Ha választani kell egy kibertámadás vagy egy bomba között, akkor minden informatikában jártas személy a bombát fogja választani – mondja Matuz Gábor kiberbiztonsági szakértő a Hypeandhypernek. Interjúnk a háború hatásairól, kibervédelemről, tanácsok cégeknek és átlagembereknek a kibervédelem területén.
Az orosz-ukrán háború a kiberteret is részben felpezsdítette, már az első hetekben voltak hacker támadások az orosz állami szervek, média, bankok ellen, a támadásokat pedig orosz részről is viszonozták. Egyes elemzők már az orosz-ukrán háború előtt arról értekeztek, hogy a kibertérben már régóta harcok dúlnak. Mennyiben változott a kibertér biztonsági környezete február 24-e óta?
Természetesen az állami szervek, a katonaság, a hírszerzés, vagy például az alapvető infrastruktúra szolgáltatók számára a háború komolyabb változást jelent. Legtöbbjük számára a változás a hackertámadások intenzitásában jelenik meg. A támadások jellegében és célpontjaiban nincs olyan jelentősebb átrendeződés, aminek gyakorlati hatása lenne. Életünk során minden pillanatban kockázatokról döntünk, alapvetően figyelembe véve a valószínűségeket, a kimenetelek eredményét és azt, hogy ezekre nekünk mennyi befolyásunk van. A jelenlegi helyzet olyan, mint a balatoni forgalom egy nyári pénteken. Ha fontos nekünk a biztonság, veszünk egy olyan autót, ami számunkra megnyugtató eredményt ért el a törésteszteken. Bekapcsoljuk a biztonsági övet induláskor, és a nagyobb forgalomra és a többi sofőr péntek délutáni lelkiállapotára való tekintettel hagyunk követési távolságot. Feltehetőleg megnőtt annak is a valószínűsége, hogy egy 10 tonnás kamion pont akkor szakítja át a szalagkorlátot, amikor mi arra vezetünk, de sajnos ezzel kapcsolatban sokat nem tudunk tenni. Pszichológiailag a kiberbiztonsággal kapcsolatos félelmek eltérnek az autóvezetéstől, de csak mert kevésbé megfoghatóak és nem szoktunk hozzá. A szembemenő sávba áttérő kamion kérdésének kezelése állami feladat. Az államnak vannak megfelelő erőforrásai és eszközei, hogy ennek a valószínűségét csökkentse, mondjuk erősebb szalagkorláttal vagy megfelelő szabályozással. Lesznek olyanok, akiknek ez a kockázat fontosabb annál, hogy teljesen az államra bízzák, de nekik ez aránytalanul sokba fog kerülni, és valljuk be, legtöbbünk nem ebbe a csoportba tartozik. A kamion, vagyis az orosz államnak dolgozó hackerek, és itt nagyjából el is értem a példám határait, minden bizonnyal változtatnak célpontjaikon az országok megváltozott sérülékenységének és saját stratégiai, politikai elgondolásuknak megfelelően. De hogy ez mit jelent pontosan, azt korai megmondani. Általánosan a háborúnak egyelőre meglepően kevés kiberbiztonsági vonatkozása volt. A háborút megelőzően szakmai berkekben erős konszenzus volt arról, hogy ez lesz az első hibrid háború, ahol a kibertér elem közel hasonlóan fontos lesz, mint a fizikai. Nem csak az információbiztonsági, hanem háborús elemzők számára is komoly meglepetés volt, hogy ez nem így történt. Még nincs egyértelmű magyarázat arra, hogy miért tévedtünk ekkorát. Talán az orosz szolgálatok nem tudták, hogy tényleg invázió készül, és nem volt idejük felkészülni, vagy az ukránok sokkal komolyabb nemzetközi támogatást kaptak e területen, mint azt bárki elképzelte, és az oroszok nem eszkalálták a konfliktust egyből Ukrajnán kívül. De az sem kizárt, hogy ez még változni fog és valószínű, hogy több dologról csak utólag fogunk értesülni. Röviden érdemes azzal számolni, hogy az intuícióink és gyakran a szakemberek is túl fogják becsülni a kockázatokat. A kiberbiztonságban gyakran arról beszélünk, hogy mi a lehető legrosszabb, mi történhet meg elviekben, és laikusokhoz csak a szenzációk jutnak el. A gyakorlati kérdés viszont a támadók számára az, hogy mit érdemes csinálni. Háborús példát hozva, ha mondjuk egy terület áramellátásának leállítása a cél, és lehet választani egy szoftveres megoldás vagy egy 500 kilogrammnyi robbanóanyaggal felszerelt cirkálórakéta között, a döntés nem lesz nehéz azok számára, akik már vettek részt bármikor is informatikai projektekben. A bombát fogják választani.
A magáncégeknek a jelenlegi biztonsági helyzetben milyen kihívásokkal kell megküzdeniük? Milyen kihívások voltak a háború előtt, amelyekre választ kellett találni?
Az, hogy főleg az intenzitás és nem a módszerek változtak, még nem azt jelenti, hogy a cégeknek nincsen semmi teendőjük. A támadások valószínűségének növekedésével számos cég számára, akiknél egy biztonsági beruházás megtérülése korábban bizonytalan volt, megváltozhat a kalkuláció. Február óta több ügyfelemnek is ajánlottam egyes tervezett beruházások előrehozatalát és további fejlesztések vizsgálatát. Praktikusan ez mit jelent? Ha alapvetően kis- és középvállalkozásokról beszélünk, és főleg hackertámadásokra és nem adatvédelemre szorítkozunk, a lista megnyugtatóan unalmas. A legfontosabb továbbra is a többfaktoros hitelesítés a beléptetésekhez, az automatikus operációs rendszer frissítések használata, főleg Windowst futtató gépek esetében. Továbbá, amennyiben valaki Windowst használ, mára elengedhetetlen a jó minőségű, friss antivírus használata. Amennyiben ezek közül bármelyik is hiányzik, érdemes mihamarabb pótolni. Nehezebb, de hasonlóan fontos feladat a biztonsági frissítések rendszeres telepítése. Ezen a területen azt szoktam ajánlani, hogy érdemes olyan szolgáltatásokat igénybe venni, ahol ez nem a mi feladatunk, hanem a szolgáltatóé. Például ne futtassunk saját e-mail szervert, inkább vegyük igénybe egy elismert cég szolgáltatásait. Ha egy alkalmazást mégis nekünk kell frissítenünk, érdemes arra figyelni, hogy olyan biztonsági frissítéseket, amiket aktívan kihasználnak a hackerek, órákon, de legkésőbb napokon belül frissítsünk, mivel az a tapasztalatom, hogy ezek még mindig problémát jelentenek a cégeknek. Tavaly a barátaimmal indítottunk egy nyílt forrású, ingyenes szolgáltatást, ami riaszt, amennyiben új sebezhetőség kihasználásáról érkezik információ. Véleményem szerint ez segít fókuszálni a frissítéssel kapcsolatos munkát, mivel egy évben több tízezer új sebezhetőséget jelentenek, de csak néhány száz kerül kihasználásra. Csak ha ezeket a higiéniai feladatokat megoldottuk, érdemes feltenni a kérdést: a mi esetünkben milyen specifikus kockázatok jöhetnek szóba?
A magánszféra kibervédelmét saját, az adott cégen belüli fejlesztők látják el vagy külsős megbízók? Melyik modell tudja hajtani az innovációt és időben választ találni a felmerülő kihívásokra?
A legtöbb cég számára a fenti listában lévő feladatok ellátásához nincs szükség külső segítségre. Sőt, a céges kultúra szempontjából is helyesebbnek tartom azt a megközelítést, amiben az alapvető kiberbiztonság minden munkatárs felelőssége. Ezzel együtt a terület és a technológia beható ismerete gyakran speciális tudást igényel, amit nem feltétlenül érdemes házon belül kiépíteni. A tanácsadók feladata a cégek segítése, hogy számukra a megfelelő biztonsági stratégiát alakítsák ki és az ebben foglalt célok eléréséhez megfelelő eszközöket és információt szolgáltassanak az alkalmazottaknak. Ezen felül a külső segítség adekvát lehet olyan specialista szolgáltatások esetén, mint a biztonsági monitorozás, vagy informatikai incidensek kezelése. A képlet némileg más innováció esetén, innovációs területeken nagyobb létjogosultságot látom a külsős cégeknek, mivel az irányok és így a stratégia is dinamikusan változik és fontos, hogy a cég a megoldandó egyedi problémára tudjon fókuszálni.
Mennyi plusz költséget jelent egy globális magánvállalatnak vagy banknak a rendszervédelem? Folyamatosan növekednek ezek a költségek vagy megfigyelhető valamilyen szintű optimalizáció?
Az elmúlt években folyamatosan nőtt a kiberbiztonsági piac mérete, ami gyakorlatilag megegyezik a cégek ilyen irányú költségeivel. Kérdés azonban, hogy mi ennek a megtérülése. Nehéz lenne az incidensek alapján jelentős javulást felmutatni a biztonságban és a költségek nemhogy csökkennek, valójában nőnek. Jó példa erre a zsaroló programokkal kapcsolatos esetek alakulása. Az elmúlt 2-3 évben a biztosítótársaságok folyamatosan szigorítják a kiberbiztosítások feltételeit, növelik az árakat és limitálják a kifizetéseket, mivel az egyes esetek költsége folyamatosan nő. Ha jól emlékszem, az előző évben ez az átlag elérte az esetenkénti 2,8 millió dollárt. Az érdekes az, hogy ebből a zsarolóknak kifizetett összeg átlagban nagyjából 300 ezer dollár. Még ha nem is tudnánk befolyásolni a támadások sűrűségét, nehéz nem a szakma felelősségét látni a költségmaradék jelentősebb részének növekedésében. Ez a rész kizárólag rajtunk múlik. Nem ez az egyetlen jel, ami arra mutat, hogy sok esetben nem megfelelő irányban haladunk. Hogy Ukrajnához kapcsolódóan egy példát említsek, nehéz, nehezen magyarázható, hogy amikor az egyik legszofisztikáltabb orosz hackercsapat hónapokat készülve megtámadott egy ukrán energiaszolgálatot, akkor sikerült a szolgáltatást nagyjából 6 óra alatt visszaállítaniuk, viszont egy nemzetközi szállítmányozási cégnek sokkal jelentősebb kiberbiztonsági büdzsé mellett a visszaállás egy nem célzott támadás esetén is több napot vett igénybe. Valami nincsen rendben. Ajánlom tehát minden döntéshozónak, hogy várjon el hasonló szigorúságú megtérülési vizsgálatokat a kiberbiztonsági beruházásoktól, mint bármilyen más befektetéstől.
Karriered során mik voltak a legnagyobb biztonsági kihívások és a legszürreálisabb történetek, amelyek megmutatják, hogy a hétköznapi technikai fejlődés ellenére milyen messze áll az átlag felhasználótól a kibertér?
A karrieremet betörési teszteléssel kezdtem. Abban az időben belefutottam egy-két cifrább esetbe, de az ügyfeleimre és a nagy mennyiségben aláírt titkosítási nyilatkozatokra tekintettel nem mennék részletekbe. Inkább azt emelném ki, hogy érdekes ellentmondásban él a legtöbb felhasználó. Olyan esetekben, mint a Pegazus-ügy, vagy az ukrán háború, gyakran kérdeznek, hogy mit tehetnek a biztonságuk esetében azok, akik egy hónapok óta nem frissített laptopon, egy egyszerűen kitalálható jelszóval léptek be az e-mail fiókjukba. Bár a kiberbiztonság tele van nagyon okos mérnökökkel, akik izgalmas támadásokat találnak ki, a legtöbb támadás továbbra is egy alapértelmezett, újrahasznált, kiadott jelszóval, felhasználó által lefuttatott rosszindulatú programmal kezdődik. Nem érdemes lebecsülni, hogy egy támadó mennyire számíthat az emberi kíváncsiságra, bizalomra és oda nem figyelésre. Szakmai szempontból érdekes és szerénységre tanító pillanat volt, amikor egy online kereskedelemmel foglalkozó céggel dolgoztam, ahol adathalászok eladói fiókokat törtek fel, hogy hozzájussanak az eladók számláján lévő pénzhez. A megoldás egyértelműnek tűnt, tegyünk egy megerősítési lépést a kifizetésekhez, az internetbankos átutalásokhoz hasonlóan és a probléma megoldva. Ehelyett a valóságban az történt, hogy a támadók továbbra is feltörtek eladói fiókokat, de ahelyett, hogy a pénzt vitték volna el, iPhone-kat kezdtek árulni rendkívül olcsón, és a vevőknek azt hazudták, hogy nem sikerült a kifizetésük az oldalon. Amennyiben szeretnék a félárú iPhone-jaikat, utalják át az összeget a számlájukra. Ez a támadás a cég számára a felháborodott vevők miatt nagyobb problémát jelentett, mintha csak néhány eladót kellett volna kártalanítani. Érdemes szkeptikusnak lenni, ha valakitől azt halljuk, hogy egy kiberbiztonsági problémára van egy egyszerű megoldása.
Az orosz-ukrán háború mentén sok önszerveződő csoport intézett hacker támadásokat Ukrajna támogatása miatt, ilyen a litván Elf csoport. Ezek részben illegális tevékenységek – hol húzódik a határ az etikus hacker tevékenység és az illegalitás között? Mennyiben változtat ezen a háború?
A rövid válasz az, hogy amit ezek a csoportok csinálnak, gyakorlatilag minden országban illegálisnak számít. Amennyiben valakinek nincs megfelelő meghatalmazása, és az egyszerűség kedvéért bármit csinál, ami negatívan hat informatikai rendszerekre, az illegális cselekményt követ el. Az már egy másik kérdés, hogy ki folytatná le ebben az esetben nyomozást és kiadnák-e az elkövetőket? Oroszország már Oroszország, az oroszok már a háború előtt is híresek voltak arról, hogy kiberbűnözőket soha nem adtak ki, és nyomozást is csak akkor indítottak, ha orosz cégeket támadtak. Hasonlóan nem tudok olyan esetről sem, amikor európai uniós vagy amerikai állampolgárt adtak volna ki Oroszországnak. Ez nem azt jelenti, hogy bárkinek javasolnám, hogy csatlakozzon ezekhez a csoportokhoz. Számos esetben a már említett orosz kiberbűnözőket európai uniós repülőtereken tartóztatták le, és nem valószínű, hogy bármelyikünk a következő években orosz szférába tartozó országba menne, nem feltétlenül értelmes több évre orosz börtönt kockáztatni. Főleg, hogy bőven vannak a kibervédelemre fókuszáló projektek, amikbe legálisan besegíthet, aki azt érzi, hogy ezen a területen szeretne, az szeretné az ukránok ügyét támogatni.
Matuz Gábor több mint egy évtizede dolgozik informatika biztonság területén. Pályáját etikus hackerként kezdte és az elmúlt években startupok és nagyvállalatok innovációs projektjeinek informatikai biztonságáért felelt. Specialitása az olyan kiberbiztonsági stratégiák kialakítása, amelyek a cég egyedi kockázatainak és lehetőségeinek megfelelőek, de nem korlátozzák indokolatlanul a fejlesztéshez szükséges dinamizmust. Ehhez kapcsolódva fő érdeklődési és kutatási területe a kockázatok és védelmi módszerek hatékonyságának mérése. Blogján rendszeresen ír mind stratégiai, mind pedig praktikus kérdésekről.
Grafika: Molnár Roland / Hypeandhyper