„A kérdés csak az, hogy egy kormány ezeknek [a támadásoknak] ellenáll-e és fenntartja a szuverén politikáját, vagy nem. Mi ellenállunk minden beavatkozási kísérletnek függetlenül attól, hogy az milyen formában valósul meg, és fenntartjuk a szuverén politikánkat, és csak és kizárólag a nemzeti érdekek alapján cselekszünk. És itt vannak szakemberek a minisztériumban is, meg vannak szakemberek a kormányzat erre szakosodott részlegeiben is, akiknek az a dolguk, hogy az ilyen típusú biztonságunkat fenntartsák, és hogy ha azt a biztonságunkat kihívás éri, akkor a szükséges lépéseket megtegyék.”
Ezt mondta Szijjártó Péter külügyminiszter egy sajtótájékoztatón az előző cikkünk megjelenésének másnapján. Abban a cikkben belső dokumentumokkal bizonyítottuk, hogy a minisztérium és más kormánypárti politikusok nem mondtak igazat, amikor két éve kampányhazugságnak nevezték az orosz titkosszolgálatok a KKM ellen elkövetett hekkertámadásairól szóló Direkt36 cikket. Ez a cikk azoknak a szakembereknek a munkájáról szól, akikről Szijjártó beszélt és arról, mi lett ezekkel a bizonyos „szükséges lépésekkel”.
Ahogy megírtuk, amikor két éve kampányhazugságnak nevezték kormánypárti politikusok és a külügyminisztérium a KKM-et ért orosz titkosszolgálati támadásokat feltáró Direkt36-cikket, egyszerűen nem mondtak igazat. A Nemzetbiztonsági Szakszolgálat akkori főigazgatója, Szabó Hedvig maga tájékoztatta 2021 szeptemberében Vargha Tamást, a polgári hírszerzésért felelős államtitkárt arról, hogy Oroszország katonai és polgári titkosszolgálatai, a GRU, az FSZB és az SZVR áll az azt megelőző hónapokban történt támadások mögött. Ezek a behatolások többször is sikeresek voltak: az orosz állami hekkerek hozzáférhettek a magyar diplomácia teljes informatikai hálózatához.
„A KKM rendszereinek kiszolgálását biztosító, a felhasználók azonosítását és jogosultságkezelését végző Címtár szolgáltatás, a levelező szolgáltatás, a fájlkiszolgáló szolgáltatás, a felhasználó munkaállomások egy pontosan nem meghatározott része kompromittálódott, beleértve a legmagasabb jogosultságú adminisztrátori fiókokat. A teljes érintettség okán több mint 4000 munkaállomás és 930-nál több szerver vált megbízhatatlanná”– írja Szabó a jelentésben. A levele végén felsorol tizenöt, „viszonylag gyors, rövidtávon meghozható” technikai intézkedést, amelyek biztonságosabbá tennék a rendszert.
Majd azt is írja, hogy hosszú távon további intézkedésekre van szükség. Ezért rendelte el a külügy vezetése 2021 novemberében egy munkacsoport felállítását, amely a következő szervezetek kibervédelemmel foglalkozó szakértőiből állt:
Vagyis több magyar titkosszolgálat együttes szakértelmét vették igénybe a terv kidolgozásához. Ez azt is jelenti, hogy 2022-ben a Direkt 36 cikk megjelenése után a külügy úgy nevezte kampányhazugságnak a történetet, hogy addig már ők maguk rendelték el egy munkacsoport felállítását a témában.
A szakértő csoport tagjai magukat „Kiber Munkacsoportnak” hívták, és kevesebb mint egy hónap alatt, 2021 decemberére letettek az asztalra egy részletes tervet a külügy informatikai rendszerének megújítására. Ennek az elején leszögezik, hogy a rendszer olyan mértékben kompromittálódott, hogy azt teljes mértékben megtisztítani már nem lehet. A hálózatot addigra többször is feltörték az orosz állam hekkerei, és onnan nemzetbiztonsági szempontból felbecsülhetetlen értékű adatot lophattak el. A „Kiber Munkacsoport” által felvázolt új, modern hálózat biztosíthatná, hogy napjaink legfejlettebb, a lehetőségekhez képest legbiztonságosabb technológiája szolgálja ki a külügyminisztériumot.
Az általuk elkészített megújítási koncepcióban sorra veszik, mi vezetett oda, hogy a külügy informatikai rendszerében súlyos károkat tudtak okozni az orosz titkosszolgálati támadások. Technikai szempontból arra jutottak, hogy a rendszer elemei elavultak mind a gépek, mind a szoftverek szempontjából. Azt is megjegyzik, hogy hiányoznak alapvető védelmi eszközök az informatikai rendszerből.
Humánerőforrás szempontjából még érdekesebb következtetésekre jutottak. Az IT munkakörben dolgozó munkatársak alacsony létszámára és azok jelentős alulfinanszírozására is hivatkoznak olyan okként, amely közrejátszhatott abban, hogy az orosz titkosszolgálatok bejáratosak lettek a magyar külügy rendszerébe. A dokumentumba bekerült az is, hogy a biztonság fokozására kapott forrásokat sok esetben más célokra fordították.
A megújulási koncepcióban annak költségét is felvázolták, azzal a kiegészítéssel, hogy a jövőben a technikai eszközök áremelkedése befolyásolhatja azt. Az új rendszer kiépítése 30,5 milliárd forintba kerülne, és évi 2,8 milliárd forintot kellene fordítani a fenntartására a 2021-es árak szerint.
A jelentés szerzői tehát pontosan leírták, milyen biztonsági intézkedéseket tartanak szükségesnek ilyen támadások után. A jelek viszont arra mutatnak, hogy ezek a fejlesztések az általuk javasolt formában nem valósultak meg. A magyar diplomácia ugyanazt a hálózatot használja, amelyről leírták, hogy nem lehet megtisztítani a támadások után.Egy ilyen átállásnak kívülről egyértelműen látható jelei lennének. Az új rendszer felállítása két módon valósulhatna meg. Vagy a hálózat – így a diplomácia kívülről elérhető honlapjainak – kéthetes teljes leállásával, vagy azzal, hogy a külügy címeit átköltöztetik egy másik címre a most használatos .mfa.gov.hu utótaggal üzemelő oldalakról. Leállás nem volt, a külügy domainje pedig a mai napig ugyanez. Forrásaink egybehangzó beszámolója szerint olyan mértékű biztonsági fejlesztések, mint amilyeneket egy ilyen méretű támadás után indokolt lett volna megvalósítani, nem történtek. Szijjártó Péter ugyanakkor kérdésünkre azt mondta, az „erre hatáskörrel és képességgel rendelkező szervezetek” megtették a szükséges intézkedéseket.
Az átfogó megújítási terven kívül a Szabó Hedvig által korábban javasolt, „rövidtávon meghozható” intézkedések közül bizonyosan nem valósult meg mind. Forrásaink elmondták, hogy béreltek ugyan két levelezésbiztonsági programot is, amelyek a Scriptamenthez, a külügy által használt és az oroszok által feltört ügyiratkezelési rendszerhez hasonló programok védelmére szolgál, de a bérleti időszak lejárta után nem tudták tovább használni ezeket.
A két- vagy többfaktoros hitelesítés pedig máig nem általánosan elterjedt gyakorlat a külügyminisztériumban, amire Szijjártó Péter válasza is utal. „Nem tudom” – felelte múlt hétfőn a miniszter, amikor azt kérdeztük, kötelező gyakorlat-e a külügyben.
A Külgazdasági és Külügyminisztérium informatikai hálózatának súlyos sebezhetősége, és az, hogy a mai napig érzékeny adatok szivároghatnak onnan, bárki számára online elérhető adatokból is kiderül.
Léteznek olyan adatbázisok, amelyekben a nyílt- és a darkwebre különböző módokon kiszivárgott dokumentumokban lehet kereséseket folytatni.
Az általunk felkeresett adatbázisban 822 email címet találtunk, amely a magyar Külgazdasági és Külügyminisztériumhoz köthető. Ez azt jelenti, hogy mindegyikről szivárgott ki valamilyen érzékeny adat az utóbbi években, legyen az egyedi IP cím, levél, bizalmas dokumentum, vagy épp felhasználónév-jelszó páros.
Az adatbázis 1001 darab olyan dokumentumot tart nyilván, amely 2023 és 2024 folyamán került ki a nyílt internetre. Ezek között egyelőre 64 darab külügyes emailcímhez tartozó jelszót számoltunk össze, de még nem értünk a végére. Mindez arról árulkodik, hogy az úgynevezett „OpSec”, azaz a műveleti biztonság szintje a mai napig rendkívül alacsony a minisztériumban.
A cikk elkészülésében segítséget nyújtott Ross Higgins, a Bellingcat munkatársa. A borítókép Kiss Bence munkája.