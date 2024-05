Az előző részben bemutattuk, hogyan vándorolt a kibervédelem feladata minisztériumról minisztériumra, és ez hogyan gyengítette a képességeket.

Egy hekkertámadás nem egyenlő egy informatikai rendszer teljes kompromittálódásával.

A hatékony kibervédelem alapja a hazai és nemzetközi információmegosztás, valamint a központi koordináció megléte. Úgy tűnik, a gyakorlatban ma mindkettő hiányzik, erre következtet Szabó Hedvig altábornagy nyilvánosságra került leveléből Frész Ferenc, az állami kibervédelmi központ korábbi vezetője.

A hatékony kibervédelem erős kormányzati támogatással tud csak működni, nem véletlen, hogy a legtöbb országban ez nagyon kiemelt feladatnak számít, de Magyarországon a szuverenitásunk ilyen jellegű védelme már megfakult.



Kormányzati politikusok úgy minősítették kampányhazugságnak a külügyminisztérium informatikai rendszerét ért orosz támadásokat, hogy pontosan tudták, hogy a támadás megtörtént. Azt is tudták, hogy olyan súlyos volt, hogy a Nemzeti Kibervédelmi Intézetet felügyelő Nemzetbiztonsági Szakszolgálat főigazgatója szerint a külügyminisztérium informatikai rendszerét teljesen megtisztítani már nem lehet.

photo_camera Részlet Szabó Hedvig NBSZ főigazgató leveléből. Fotó: 444

Most azt mutatjuk be, a kiberbiztonság esetében miért létfontosságú a nemzetközi együttműködés.

2011-től működött az információcsere

Az együttműködés a kibertérben olyan szükségszerűség, ami nélkül szinte lehetetlen az állami IT infrastruktúra elleni támadások elhárítása. Ez tipikusan olyan terület, ahol az országhatárok teljesen elmosódnak, a fenyegetettségek nemzetköziek. Éppen ezért van szükség a gyors és folyamatos információáramlásra, ez viszont kölcsönösségi alapon működik: jó infót csak az kaphat, aki maga is azt ad. Ilyen szempontból a bezárkózás, takargatás, vagy ahogy Orbán Viktor fogalmazott, „asztal alatt tartás” nem igazán előremutató stratégia. Már ha az a cél, hogy ezeket a támadásokat az illetékesek el tudják hárítani. Az információmegosztás jótékony hatásait az állami kibervédelmi képességek fejlesztésének 2010-es megkezdése után gyorsan, 2012-2013 körül saját bőrén érezhette Magyarország. Ekkor kapott ugyanis a Navracsics-vezette Közigazgatási és Igazságügyi minisztérium alá tartozó kibervédelmi központ – a kölcsönös információcsere alapján – jelzést arról, hogy magyar IP címekről detektálnak rosszindulatú támadásokat szövetségesek ellen. Nemzetközi együttműködés keretében feltárták a fertőzés kiterjedtségét, a támadó infrastruktúra feltörésével azonosítani tudták, hogy mit és honnan vittek el. Azonosították azt is, hogy ennek a támadásnak a hátterében is az APT28 és az APT29 állt,

tehát ugyanazok az orosz hátterű csoportok, akiket 2021-ben már nem sikerült elhárítani. Tekintettel arra, hogy ekkor még tényleg működött az információmegosztás, értesítették a szövetségesi rendszer tagjait, hiszen ahogy kiderült, a meglehetősen kiterjedt támadásban szinte majdnem minden EU és NATO tagállam valamilyen minisztériuma vagy kutatóintézete érintett volt, és ebben az együttműködésben ki lehetett takarítani az orosz hekkercsoportokat a rendszerből.

Pont ezért volt fontos az, hogy 2011-től az EU és a NATO kiberbiztonsági munkacsoportjaiban is részt vettek magyar szakemberek, akik a szövetségesi rendszeren belüli információmegosztásban napi szinten vettek részt, sőt, a NATO esetében vezették is a kibervédelmi munkacsoportot. Hamar és gyorsan tudtak információt adni és kapni(!), ami a nemzetközi kiberfenyegetések hatékony megelőzéséhez, szükség esetén azok elhárításához elengedhetetlen.

A szolgálatoknál kevésbé működik

Azzal, hogy a 2014-es választások után az állami kibervédelem a titkosszolgálatok alá került, a szövetségesi információmegosztás ajtaját a kormány szinte teljesen becsukta. Működési elveikből fakadóan a szolgálatok nem tudnak olyan „szabadon” és rugalmasan információt cserélni, mint korábban a kibervédelmi központ, ők a saját csatornáikon tudnak a partner titkosszolgálatokkal megosztani. Frész Ferenc, a 2015-ig működő CDMA kibervédelmi központ volt vezetője szerint nem magyar sajátosság, számos példa van arra, hogy ahol a kibervédelem a titkosszolgálatok alá került, ott sokkal kevésbé működik.

A titkosszolgálati információcsere amúgy is extrém érzékeny terület, szinte semmit nem tudunk róla, viszont az feltételezhető, hogy csak nemzeti érdekek alapján osztanak meg egymással információt a szolgálatok, ez viszont már nagyon átpolitizálódik. Itt fontos megemlíteni azt, hogy ma Magyarországon a titkosszolgálatok (és így a kibervédelem) ura Rogán Antal.

photo_camera A titkosszolgálatokat felügyelő Rogán Antal Fotó: Németh Dániel/444

Rogán kiterjesztett hatalma mégsem hatékony, úgy tűnik ugyanis, hogy sok bába közt elveszett a gyermek: mivel 2014 óta a kibervédelmi feladatok és felelősségek szét vannak osztva, önállóan senki sem képes beavatkozni, a koordináció és információmegosztás, ami az állami kibervédelem „lelke”, láthatóan hiányzik. Erre az oroszok által meghekkelt külügyminisztérium esete kiváló példa: a külügy informatikai rendszereivel foglalkozik a kormányzati gerinchálót működtető NISZ, a Nemzetbiztonsági Szakszolgálat, valamint a KKM Biztonsági és Távközlési Főosztálya (BITÁF), a sokszor emlegetett Védett Külügyi Hálózat felügyeletét pedig a Nemzeti Biztonsági Felügyelet látja el.



Uniós bejelentési kötelezettség elvileg van

Az Európai Unió minden tagállamot kötelezi a nagyobb incidensek bejelentésére. Magyarországon a Nemzetbiztonsági Szakszolgálat alatt működő Nemzeti Kibervédelmi Intézet felel ezért, ide kellene bejelenteni nemcsak az egyes vállalatokat, hanem az állami-kormányzati szektort, és a kritikus infrastruktúrát érő incidenseket is, amiről az NKI havi rendszerességgel riportol. Ezekkel a bejelentésekkel régóta szív a kiberbiztonsági szakma, hiszen sokan ódzkodnak az őket ért kibertámadások bejelentésével és nyilvánosságra hozatalával. Emögött meghúzódhatnak üzleti megfontolások, például egy bank esetében egy kibertámadás nagyon jól forintosítható bizalomvesztést eredményezhet az ügyfelek részéről, vagy egész egyszerűen az, hogy az adott vállalat vezetése nem ítéli olyan fontosnak.

Információmegosztás volt, nincs?

Orbán a Blikknek adott interjújában így fogalmazott a KKM-et ért 2021-ben detektált orosz kibertámadásról: „Ezekről nem beszélünk, mert hiszen a beavatkozás, az mindig a gyenge pontokat célozza meg és nekem nem az a feladatom, hogy fölfedjem a világ előtt, hol vannak a gyenge pontjaink. Ilyenkor mi mindig elhárítunk, félretolunk, valahogy az egész ügyet próbáljuk inkább az asztal alatt tartani." Szijjártó Péter már-már kikérte magának, amikor úgy fogalmazott, hogy nem szoktunk informatikai rendszerekbe való beavatkozásról a nyilvánosság előtt nyilatkozni, mert abból abból kaphatnak olyan információt egyesek, amit rossz szándékkal fel tudnak használni. Ezzel a nyilatkozattal úgy tűnik, hogy Szijjártónak fogalma sincs arról, mi a jelentősége a kibervédelmi információmegosztásnak.

A Nemzeti Kibervédelmi Intézet 2023 nyarán készített egy átfogó jelentést a különböző APT csoportokról, amelyben részletezik, mik ezek, milyen célpontok ellen, hogyan indítanak támadást, majd sorra veszik a „leghírhedtebb APT csoportokat” (kínai, orosz, észak-koreai, amerikai, iráni és vietnámi példákkal), az EU illetékes intézményei által javasolt gyakorlatok bemutatása előtt. Az orosz hátterű APT28 és APT29 csoportok ismert támadásaira az NKI több, mint harminc példát hozott, amik közé a „Svéd Sportszövetség” és az „Ökumenikus Patriarchátus” is befért, a magyar külügyminisztérium elleni támadás, amelynek következtében a minisztérium informatikai rendszere az NKI-t felügyelő Nemzetbiztonsági Szakszolgálat főigazgatója szerint is menthetetlenné vált, nem fért fel a listára. Ahogy a főbb célországok listájára se került fel Magyarország.

Hálózat kompromittálódása ≠ információ kompromittálódása

Van a kormányzat magyarázkodásának egy megcáfolhatatlanul igaz része: hekkertámadások tényleg minden irányból érkeznek, így van ez minden állam esetében. Azonban ahogy az sem mindegy, hogyan reagál egy kormány egy (bármilyen) kormányzati rendszert ért támadásra, az sem mindegy, mit ért támadás alatt, hiszen az informatikai hálózat kompromittálódása gyakran nem jelenti azt, hogy érzékeny információk is veszélybe kerültek volna. A külügyminisztérium esetében azonban veszélybe kerültek.

photo_camera Szabó Hedvid átveszi kinevezését Áder János köztársasági elnöktől Fotó: Koszticsák Szilárd/MTI/MTVA

Frész Ferenc az APT28 és APT29 csoportokról azt mondta, hogy nagyon könnyedén szoktak bejutni informatikai rendszerekbe, jellemzően nem a saját tudásuk kifinomultsága, hanem a védelmi rendszerek elavultsága miatt. Bár legtöbbször a hálózat kompromittálódása nem egyenlő az információ kompromittálódásával, a külügyminisztérium 2021-es meghekkelésekor lehetőségük volt hozzáférni a külügy IT rendszerében levő összes információhoz, ha épp ezt akarták. Frész értékelése szerint egyáltalán nem biztos, hogy a magyar külügy információi érdekelték az orosz hekkereket, hiszen ennek a rendszernek a nemzetközi végpontjai ugródeszkaként is használhatók a mások elleni támadásokhoz. Itt mutatkozik meg ismét a nemzetközi információmegosztás hiánya: ha egy ország kiesik ebből az információmegosztási körből, mint ahogy Magyarország 2015 körül kiesett, nem adja át a tapasztalatokat a többieknek, ő maga sem fog információt kapni. Azt se fogja megtudni, ha valakik az ő nevében (például magyar IP címekről) támadnak másokat.

Mára a V4 tetszhalott állapotba került, a NATO-val kapcsolatos kormányzati megnyilvánulásokból kiindulva pedig elképzelhető, hogy a katonai biztonságunkat garantáló NATO-t is lassan ellenségesen fogja kezelni az Orbán-kormány. Az viszont biztos, hogy most fényévekre vagyunk attól, hogy a NATO kibervédelmi munkacsoportját magyar szakértők vezessék, a hazánkba vetett szövetségesi bizalom súlyos károkat szenvedett. A hatékony kibervédelem erős kormányzati támogatással tud csak működni, nem véletlen, hogy a legtöbb országban ez nagyon kiemelt feladatnak számít, de úgy tűnik, Magyarországon a szuverenitásunk ilyen jellegű védelme már megfakult. Nem állítjuk azt, hogy ma a magyar kibervédelem garantálásáért kevésbé elkötelezett szakemberek dolgoznak, mint korábban, a jelek inkább arra utalnak, hogy az ő lehetőségeik is beszűkülhettek az átalakítások miatt, Magyarország külpolitikai elszigetelődésével párhuzamosan.

Valószínűsíthető, hogy az információmegosztás hiánya is hozzájárult ahhoz, hogy az oroszok menthetetlenné hekkelték a külügy rendszerét. Frész legalábbis arra következtet Szabó Hedvig altábornagy leveléből, hogy a nemzetközi információmegosztás tényleg nem működött jól, hiszen ha jól működött volna, akkor nagy eséllyel a rendszer teljes kompromittálódását sikerült volna megelőzni.

Címlapkép: Kiss Bence/444