Az elmúlt heteket meghatározó orosz-ukrán konfliktus nemcsak a klasszikus hadszíntereken zajlik, hiszen hetek óta komoly offenzívák (túlterheléses támadások, információs műveletek, zsarolóvírus támadások stb.) érik az ukrán létfontosságú és állami rendszereket (minisztériumi weboldalakat, a rendvédelmi szervek oldalait, vagy épp pénzintézetek weboldalait és szolgáltatásait lehetetlenítik el).
De mit is látunk Ukrajnában, a nemzetközi színtereken és hazánkban? Mik ennek a magyarországi következményei? Az ukrán - és az őket támogató - IT szakemberek képesek visszaverni a támadásokat, vagy egyértelműnek tűnik a nemzetközi háború kimenetele? Egyáltalán mikortól beszélhetünk a jelen helyzetben kiberháborúról, és mik voltak az előzményei?
Többek között ezekről is szó esett a biztributor szervezésében, szerda délelőtt megvalósult online szakmai beszélgetésen, ahol dr. Krasznay Csaba, a Nemzetközi Közszolgálati Egyetem Kiberbiztonsági Kutatóintézetének vezetője, Nemes Dániel, a biztributor elnökeként a Mandiant, a Trellix I FireEye és a Bitdefender hazai képviselője, valamint Balogh Turul, a Computerworld külső szakértője és egyben az ITBN szakmai szervezője diskurált egymással, illetve válaszolt a felmerült kérdésekre.
Balogh Turul rögtön a beszélgetés elején elmondta, hogy fontos tanulni a kialakult kiberhelyzetből, hiszen az előjeleit már több éve láthattuk a kibertérben. Jelenleg már nincs idő arra, hogy napokig, órákig elemezzünk egy-egy incidenst, támadást vagy csalási formulát, most ennél jóval gyorsabban történnek az események, így a szervezeteknek és a felhasználóknak is sokkal gyorsabban kell alkalmazkodniuk. A hatalmas információs zajban nehéz kiigazodni.
Elhangzott, hogy a rendelkezésre álló kibereszközöket a támadó felek korábban már kipróbálták, így az offenzívák elleni védekezést az ukránok sikerrel megoldották, legalábbis eddig. Sok szempontból nem történt más, mint amire eddig számítani lehetett: információs hadviselés csúcsrajáratása, túlterheléses és honlaprongálásos támadások, de az igazi, mindent átütő és áttörő kiberattack - szerencsére - eddig még nem történt meg. Ezért nem számolhattunk eddig be Ukrajna, vagy épp a nyugati világ nagy informatikai rendszereit érintő összeomlásokról.
Újdonságként inkább az hathat, hogy a védekező fél a vártnál ügyesebben használja az információs kampányait, illetve mindemellett hősiesen védi informatikai rendszereit is. Még akkor is igaz ez, hogyha a támadó félhez köthető újfajta adattörlő (wiper) kártevők rendszeresen visszatérő elemei a de struktív támadásoknak, bár ezen eszközök bevetése során sem sikerült még az átütő károkozás. Az említett kártevőket a kiberbiztonsági cégek viszonylag hamar felfedezték és gyorsan elvégezték a vonatkozó káros kód elemzéseket, amelyeket aztán publikáltak is. Ilyen értékes információkat hozott nyilvánosságra - többek között - a Trellix I FireEye és a Mandiant is. Nemes Dániel megjegyezte, hogy az oroszok jelenlegi kiberhadviselése még így is eredményesebbnek tekinthető, mint a hagyományos fegyvernemeket bevető támadásaik.
Miután Ukrajna segítséget kért az Európai Uniótól, hogy megvédje informatikai rendszereit, nem tétlenkedett tovább, hiszen különféle online csatornákon kvázi kiberhadsereg toborzásába vágott. Talán ennek is köszönhetően, a kibertérben megjelentek olyan hacker kollektívák, akik felbukkanására nem feltétlenül számíthattunk. Az ő segítségükkel Ukrajna jelentősen megnövelte kiberképességeit, persze itt már akár keveredhet is a fehér és a szürke zónában dolgozó IT-szakértők és hackerek szerepe, ami további jogi és egyéb kérdéseket is felvethet a későbbiekben.
Bár fontos kiegészítésként, dr. Krasznay Csaba megjegyezte, hogy korábban készített egy kutatást, ami azt az eredményt hozta, hogy ha bármilyen komolyabb konfliktus - akár fegyveres - alakul ki, akkor bízhatunk a hackerek segítségében. Meglepetésként hathat, hogy az orosz informatikai rendszerek olykor viszonylag gyorsan estek el, köztük rendvédelmi szervekhez és államigazgatáshoz kapcsolódó rendszerek, weboldalak, és fontos megemlíteni az adatszivárgásokat is. Elhangzott, hogy gyakorlatilag nincs az orosz államigazgatásnak, pénzügyi szektornak, rendvédelemnek olyan szelete, ahol ne történt volna valamilyen durva incidens. Ugyanakkor a szakértők szerint fontos kihangsúlyozni, hogy az oroszok és a hozzájuk köthető hackercsoportok nem mutatták még be teljes kiberarzenáljukat, így a közeljövőben akár valamilyen nagyobb volumenű támadásra is számítani lehet, amelyek célpontjai - Ukrajna mellett - valamelyik NATO vagy EU tagállam, esetleg az USA informatikai rendszerei lehetnek. A kiberhírszerzéssel foglalkozó Mandiant legfrissebb tanulmányában is erre hívja fel a figyelmet.
1. sz. ábra: Az orosz kiberműveletek által fokozottan veszélyeztetett ágazatok
A biztributor vezetője kiemelte, hogy egy a jelenlegi geopolitikai krízishelyzethez hasonló szituációban - illetve jelenleg is - felértékelődnek a megfelelő kiberbiztonsági megoldások és azok használata, így az a szervezet, intézmény kifejezetten előnybe kerülhet, aki olyan szolgáltatásokat használ, mint amelyeket a Mandiant is kínál. A szektorra lebontott fenyegetettségi elemzésük, vagy éppen káros kód leírásaik, egyes hackercsoportokról készített jelentéseik, vagy az igényekhez igazított kiberhírszerzési információk kulcsfontosságúak lehetnek a proaktív védelem kialakításában.
Nemes Dániel elmondta, hogy a dezinformációs kampány és hadviselés nagyon fontos eleme a jelenlegi háborús helyzetnek, hiszen ezen információk, fotók és videók segítségével manipulálni lehet a közvéleményt. Fontos még az a tevékenység, amikor a támadók beépülnek egy-egy kollektívába, vagy kulcsfontosságú rendszereket üzemeltető csoportokba, ahol akár hónapokon, éveken keresztül semmit nem csinálnak, majd amikor jelet kapnak, megindítják a támadást. Ebből is jól látszik, hogy az események előkészítése akár évekkel ezelőtt is megtörténhetett, és ez bármelyik infrastruktúrát érintheti, akár Magyarországon is.
Az NKE intézetvezetője szerint azonban ezek a hackercsoportok hírszerző szolgálatokkal állnak kapcsolatban, vagy akár egy-egy titkosszolgálat által beépített tagokkal is bírhatnak, ami a kollektívák egészére is hatással lehet. Ebben az esetben gyakorlatilag már irányított, proxy műveletekről beszélhetünk, ellenőrzéssel a fejük felett. Így azt is jelentheti, hogy a hackerek nincsenek "szabadjára engedve", tevékenységük - bizonyos szintig legalábbis - kontrollált.
dr. Krasznay Csaba a korábbiak megerősítéseként még elmondta, hogy orosz részről - minden valószínűség szerint - várható még meglepetés a kibertérben, ami akár komoly fejtörést is okozhat a védekezésre kényszerülő felek esetén. Kiemelte, hogy a kibertérben zajló események eddig valóban nem okoztak nagy meglepetést, hiszen az orosz hibrid hadviselés elmúlt nyolc évében már az összes jelenleg bevetett fegyvert felvonultatták, talán ennek is köszönhető a sikeres védekezés.
Krasznay azzal folytatta, hogy a jelenlegi információs műveletek egyik legfontosabb eleme az a dezinformációs kampány, amit a támadó fél alkalmaz, de fontos kihangsúlyozni, hogy ezen a területen (is) kifejezetten jól teljesítenek az ukránok, hiszen nagyon jól használják a közösségi média és a kibertér lehetőségeit. Balogh Turul, az esemény moderátoraként a beszélgetés végén arra volt kíváncsi, hogy Magyarországnak, NATO tagként, adott esetben szerepet kell-e vállalnia a mostani kiberháborúban, esetleg van-e erre vonatkozó előirányzat.
A választ dr. Krasznay adta meg, aki elmondta, hogy minden tagállamnak a képességei szerint kell részt vennie egy-egy ilyen szituációban. Magyarországon deklaráltan három műveleti térben zajlik képességépítés: földön, levegőben és kibertérben. Ez azt jelenti, hogy Magyarországon a nemzeti biztonsági stratégia mondja ki, hogy hazánkban van olyan kiberműveleti képességfejlesztés, ami mind a magyar katonai műveletek része, mind pedig a NATO számára elérhető műveleti képességeket jelenti. A magyar részvétel a NATO-ban pedig évek óta jelentős, hiszen a magyar katonák 2010-től magas pozíciókat töltenek be a kiberműveletek területén.
