Az elmúlt évtizedben megjelent kiberfenyegetések új hadszínteret hoztak létre. Az olyan kritikusnak számító ágazatnak, mint a repülésbiztonság, többrétegű védelemre van szüksége. A Hungarocontrol Magyar Légiforgalmi Szolgálat Zrt. nemzetközi, illetve regionális viszonylatban is élen jár e tekintetben, azonban a kiberbiztonság egy folyamat, amely állandó figyelmet, fejlődést és készenlétet igényel – mondta a Biztonságpiacnak Nagy Róbert, a társaság vállalati IKT-szolgáltatásokért felelős vezetője.
– A légiforgalmi irányítással kapcsolatban igaz az a mondás, hogy akkor működik jól, ha nincs róla szó a médiában. Igaz ez a Hungarocontrolnál az infokommunikációs technológiák (IKT) területére is?
– Abszolút így van: ha a szolgáltatás jól működik, stabilak a légiforgalmi irányítást kiszolgáló rendszerek, akkor nincs hír. Biztonsági szempontból viszont több tényezőt kell figyelembe venni. A Hungarocontrol fő terméke a repülésbiztonság és ennek felügyelete. A cég repülésbiztonsági és kockázatmenedzsment kultúrája érett és jól működik, ez persze az egész iparágra jellemző. A kiberbiztonság kapcsán mostanra egy teljesen új korszakba érkeztünk, a repülésbiztonság pedig nem létezhet nélküle. Míg a világban a repülésbiztonság kultúrájának történelme van, addig a kiberbiztonság egy teljesen új kultúra megteremtését jelenti.
– Az informatikai eszközök és rendszerek sokfélesége miatt az IKT-szolgáltatónak rendkívül komplex feladata van a légi irányításban. Minden bizonnyal a védelmi stratégia is hasonlóképpen összetett…
– Egy komplex környezetre, a változó világ változó hatásaira úgy kell reagálnunk, hogy többrétegű védelmet építünk fel. Természetesen a védelem is rendkívül komplex, kritikus infrastruktúra lévén pedig végső soron emberéletek múlnak ezen a munkán is. Bár a kockázatelemzés egyik régi, természetes eleme az iparágnak, ennek ma már ki kell egészülnie a kiberbiztonságot érintő elemek kockázati szempontú értékelésével is. Mindezekből pedig egy rétegelt védelmi rendszert kell felépíteni, amely három fő elemből áll: a technológia mellett a folyamatoknak is kiemelt szerepük van és a sokat hangoztatott legfontosabb tényező, az ember. Az alkalmazott megoldások rendszere, ezek volumene annak alapján mérhető, hogy a repülésbiztonság kritikus infrastruktúrának számít.
– Ezek szerint a védelmi stratégia is új szemléletmódot követelt.
– El kellett jutni ahhoz a felismeréshez, ami világviszonylatban új megközelítést követel: az elmúlt tíz évben nagyságrendileg megnőtt a kibertérből érkező fenyegetések száma. Már arra is számos példa volt a világban, hogy kritikus infrastruktúrákat bénítottak meg a támadók vagy avatkoztak be a működésébe. A különféle infrastruktúrák elleni célzott vagy járulékos támadások voltaképpen egy új hadszínteret hoztak létre, ahol folyamatosan zajlanak az események, ezekkel pedig foglalkoznunk kell. A Hungarocontrol is eljutott erre a felismerésre, évekkel ezelőtt megszületett a vállalat kiberstratégiája, amelynek megvalósításán folyamatosan dolgozunk. Ezt egy fejlődési programként kell elképzelni, amelyet nap mint nap aktualizálni kell, mivel a kiberbiztonság egy folyamat. A kibertér rendkívül komplex, az iparágban használt eszközök és rendszerek kimondottan hosszú életciklussal rendelkeznek. Évtizedekig használunk például radarrendszereket, amelyek tervezésekor korábban még csak a funkcionalitást tartották szem előtt, a kiberbiztonságra nem fordítottak figyelmet. Emiatt olyan védelmet kell e rendszerek köré építeni, hogy az eszközök működésben tartása mellett a kiberbiztonság is megfelelő legyen. Tehát a régi megoldások új védelmi környezetet igényelnek. A szemléletmód egy másik pillére az, hogy az új rendszereknél már a tervezési szakaszban figyelmet fordítanak a kiberbiztonsági szempontokra is – ez a „security by design”, amelyet a Hungarocontrol stratégiai szintre emelt.
– A nemzetközi kiberbiztonsági trendek nem kerülhetik el a Hungarocontrolt sem. Milyen mértékben érzékeli a társaság a kibertérből érkező fenyegetéseket?
– Egyfelől a nemzetközi trendek szempontjából az a meghatározó, hogy jelenleg hol tart a világ a kibervédelemben. A Hungarocontrol nemzetközi viszonylatban is kimondottan jól áll: időben megkezdődött a paradigmaváltás, hogy a komplex kockázatokra már a rendszertervezéskor figyelmet fordítsanak, míg a régebbi rendszereket rétegelt védelemmel bástyáztuk körbe. A FAB CE (Közép-európai Funkcionális Légtérblokk) tekintetében regionálisan is kiemelkedőnek számít a Hungarocontrol felkészültsége. Másfelől támadás mindenkit érhet. Persze meg kell különböztetni az általános, például automatizált kártevők működését a célzott támadásoktól. Az internet egy olyan, folyamatosan változó rendszer, ahol akkora a turbulencia, hogy ha valahol a világban elindítanak egy támadássorozatot valamilyen kártevővel, annak a „szele” minket is elérhet. Bár célzott támadás eddig nem érte a Hungarocontrolt, az úgymond „egyéb” támadások sodra sem elhanyagolható – gondoljunk olyanok akciókra, mint a Petya, a BadRabbit vagy a WannaCry. Ez utóbbi egyik nagy tanulsága: a támadási hullámnak úgy sikerült az egész világot végigjárnia és rengeteg gépet megbénítania, hogy a sérülékenység javítása már régóta elérhető volt. Az ezt követő, ugyanazt a „tool kitet” használó későbbi hullám pedig úgy kapta el a fél világot, hogy a sérülékenységet korábban már két fázisban is javítani lehetett, kellett volna a rendszerekben. Ez jól mutatja azt, hogy sok esetben a javítás hanyagságból, ismerethiányból vagy valamilyen tényleges kötöttségből fakadóan nem valósult meg. Sokkal több ilyenre kell felkészülni a jövőben, és ez mindenkinek nagy kihívást jelent.
– Mégis mire van szükség ahhoz, hogy az ilyen kísérletek ne járjanak sikerrel?
– Képzésre és felvilágosításra. Úgy érzékeljük, hogy még mindig nem kap megfelelő hangsúlyt a tudatosítás. A már említett támadások járulékos hatása, hogy ezekről szinte mindenki hallott, így könnyebb is róla beszélni. Az egy komoly aspektusa a kérdésnek, hogy a védekezés fontos peremfeltétele az emberek informálása, legyen munkatárs, rendszerüzemeltető, döntéshozó vagy otthoni informatika felhasználója. Ez a Hungarocontrolnál a védelem megteremtésének humán oldalát jelenti: biztonságtudatossági képzést és programokat szervezünk. A szakembereink bemutatják a cég dolgozóinak a jellemző fenyegetéstípusokat, ezeket a képzéseket évenkénti szinten tartással egészítjük ki. Amíg azonban a humán faktor nem megfelelően tudatos, addig a cég olyan fenyegetettségeknek is ki van téve, amelyek nem feltétlenül egy vírussal kezdődnek. A gyakorlati tapasztalataink alapján az oktatásokat követően a dolgozók is gyanakvóbbak a spamekkel vagy akár a lehetséges „social engineering” próbálkozásokkal kapcsolatban. Emellett persze a kiberbiztonságért felelős szakembereinknek folyamatosan résen kell lenniük, és a monitoringból, rendszeres elemzésekből, szakmai, naprakész információkból levonni a megfelelő következtetéseket. Kiemelt szerepe van ugyanis az információszerzésnek: ha időben értesülünk arról, hogy létezik egy sérülékenység, vagy már a világban el is indult egy támadási hullám, akkor időben meg is tudjuk tenni a szükséges óvintézkedéseket.
Nem is kell a töltelékhez eljutni: a cím és a bevezető elolvasása után annyit erodálódott a vélt szakmaiság, hogy felesleges erre több időt pazarolni. Miért is erodálódott? Mert a biztonság és a védelem szavakat felcserélhetően alkalmazzátok, mintha egymás szinonimái lennének.
https://szinonimaszotar.hu/keres/v%C3%A9delem