Miközben hatalmas tömegű és rohamosan növekvő mennyiségű személyes, üzleti és technikai adat érhető el online, a kiberbiztonság tekintetében figyelemre méltó jellemzőkkel - és eltérésekkel - találkozhatunk. A Comparitech hatvan országban végzett felmérése több kategóriában is hatalmas különbségeket tárt fel a rosszindulatú programok arányától kezdve a kiberbiztonsággal kapcsolatos jogszabályokig. Nincs olyan ország, amely az összes kategóriában jó osztályzatot érdemelne, mindenütt bőven van min javítani. Mindazonáltal vannak országok, amelyek bizonyos területeken jelentősen elmaradnak a többiektől, és vannak olyanok, amelyek jobb eredményeket mutatnak a többségnél.
A tanulmány - az említett tényeket szem előtt tartva - felállított egy kiberbiztonsági rangsort. A munka során, azonos súlyozással, hét szempontot vettek figyelembe. Ezek a következők:
- rosszindulatú programmal fertőzött mobileszközök százalékos aránya (2018);
- rosszindulatú programmal fertőzött számítógépek százalékos aránya (2018);
- anyagi kárt okozó rosszindulatú támadások száma (2018);
- telnet-támadások (módszer, amellyel azt érik el, hogy az emberek különféle kártevőket töltsenek le) százalékos aránya, származási ország szerint (2018);
- kriptovaluta-bányászok által indított támadások százalékos aránya (2018);
- a kibertámadásokra legjobban felkészült országok (Global Cybersecurity Index);
- a legkorszerűbb jogszabályokkal rendelkező országok (meglévő és tervezett jogszabályok).
Japántól Algériáig
A tanulmány szerint a világ legkevésbé kiberbiztonságos országa (az összesített lista 1. helyezettje) Algéria. Szintén fokozottan veszélyeztetett Indonézia, Vietnám, Tanzánia és Üzbegisztán.
Vannak országok, amelyek egyes kategóriákban nagyon rossz eredményt mutattak, a többi terület viszont javított globális helyezésükön. Németország például az élen áll az anyagi kárt okozó támadások terén (a felhasználók 3 százalékát érte ilyen jellegű incidens), a legtöbb telnet típusú támadást (az összes telnet-támadás 27,15 százalékát) pedig Kínából indították. Eközben az összesített (a legrosszabbtól a legjobbig terjedő) listán Németország a 44., Kína a 13. helyen szerepel.
A felmérés alapján megállapítható, hogy Japánban a legmagasabb fokú a kiberbiztonság. A távol-keleti szigetország a legtöbb kategóriában hihetetlenül alacsony értékeket mutatott, mindössze a kibertámadásokra való felkészültség és a jogszabályok terén kapott kicsit gyengébb minősítést. Az összesített élmezőnybe került még Franciaország, Kanada, Dánia és az Egyesült Államok. Jóllehet, Magyarország nem került be a legbiztonságosabb országok közé, 41. helyezésével az összesített lista harmadik, tehát legjobb harmadában szerepel.
Annak ellenére, hogy bizonyos országokban egyértelmű erősségek és gyengeségek tapasztalhatók, minden területen, mindenkinek van mit javítania. Akár a jogszabályi háttér, akár a számítógépek és mobileszközök védelmének erősítése a feladat, hosszú még az út az országok kiberbiztonságának megteremtéséig, állapítja meg a tanulmány. Ráadásul a kiberbiztonsági kép folyamatosan változik (például a kriptovaluta-bányászat terjedésének köszönhetően), az országoknak meg kell tehát próbálniuk egy lépéssel a kiberbűnözők elé kerülni.
Óvatosan a listás helyekkel!
Önmagában az okozott károk szerint felállított ranglistában elfoglalt helyezésből nem tanácsos messzemenő következtetéseket levonni egy ország kiberbiztonsági felkészültségi fokára. Elképzelhető ugyanis, hogy ugyanazzal a technikával elkövetett rosszindulatú támadással Németországban nagyobb anyagi károkat lehet okozni, mint például Magyarországon - hívja fel a figyelmet Hornák Zoltán, a SCADEMY Secure Coding Academy Kft. alapítója. A károk mértéke ugyanis nagyobb mértékben függhet a környezettől, mint a kibertámadások elleni védekezéstől.
Bencsáth Boldizsár egyetemi adjunktus, a BME CrySyS Lab munkatársa szerint nehéz megítélni, hogy egy százmillió forintos lopást eredményező egyszerű vezérigazgatói átverés (CEO scam) nagyobb gondot jelent-e, mint például a tömeges DoS-támadások vagy a botnetek. Vagy vegyük például a bankrendszert! Ha a magyar banki rendszerek kétlépcsős hitelesítése (2 Factor Authentication - 2FA) miatt, hiába fertőzött egy gép, ritka a pénzlopás, akkor lehet, hogy nálunk jobb a helyzet, mint egy olyan országban, ahol ugyan kisebb a fertőzöttség, de nincs 2FA, és így több pénzt sikerül ellopni. Nem lehet tehát egyértelműen kijelenteni, hogy a fertőzöttség százaléka az irányadó.
Kicsik a veszélyzónában
A hazai kis- és középvállalkozások jellemzően nincsenek megfelelően felkészülve a kibertámadásokra. Túl kicsik ahhoz, hogy az alapvető vírusirtón és tűzfalvédelmen kívül igazán hatékony biztonsági rendszert építsenek ki. Inkább vállalják a kockázatot, és abban reménykednek, hogy kis méretükből fakadóan nem keltik fel a támadók érdeklődését, és megússzák a bajt. Megoldást jelenthet számukra, ha jól bevált szoftvereket vásárolnak, amelyek eleve rendelkeznek valamiféle védelemmel.
A CrySys Lab sok megkeresést kap például zsarolóprogramokkal végrehajtott támadások után. Az is előfordul, hogy az érintett cégekben csak a támadás után tudatosul, hogy mentésük sincs.
Hornák Zoltán szerint elgondolkoztató a szoftverfejlesztéssel foglalkozó vállalkozások hagyományos gyakorlata. A termékfejlesztés kezdetén a cégek tipikusan azt a fő célt tűzik ki, hogy minél gyorsabban kerüljenek piacra, termékeik minél előbb teljesítsék a funkcionális követelményeket. Emellett alig marad figyelmük és erőforrásuk arra, hogy a biztonsággal törődjenek. - A fejlesztő cégek jelentős része sajnos úgy készíti el termékét, hogy minimalizálja a biztonsági követelményeket. Először megnézi, piacképes-e a termék, és ha kedvező a fogadtatás, utólag teszi hozzá a rendszerhez a biztonsági elemeket. Utólag biztonságot adni egy rendszerhez pedig jóval nehezebb, mint eleve biztonságosra készíteni egy terméket - mutat rá az IT-biztonsági szakértő.
A szoftverfejlesztő felelőssége
Ha a sikeres támadások okainak mélyére nézünk, kimondható, hogy a hackerek a szoftverfejlesztők által hagyott biztonsági réseket használják ki. Ideális esetben tehát úgy lehetne a legjobban kiküszöbölni a támadásokat, ha minden programozó áttérne a biztonságos fejlesztésre.
- A gond az, hogy a károk általában a végfelhasználóknál keletkeznek, nem pedig a fejlesztőknél. Emiatt néha egészen olcsó eszközök okoznak komoly károkat. Ha például az internetre kötött webkamerák könnyen feltörhetők, akkor ezek - nagy számosságuk miatt - remek kiindulópontjai lehetnek, mondjuk, egy bénításos támadásnak. Olcsó webkamerákról lévén szó, a fejlesztőknek nincs elegendő anyagi erőforrásuk, hogy biztonságossá tegyék eszközeiket.
A végfelhasználóknak pedig sokszor nem is érdekük kifejezetten biztonságos eszközt vásárolni, hiszen kit érdekelne, hogy a kertjét megfigyelő webkamera képét illetéktelen is láthatja-e vagy sem. A kamerák képének manipulációja pedig egyedül biztonsági kamerák esetén lényeges, más területeken egyszerűen nem valós veszély. Elviekben nagyon komoly kár keletkezhet belőle, mégsem életszerű, hogy valaki feltör, mondjuk, egy interneten továbbított képet, ami alapján az orvos tanácsot adhat egy sérülés ellátására.
Ezek az anomáliák vezettek oda, hogy ma rengeteg kevéssé biztonságos eszköz csatlakozik az internetre, hiszen az eszközöket használók egyéni kockázata kicsi, miközben az össztársadalmi veszély borzasztóan nagy - fogalmaz Hornák Zoltán.
Noha a szoftverek minőségi jellemzőiről egyértelműen tudunk beszélni, egy jó és egy rossz minőségű program, vagy egy magasabb és alacsonyabb biztonsági szintű eszköz között, kis túlzással, ránézésre látszik a különbség, azonban, hogy a gyakorlatban melyik rendszert hányan támadják, megint csak nagymértékben függ a felhasználás területétől, valamint a felhasználók számától. Ha valaki saját maga ír gyenge minőségű programot például otthoni ingóságai nyilvántartására, amit saját gépén futtat, akkor azt nagy valószínűséggel senkinek sem jut eszébe feltörni. Ha azonban egy céges hálózat több ezer gépén futó, érzékeny üzleti adatokat tartalmazó szoftverről van szó, az már felkeltheti a hackerek érdeklődését. A feladat mindig az - mutat rá a biztonsági szakértő -, hogy a veszély mértékét, az okozható károkat figyelembe véve határozzák meg a szoftverfejlesztő által megvalósítandó biztonsági szintet.
KAMU ZSAROLÓLEVELEK
A CrySyS Lab tapasztalatai szerint az utóbbi időben jelentősen csökkent a böngészőhibák kihasználása. Csúcsokat dönt viszont a kiszivárogtatott jelszavak alapján küldött kamu zsarolólevelek száma ("az ön jelszava ez és ez. Rajtakaptuk pornóvideó nézésén. Ha nem akarja, hogy ez nyilvánosságra kerüljön, fizessen bitcoinban ennyit meg ennyit."). Az ilyen típusú támadások még elég ismeretlenek a felhasználók előtt, és így sokszor valós veszélyt látnak bennük.
