S emberek vagyunk otthon, meg emberek vagyunk a munkahelyen is. Egy munkahelyen nagyobb kárt tudnak okoznia a kibertámadások annak a szervezetnek, melynek képviselői vagy dolgozói vagyunk. Némileg mások is a vállalatokat célzó tipikus támadási formák, mint amelyekkel magánembereket támadnak. De egyáltalán nem lehetünk büszkék egyik énünkre sem, mert nagyon gyakran válunk átverések áldozataivá, akár magánemberként, akár a munkahelyünkön egy cég vagy intézmény munkatársaként.

De ha egy folyamatos harcra kell berendezkednünk a kibertér rosszindulatú használóival, és ugyanúgy sebezhetők vagyunk magánemberként mint vállalati munkatársként, mik azok a leggyakoribb támadási formák, melyekre fel kell készülnünk?
A kiberbiztonság területe, az informatikai támadások világa nagyon érdekes jelenségeket produkál. Közhely és ezért igaz, hogy a digitális támadási formák is hasonló gyorsasággal változnak, mint a digitalizáció egésze. Kitermelődnek azok a támadási formák, amelyek most már sikeresek lehetnek, noha a korábbi fejlettségi szinten még nem voltak azok. Talán meglepő, de a sikeres támadási típusok listájának élén több éve az úgynevezett adathalász e-mailek, vagyis a phising áll. A phising támadásoknak az a lényege, hogy egy nem valós feladótól érkezik egy megtévesztő, hivatalosnak látszó e-mail. Az e-mailben általában egy link szerepel, az e-mail küldője arra próbál rávenni bennünket, hogy kattintsunk rá, így valami jó történik velünk, ám ez persze átverés. Például, ha a phising támadás egy magánszemély ellen irányul, jellemzően azt próbálják vele elhitetni, hogy az e-mail egy futárcégtől érkezett, és a linkre kattintás szükséges ahhoz, hogy a címzett átvehesse a küldeményt. A csábítás nagy, és könnyen tapasztalhatjuk, hogy megkerülve éberségünket, két-három kattintás révén kicsaltak belőlük olyan információkat, amelyeket aztán valamilyen formában ellenünk fel tudnak használni. Például a bankszámlánk feletti rendelkezéshez szükséges adatok megszerzése az egyik leginkább direkt módja ennek.
Ezek az adathalász e-mailek egyre kifinomultabbak. Egyre jobb minőségű nyelvhasználattal készülnek, ismert vállalatok, intézmények arculati elemeit is egyre ügyesebben lopják a csalók. Hogyan lehet megkülönböztetni a valódi e-maileket az adathalász levelektől?

Egyáltalán nem véletlen, hogy a támadóink előszeretettel alkalmazzák ezt a módszert. Ennek oka a sikeressége, ez pedig sajnálatos módon szinte az emberi psziché mélységéig visszavezethető. A támadók arra játszanak rá, hogy kikapcsolják azokat a tudatos védekezési mechanizmusokat, amiket a megtámadott fél alkalmaz. Mondok erre példát: tipikus eszköz erre a sürgetés, ami bizonyos értelemben stresszhelyzetet hoz létre a megtámadottban, mert elhiteti vele, hogy az a nagyon vonzó dolog, amit megígértek neki, az nem fog sokáig rendelkezésre állni. Beszéltünk az értékeink védelméről, ezért amit meg tudunk tenni az értékeink védelmében, az az, hogy nem hagyjuk magunkat ilyen helyzetbe hozni. A támadók ugyanis nem csak kecsegtető ígéretekkel, hanem azzal is próbálkozhatnak, hogy veszteséget helyeznek kilátásba, ha elmulasztjuk megtenni azt, amire rávenni próbálnak minket, például adataink megadását. Ehhez például felhasználhatják egy családtagunk nevét is, noha persze ennek semmi alapja. De a phising módszernek pont ez a lényege, hogy bár alaptalan, de mégis ki tudja kapcsoltatni racionalitásunkat.

Mit lehet tenni az ellen, hogy elkerüljük ezeket a helyzeteket, ahol a racionalitásunk kiiktatásával próbálhatnak megvezetni bennünket a csalók?

Senkinél nincs ott a bölcsek köve a kérdéshez. Két dolgot tudok javasolni. Az egyik, hogy foglalkozzunk mindig a digitális biztonságunkkal. Nem elég egyszer meghallgatni például egy információbiztonsági oktatást a munkahelyünkön. A napi rutinunkba be kell épülnie azoknak a lépéseknek, amelyek megvédenek minket attól, hogy ilyen helyzetbe hozzanak minket a támadóink. A másik, hogy újra és újra foglalkozzunk kell az információbiztonsággal. Ne tekintsük úgy, hogy a digitális térben való biztonságunkat vagy alkalmazottaink biztonságát egy oktatással le lehet tudni, bár egyetlen kiberbiztonsági előadás is többet ér a semminél. 

A leginkább javasolható védekezés az, ami az emberi magatartásban gyökerezik, ám az emberi viselkedés megfelelő irányba történő módosítása időigényes feladat.

Többször, több irányból, több impulzus kell hozzá. S ez igaz a cégekre is, amelyek hétköznapi életébe ugyanúgy be kell építeni a helyes védelmi magatartásokat.
Mondana példát arra, hogyan lehet az emberi viselkedésből kiindulva hatékony digitális védekezést szervezni?

A digitális világban akkor tudunk megfelelő magatartásformákat kialakítani, ha azoknak megtaláljuk az előképeit, illetve analógiáit a nem digitális világban. A jó hír, hogy gyerekkorunktól kezdve kialakítunk számos egyszerű, szinte természetes védelmi mechanizmust, melyek jelentős része alkalmazható a digitális világban. Például minden gyerek tudja, hogy a lakáskulcsot nem tesszük a bejárati lábtörlő, vagy épp a virágcserép alá. Ennek analógiájára, a jelszavainkat se tároljuk olyan helyen, ahol fel tudnánk használni ellenünk a támadók. Ne rakjuk ki színes post-it-re számítógépünk képernyője mellé. Ne írjuk fel olyan helyre bankkártyánk PIN-kódját, ahol a támadó a védett dologgal, tehát a bankkártyával együtt tudja elérni. Ha ezeket a koncepciókat tudatosan végiggondoljuk, akkor sokat nyerhetünk azzal, hogy a digitális térben is alkalmazzuk a hagyományos térben megszokottak közül néhányat.
Túl a személyes, egyéni szintű kiberbiztonság kérdésein, szabályozási szakértőnként ön rálátással rendelkezik arra, hogy milyen feladatai vannak a jogalkotóknak, az intézményeknek ebben a kérdésben. Melyek a legfontosabb feladatok most a jogalkotói, intézményi oldalon a kiberbiztonság növelésében?
A digitális tér nagyon fontos lett, emiatt a jogalkotóknak is ráirányult a figyelme. Az Európai Unió jogalkotói figyelme is ráirányult már évekkel ezelőtt, Magyarországon pedig már tizenegy évvel ezelőtt is létezett olyan jogszabály, amely kifejezetten a kibervédelem megszilárdítását célozta, de a szabályozás jelenleg is az egyre szigorúbb irányba tart.
Az egyik fontos aktualitás, hogy egy nyolc évvel ezelőtti uniós irányelvet újrafogalmaztak, modernizáltak, és 2023-ban hatályba léptettek. Ez a NIS2, azaz a Network and Information Security Directive 2., magyarul Hálózat- és információbiztonsági irányelv 2. Ennek a magyarországi átültetése is megtörtént a szükséges jogszabályokkal. Az irányelv átültetése azt jelenti, hogy az egyes országok azonosítanak olyan gazdasági területeket, melyek alapvető fontosságúak az egyes országok működésének szempontjából. Ezek közé tartozhatnak ilyenformán a nagy ellátórendszerek, mint az egészségügy, a közlekedés, de akár a pénzügyi szektor is kormányzati és a magánszféra oldalán egyaránt. A pénzügyek biztonsága pedig nem csak a szektor egészét tekintve, hanem a legkisebb vállalakozások szintjén is kiemelkedően fontosnak kell hogy bizonyuljon.

Hasonló ez az azonosítási folyamat, mint az országok kritikus infrastruktúráinak azonosítása?
Igen, bár ezekkel korábban már foglalkoztak jogszabályok, így ezt a munkát csak folytatni kell. De ezek mellé most felsorakozott egy csomó olyan gazdasági terület, amelyek szintén nagyon fontosak, és ezekre is megfogalmaztak kifejezetten digitális védelmi intézkedéseket. Természetesen ezeket a gazdasági tevékenységeket, termelési folyamatokat fizikai értelemben is védeni kell, de most kifejezetten az ágazatok digitális komponensének a védelmére is megjelentek törvényben rögzített követelmények. Ezek alapján bizonyos céges kritériumok mentén Magyarországon is több ezer vállalkozást kötött, illetve köt jelenleg is bizonyos bejelentkezési határidő a jogszabályi előírásokkal összefüggésben a szabályozó hatóságnál. Ne gondoljuk azt, hogy az előírások csak nagyobb, jelentősebb piaci súlyú cégekre vonatkozhatnak, mert akár az is előfordulhat, hogy valamilyen kritérium alapján akár a saját, kis- és középvállalkozások körébe tartozó cégünket is meg kell feleltetni valamely szabályozói elvárásnak.

Az elvárt hatósági bejelentkezést pedig követik azok a biztonsági lépések, melyeket az érintett vállalkozásoknak meg kell tenniük kiberbiztonságuk növelése érdekében. 

Ön szerint mi lehet az a jogszabályi előírásokon túlmenően, ami egy szervezetet, egy céget abba az irányba terel, hogy elébe menjen a problémáknak, és tegyen saját informatikai biztonságának javításáért? S ha erre a lépésre rászánták magukat, akkor hol kaphatnak ehhez szakértői segítséget? 
Az egész kiberbiztonsági szabályozási hullám a „jobb félni mint megijedni” elven alapul. Ugyanis amíg csak tartunk valamitől, addig tudunk racionális döntéseket hozni, s tudjuk optimalizálni az informatikai biztonságunk érdekében hozott döntéseinket, amibe a priorizálás is beletartozik, hiszen túlzásokba sem kell esni. De amikor már esetleg támadás áldozataivá válunk, nehéz józan döntéseket hozni, sőt, aránytalanul drágák is lesznek ezek a döntések. Az persze nem egyszerű kérdés egy cég életében, hogy miért érdemes az erőforrásait a digitális biztonsága megteremtésére fordítani. 

Sokkal könnyebb viszont megválaszolni, ha a digitalizációra nem veszélyforrásként, hanem lehetőségként tekintenek a vezetők.

Elegendő csak azokra a gyakran hallott kifejezésekre tekinteni, mint a mesterséges intelligencia, vagy az adatelemzés. Hiszen tudjuk: az adatok értékesek, azok megfelelő kezelésével, elemzésével olyan rendszereket lehet létrehozni, amelyek komolyan hozzá tudnak járulni az adott szervezet sikeréhez. Egy gazdasági szervezetnél ez megnyilvánulhat a nagyobb nyereségben, vagy az alacsonyabb működési költségekben, egy kormányzati szervnél például a folyamatok jobb implementálásához. A mesterséges intelligencia pedig kifejezésként tűnjön már most bármennyire is túlhasználtnak, segíthet abban, hogy nagy gazdasági értéket nyerjünk ki adatainkból. 

Úgy gondolom, ez a válasz arra a kérdésre is, hogy miért kell egy kis pénzt, energiát beletenni a digitális rendszereinknek a védelmébe. 

Mert az érték az adatainkban ott van, még akkor is, ha ez egy látens érték. Erre viszont más is rájöhet, és lehet, hogy hamarabb, mint ahogy mi magunk tesszük ezt. Egy olyan támadó pedig, akinek nincsenek etikai vagy morális megfontolásai, el fogja venni vagy kompromittálni fogja azokat az adatokat, amelyekben nekünk nagy lehetőségeink voltak addig. Ezért van az, hogy egyes cégek már most, idén év végén nekifognak a saját területükön a mesterséges intelligencia alkalmazásának, amivel cégüket más növekedési pályára helyezhetik. Ha azonban mi még vállalkozásunkkal nem tartunk itt, akkor is érdemes némi erőforrást tenni abba, hogy rendben legyenek az adataink. Ennek pedig fontos eleme, hogy óvjuk meg azoktól, akik hamarabb jöttek rá adataink értékére, mint mi magunk.