Mivel foglalkozik a Nemzeti Kibervédelmi Intézet?
A Kibervédelmi Intézet mostani formájában tavaly októberben jött létre, az információbiztonsági feladatok előtte különböző szervezeteknél voltak szétszórva. A szervezet alapvetően három feladatot lát el. Az első a biztonsági incidensek kezelése és kivizsgálása, majd megoldási javaslatok megfogalmazása. A második egyfajta hatósági tevékenység: a kollégák biztonsági auditot végeznek a kormányzati szerveknél és a számukra adatkezelést végző egyéb szervezeteknél, megnézik, hogy az adott rendszerek megfelelnek-e a jogszabályi követelményeknek.
A harmadik nagy területet tanácsadói feladatnak nevezhetjük, illetve itt kapott helyet az úgynevezett „etikus hacker” tevékenység is. Van egy olyan kis csapat, amely
megpróbál biztonsági rendszerekbe behatolni, sérülékenységeket feltárni.
Az eredményeiket később prezentálják a megrendelő számára, így azok kijavíthatják a problémákat.
Milyen trendeket figyelhetünk meg a kiberbűnözés és a kibervédelem területén?
Alapvetően ugyanaz történik nálunk is, mint a világban: a problémák három nagy csoportba sorolhatóak. Az egyik a hacktivizmus: idetartoznak az olyan alacsony kockázati szintű problémák, mint például a honlapok megrongálása. Tavaly ebből volt nagyon sok, amiben a migrációs válság miatt aktív és az Iszlám Államot támogató hacktivisták online jelenléte játszott szerepet. Ezek könnyen feltörhető weblapokat keresnek, és ott helyezik el az üzeneteiket. Ebben a körben azért beszélhetünk alacsony kockázatról, mert csak a propaganda terjesztése a cél. Számosságát tekintve az ilyen cselekményekből van a legtöbb, de jelentős biztonsági kockázatot nem jelentenek.
A második kör már komolyabb, itt a háttérben általában valamilyen bűncselekmény elkövetésének motivációja áll. Például bankok sokszor keresnek minket azzal, hogy segítsünk nekik adathalász oldalak letiltásában. Ez nagyon fontos, ezért a bankoknak – bár nem ügyfeleink – mégis segítünk, hiszen nekünk a bejáratott nemzetközi kapcsolatrendszerünkön keresztül lehetőségünk van a nagy adathalász oldalak gyors lelövetésére vagy a böngészőkben a kártékony oldalak megjelöltetésére.
A harmadik és talán legfontosabb feladatunk a kémtevékenységek megelőzése és felderítése. Ezek jellemzően kifinomult támadások, nagyon fejlett ártókódokat használnak azért, hogy adatokat szippantsanak le a különböző rendszerekből.
Az ilyen támadások mögött jellemzően nagyhatalmak állnak,
akik képesek egy hackercsoport működéséhez szükséges pénzt és egyéb erőforrást biztosítani. Ilyen jellegű támadásból van a legkevesebb, de itt csak azokról tudunk beszélni, amelyeket észlelünk – ezek felderítése ugyanis még a legfejlettebb kibervédelemmel rendelkező országokban is nagy kihívás.
A magyarországi kiberbiztonság szintjét hogyan értékelhetjük?
Alapvetően azt mondhatjuk, hogy kiberbiztonsági tekintetben Magyarország élen jár a jogszabályok és az intézmények minősége szempontjából. Az Egyesült Királyságban vagy a környező országokban például még csak most csinálnak a miénkhez hasonló szervezeteket.
Technikai fejlettségben közel vagyunk az élvonalhoz, de ez további ráfordítással természetesen javítható. A legtöbb előrelépési lehetőség a humánellátottságban van még. Nagy az elmaradás a biztonságtudatosság szintjében, kevés a szakértő, keveset fordítunk az oktatásban erre a területre. Az egyetemeken, például a Közszolgálati Egyetemen, elindultak ilyen képzések, erre azonban még többet kellene áldozni.
Abban, hogy nehezen találnak megfelelő szakembereket, mekkora szerepe van annak, hogy az üzleti szférában jobban megfizetik a tudásukat?
Szerencsére ez már nem minden esetben igaz, a közigazgatás bérszínvonala lassan közelít a piaci bérekhez. A toborzás során ráadásul úgy tapasztaljuk, hogy az információbiztonsági szakemberek gondolkodásában első helyen nem a pénz áll. Ennél fontosabb, hogy érdekes-e a munka, amit csinálnak, és hogy mennyire „menő” az a cég, ahol dolgoznak.
A rendszerek legális feltörése pedig elég érdekes munka, különösen, ha ezért rendszeres fizetést is kap valaki.
Főleg ha azt is figyelembe vesszük, hogy Magyarországon nem sok helyen lehet legálisan hackertevékenységet végezni.
Említette, hogy a Kibervédelmi Intézet legfontosabb feladata a kémtevékenységek megelőzése. Kitől kell a leginkább félnünk?
Én ezt úgy szoktam mondani, hogy osztjuk a környezetünkben lévő államok sorsát. Amikor azt látjuk, hogy egy NATO-tag ellen végeznek valamilyen adatszerzési tevékenységet, akkor ugyanezt tapasztaljuk más államokban, és nálunk is. Ugyanis az ilyen támadások nem kifejezetten egy ország, hanem szövetségi rendszerek ellen irányulnak.
Az biztos, hogy minden nagyhatalom fejleszti a hírszerző kapacitásait – ez teljesen normális, így volt korábban, így van most, és valószínűleg a jövőben is így lesz.
Ezzel együtt kell élnünk. Amit tehetünk, hogy erősítjük a védelmi képességeinket.
A kommunikáció titkosításának trendje mennyiben befolyásolja az önök munkáját?
A titkosítás csak hírszerzési szempontból okoz problémát, biztonsági szempontból üdvözlendő fejlemény: minél több user használ ilyen megoldásokat, annál jobb. Ha megnézzük a magyar jogszabályokat, a titkosított kommunikáció ott is követelményként van előírva. Ebben nem látok semmi újdonságot, ez a trend csak erősödni fog azzal, hogy a gazdasági szereplők egyre jobban odafigyelnek a biztonságra.
Februárban derült ki, hogy a bankok közötti átutalási rendszer manipulálásával 81 millió dollárt „loptak” a bangladesi jegybankból. Mennyire vagyunk felkészülve az ilyen veszélyek kezelésére?
A pénzügyi rendszereink nagyon kitettek,
hiszen sok bűnözői csoportot motivál a megszerezhető rengeteg pénz. Jelen pillanatban azonban a pénzügyi szférában nincs dedikált biztonsági elvárás törvényi szinten. Viszont a hamarosan életbe lépő, hálózatbiztonsági kérdésekkel foglalkozó új EU-s irányelv külön említi a banki szektort is. Eszerint az államoknak előírásokat kell megfogalmazniuk annak érdekében, hogy a pénzügyi szolgáltatások információbiztonságának szintjét növeljék. Ebből a sorból Magyarország sem fog kilógni, mint ahogy más állam sem – ez a következő egy-két év feladata lesz.
Mennyire kell félnünk egy, a kritikus infrastruktúrák ellen indított támadás miatt?
A kritikus infrastruktúra – például az elektromos hálózat vagy az erőművek védelme – elég új irány. Nálunk jogszabály szerint az országos Katasztrófavédelmi Főigazgatóság foglalkozik ezzel a feladattal – kiberbiztonsági szempontból is. Ők működtetik a kritikus infrastruktúrák védelméért felelős számítógépes incidenskezelési csoportot.
Az USA-ban, ha lehet, még komolyabban veszik ezt a kérdést, ott már a kritikus infrastruktúrákat üzemeltető cégeket is megnyerték a kibervédelem ügyének. Európában ez még kicsit gyerekcipőben jár.
A cégeknek nem elemi érdekük, hogy ebben a kormányok partnerei legyenek?
A biztonságra áldozni kell. Mégis, ha valaki azt mondja egy cégvezetőnek: egy bizonyos összeg ráfordításával biztonságosabb lehet a rendszered, akkor a cégvezető azt fogja gondolni, hogy abból az összegből növelhetné inkább a versenyképességét.
Ezen a területen paradigmaváltás kell azért, hogy a biztonságra költött pénzeket befektetésnek tekintsük, és ne költségnek.
Mert ha így értelmezzük, az rögtön más hozzáállást igényel, mint ha csak szimpla kiadásként nézünk rá. Ezen kell dolgozni, ezért kell a biztonságtudatossági programjainkat szervezni.