Vajon készen áll a V4 egy kibertámadásra?
Ma a háborúk már a kibertérben zajlanak, és az államok egyre inkább az új típusú fenyegetésekhez igazítják védelmi képességeiket.
A visegrádi csoport (V4) felkészült a hibrid háborúk új korszakára. A régiót eddig nem érintette egyetlen kiterjedt kibertámadás sem, ellentétben Észtországgal, ahol 2007-ben weboldalak tucatjai váltak elérhetetlenné egy pillanat alatt, beleértve a kormány, több újság és bankok internetes felületeit is.
Néhány jelentősebb incidenst azonban a visegrádi államok köréből is ki lehet emelni.
„Cseh cégek és intézmények is áldozatul estek elosztott szolgáltatásmegtagadással járó támadásoknak (DDoS, distributed denial-of-service attack). E támadások eredményeként bizonyos szolgáltatások részben meghibásodtak, illetve az elkövetők behatoltak az államigazgatás egyes alrendszereibe is” – mondta Tomáš Rezek, a prágai Nemzetközi Kapcsolatok Szövetség (NKSZ) kiberbiztonsági szakértője. Nem olyan rég, 2017 októberében, a cseh országgyűlési választások idején két az eredménykövető oldal is leállt DDoS támadások következtében.
Szlovákia hasonló problémákkal küzdött 2016-ban, akkor a Statisztikai Hivatal weboldala vált elérhetetlenné az országgyűlési választások éjszakáján. A média szintén jelentős támadások célpontjává vált. A közelmúltban több szlovák országos sajtótermék weboldala állt le DDoS támadásoknak köszönhetően, beleértve a közszolgálati televízióét és a rádióét (RTVS).
Üzleti célpontok
A mindennapokban a magáncégek elleni támadások meglehetősen gyakoriak, még ha ezekre ritkán is figyel fel a nyilvánosság.
A szlovák cégek döntő többsége beéri az olyan általános számítástechnikai védelmi rendszerekkel, mint a vírusirtók és a tűzfalak. Lényegesen kevesebb szlovák vállalkozás támaszkodik olyan biztonsági eszközökre, melyek a modern fenyegetések ellen is védelmet nyújtanak, beleértve a zsarolóvírusokat, illetve a szolgáltatás- és weboldal-leállásokat eredményező támadásokat.
Magyarországon a nagyvállalatok fele, míg a kis- és középvállalkozásoknak alig 10 százaléka foglalkozik IT-biztonsággal. Az egyéni felhasználói tudatosság alacsony szintjét pedig jól jelzi az Európai Bizottság tavalyi közvélemény-kutatása, amely szerint csak minden harmadik magyar aggódik amiatt, hogy például interneten keresztüli pénzügyi tranzakciók során visszaélnek a személyes adataival. Uniós összehasonlításban Málta és Románia után a harmadik legalacsonyabb értéket produkáltuk.
A lengyel vállalatok hasonló gondokkal küzdenek. A cégek akár 65 százalékát is érinthették kibertámadások, leginkább zsarolóvírusok formájában, az esetek majdnem felében pedig ez pénzügyi veszteségekhez vezetett. Mindennek ellenére egy PricewaterhouseCoopers-jelentés szerint a vállalatok számítástechnikai költségvetésük mindössze három százalékát költik kiberbiztonságra.
„A legalapvetőbb fenyegetés az emberi hiba, legyen az gondatlanság, nem megfelelő intézkedések vagy szándékos cselekedetek eredménye” – mondta Karel Macek a Fegyveres Erők Kommunikációs és Elektronikai Szövetségtől.
Hibrid háború vagy akaratlan manipuláció?
Macek rámutatott a nemzetközi politika és a kibertámadások közötti lehetséges kapcsolatokra is: „Csehország konkrét lépésekkel mutatta meg, hogy a keleti területek helyett a nyugati demokráciák sorába tartozik, ami az ország ellen indított célzott támadásokat vonhat maga után a Közép-Európa feletti befolyásért folyó hibrid háború következtében.”
Manapság a „hibrid háború” kifejezést a szakértők és a média gyakran Oroszország dezinformációs kampányával kötik össze, kiberbiztonsági stratégiájában mégsem említi egyetlen V4-tagállam sem Moszkvát.
„Ez a tartalom automatikus, a felhasználói preferenciákhoz való hozzáigazításán keresztül történik, és nagyon veszélyes” – mondta egy cseh adat- és információfeldolgozásra szakosodott cég, a TOVEK munkatársa, Miroslav Nečas. Nem említi meg a Cambridge Analytica botrányt, inkább arról a módszerről beszél, ami megszűri a tartalmakat a közösségi médiában, és ezzel belekényszeríti a felhasználókat egy virtuális burokba.
„A különálló virtuális burkok nemcsak a valóságtól térnek el, hanem a többi buroktól is, melyekben más emberek élnek. Úgy gondolom – így Nečas –, ez az egyik olyan tényező, amelynek szerepe van a társadalom valós megosztottságának kialakulásában, bár nem ez az egyetlen ilyen elem.”
Kiberbiztonság, kormányok és az EU
A négy visegrádi országnak nem csak hogy sikerült nehézségek nélkül átültetni a kiberbiztonsággal kapcsolatos európai követelményeket saját jogrendszerébe, de többen közülük a jó gyakorlatok példájává is váltak.
Csehország például már évekkel ezelőtt dolgozni kezdett saját kiberbiztonsági jogszabályainak javításán. Az új kiberbiztonsági törvény 2014 óta van érvényben, és ennek köszönhetően jött létre a Nemzeti Kiber és Információs Biztonsági Ügynökség (NKIBÜ) 2017. augusztus 1-jén.
Az NKIBÜ szóvivője, Radek Holý kiemelte, hogy országa 2018 májusára teljes mértékben eleget tesz majd a hálózati és információs rendszerek biztonságáról szóló uniós irányelvnek (NIS). Az úgynevezett NIS irányelv az első, az egész unió területére érvényes kiberbiztonsági szabályzat, amelyet 2018. május 10-ig kell a tagállamoknak átültetni saját jogrendjükbe. A NIS arra kötelezi az uniós tagállamokat, hogy (1) nemzeti stratégiákat készítsenek a hálózatok és az információs rendszerek biztonságáról, illetve hogy (2) állítsanak fel a felügyelettel, a fenyegetések korai jelzésével és a felmerülő problémákra adható válaszok kidolgozásával megbízott kompetens hatóságokat és csapatokat (CSIRT-ket).
A NIS 2017 decemberében vált a magyar jogrend részévé. Ezzel kapcsolatban Feledy Botond külpolitikai szakértő hangsúlyozta, hogy papíron létrehozták ugyan az ehhez szükséges intézményi struktúrát, működik a Nemzeti Kibervédelmi Intézet (a govCERT) is, ám az uniós irányelv figyelemfelkető ereje erősen kérdéses, tekintve, hogy eddig nem sok nyilvános információ került napvilágra.
A magyar kiberbiztonsági szakterület fejlődése ráadásul lelassult: egy 2015-ös jelentés a NATO-tagállamok kiberbiztonsági képességeiről Magyarországot még a legjobbak közé sorolta.
2015 áprilisáig Magyarország volt a NATO kibervédelmi munkacsoportjának elnöke, aktív tagja volt az EU információbiztonsági bizottságainak, és jól működő állami kibervédelmi központtal rendelkezett a Nemzeti Biztonsági Felügyelet irányításával. A rendszert azonban 2015 áprilisában teljesen új alapokra helyezte az Orbán-kormány: az információbiztonsági törvény módosításával új szervezeti felépítést hoztak létre, a kibervédelem a titkosszolgálatokhoz került, ezzel transzparenciája is végleg szertefoszlott.
Lengyelország hamarosan szintén átültetheti a lengyel jogba a NIS-t. Az új – az irányelv átültetésére hivatott – kiberbiztonsági rendszerekről szóló törvényt a kormány elfogadta és megküldte a parlamentnek.
Jelenleg azonban nincs egységes kiberbiztonsági rendszer Lengyelországban. Az új stratégia és szabályzás felvázolása nem egyetlen minisztérium vezetésével folyt, a folyamat koordinálása során leginkább a védelmi és a digitalizációs minisztériumok versengtek a vezető szerepért. Anna Streżyńska digitalizációs miniszter januári menesztése után sokan a minisztérium megszűnésére számítottak. Ez nem történt meg, de márciusban a védelmi minisztérium került előtérbe ezen a szakterületen, és a kiberbiztonságért felelős kormányzati képviselő e tárca keretein belül kapott helyet. Három hónappal később a védelmi minisztérium is új tárcavezetőt kapott. Ezzel még kérdésesebbé vált, hogy ki felel majd valójában a kiberbiztonsági politikáért.
A lengyel pénzügyminisztérium látszólag nem akarja növelni a kiberbiztonságra fordított forrásokat, annak ellenére, hogy a NIS által szabott követelmények teljesítését biztosító stratégia ezt szükségessé teszi. Ugyanakkor a tény, hogy a kiberbiztonság egyre inkább védelempolitikai problémává válik, hasznára lehet a területnek, mivel a védelmi minisztérium jóval nagyobb költségvetéssel dolgozik.
Szlovákiában a kiberbiztonság egyre népszerűbb témává vált az elmúlt hónapokban, annak köszönhetően, hogy a kormány ebben az időszakban dolgozta ki az új kiberbiztonsági törvényt. A szlovák parlament 2018 januárjában fogadta el az ország első ilyen törvényét, amely módosította a közös és egységes kibervédelmi gyakorlatokat. Az előkészületek bonyolultak voltak, mert a folyamatban nemcsak hivatalnokok és a közigazgatásban dolgozó szakértők, de az egyetemi közösség, nem-kormányzati szakértők és elemzők is részt vettek.
A NIS-t a szlovák jogrendbe átültető törvény 2018. április 1-jén lépett hatályba.
Általában a korai átvételt sikernek tekinthetjük. Az észt E- Kormányzás Akadémia Alapítvány nevű civil szervezet nemrég megjelent tanulmánya szerint Szlovákia végzett az első helyen a Nemzeti Kibervédelmi Index (NKI) ranglistáján. Az index az államok komoly kiberfenyegetések elhárítása melletti elkötelezettségét, illetve a kiberincidensekre, bűncselekményekre és súlyos válságokra való felkészültségét méri.
Szlovákiának 2008 óta van Információbiztonsági Nemzeti Stratégiája. Emellett létezik egy a Nemzeti Hálózat és Elektronikus Szolgáltatások (NHESz) ügynökség és a Nemzetbiztonsági Hatóság (NH) által készített, 2015 és 2020 közötti időszakot lefedő Kiberbiztonsági Koncepció nevű dokumentum is, melyet a kormány 2015 júniusában fogadott el.
Az NH lett a kiberbiztonságért felelős nemzeti hatóság, ami a területet a korábban ezért a portfólióért felelős pénzügyminisztériumtól vett át. A kritikusok azonban rámutatnak, hogy az NH kommunikációja egysíkú mind a közélet, mind a vállalatok, mind pedig a szakértők felé. Az előrelátás hiánya is problémának tűnik, mivel a területet szabályozó törvényeket szinte teljesen szolgai módon vették át az európai szintről, elhanyagolva bármiféle nemzetspecifikus vonást.
Együtt a hackerek ellen
Miután minden V4 országnak megvan a stratégiája és kibervédelmi célú intézményrendszere, elkezdhetnek együttműködni a súlyos fenyegetések elhárítása, valamint a jó gyakorlatok egymás közötti megosztása terén.
A már idézett Radek Holý szerint van nemzetközi együttműködés, de nem úgy, hogy néhány nagy állami egység hatalmas hadseregeket hoz létre. „A közös munka a különböző szervezeteken keresztül összekapcsolt állami szereplők és biztonsági csapatok (CERT / CSIRT) együttműködésével valósul meg.,”
A szlovák szakértők sok nemzetközi workshopon, kiképzésen és versenyen (mint a Crossed Swords, Locked Shields, Cyber Coalition and Cyber Europe) vesznek részt. Ezeken a szlovák csapatok gyakran sikereket, magas pontszámokat érnek el. Ezt a szlovák kibervédelem sikerének tekintik, de mindez a lakosság látóterén kívül történik.
A lengyel digitalizációs minisztérium a V4-államok szélesebb, uniós kooperáció keretén belüli együttműködését emeli ki. „Egy másik példa lehet erre a Közép-Európai Kiberbiztonsági Platform, mely évente kétszer ül össze (stratégiai szinten), míg a képviselői Brüsszelben folytatják az együttműködést találkozók, illetve információmegosztás keretében. Lengyelország, Csehország, Szlovákia, Magyarország és Ausztria ebbe a platformba tartozik”, mondta a minisztérium szóvivője.
Feledy szerint a kiberbűnözés elleni közdelemben a V4-ek és az unió is előrébb tart, mint a kiberbiztonság tágabb értelemben vett területén való együttműködésben. „Közös gyakorlatot leginkább katonai oldalon tartunk NATO-kötelékben, míg civil oldalon érdemes lenne a kritikus infrastruktúravédelmet együtt is gyakorolni, különösen atomerőművek, bősi vízierőmű és egyéb triviálisan közös esetekben, mint a légiközlekedés biztonsága.”
Szerzők:
Zgut Edit (Political Capital), Adela Denkova (EurActiv.cz), Zuzana Gabrizova (EurActiv.sk), Karolina Zbytniewska (EurActiv.pl).