Nemcsak a nagyvilágban, hanem Magyarországon is egyre gyakoribbak és súlyosabbak az informatikai rendszereket ért kibertámadások. A megelőzés megszervezését legtöbbször a neves világcégektől remélik az állami szervek és a nagyvállalatok – pedig a szakmai berkekben egyre nagyobb elismertséget kivívott hazai csoport már 80 ország polgári és katonai szervezeteinek kínál profi kibervédelmi oktatást és szolgáltatásokat. Az ügyfelek sorban állnak, a Cyber Services Zrt. szakértőinek naptára évekre előre betelt.
Az elmúlt években Magyarországon is megsokasodtak a kibertámadások. A Petya zsarolóvírus után a WannaCry okozott károkat, tavaly pedig előfordultak itthonról indított célzott támadások is: egy ifjú hacker feltörte a BKK online értékesítési rendszerét, nem sokkal később kiderült, hogy a Bubi regisztrált felhasználóinak adatai is nyilvánosságra kerültek. De valóban csak ennyi kibertámadás éri a külföldi és hazai rendszereket? – kérdeztük Frész Ferenctől, a Cyber Services Zrt. vezérigazgatójától. A szerencse úgy hozta, hogy a beszélgetésen ott volt Mádi-Nátor Anett, a cég vezérigazgató-helyettese is, így végül a cégprofil mellett egy kivételes cégtörténet körvonalai is kirajzolódtak.
Mindenki csúsztat?
– A valós incidensek száma nagyságrendekkel nagyobb, mint amennyi a nyilvánosság elé kerül. Főként a multicégek és a nagyvállalatok rendszereit érik külső és belső támadások, de a kormányzati és a katonai hálózatokat is sokkal többször próbálják feltörni, mint amennyiről a média beszámol. Szigorú a megállapítás, de igaz: az információbiztonság és a kibervédelem területén szinte minden ország minden érintettje csúsztat. Főként az állami szervezetek festik a valóságosnál szebbre és jobbra a helyzetüket – indított egy kemény kijelentéssel Frész Ferenc (FF). Mádi-Nátor Anett (MNA) ezt is tudta fokozni.
– Ha az úgynevezett kritikus szegmenseket, tehát a kormányzati és katonai rendszereket vizsgáljuk, akkor nagyon elgondolkodtató állapotokat találunk. Az összes nemzetállam azt sugallja, hogy tökéletesen meg tudja védeni saját informatikai rendszereit, ugyanakkor képesnek tartják magukat más államok hasonló rendszereinek megtámadására. Sőt akár arra is alkalmasnak gondolják saját szakértőiket, hogy feltörjék más országok legbizalmasabb informatikai hálózatait. Aki követi a napi híreket, tudja, hogy a kibervédelem ma már állandó téma a médiában, de a hackertámadások bekerültek a politika mindennapjaiba és a közbeszédbe is. Gyakorlatilag egy informatikai hidegháború kellős közepén vagyunk. Éppen ezért elég nagy baj, hogy a gazdasági élet szereplői, a nagyvállalatok vezetői legtöbbször csak egy „sikeres” rendszerfeltörés után fogják fel, mekkora üzleti károkkal jár egy behatolás. Sajnos legtöbbször a menedzsment tagjaihoz el sem ér a betörés híre. Ha mégis, akkor sem érzik igazán, mekkora veszélyt jelent, ha „csak lemásolták” a cég partnereinek, beszállítóinak vagy vevőinek adatbázisát. Így aztán mintegy „esemény utáni tablettaként” használják a kibervédelmi szolgáltatásokat.
FF: És ezt nem csak mi állítjuk. A Website Builder Expert (WBE) 2017 augusztusában hozta nyilvánosságra egy korábbi felmérés eredményét, amelyből kiderül, hogy Magyarország egyike a kiberbűnözés által legveszélyeztetettebb országoknak. A kis- és középvállalkozásokkal foglalkozó weblap azt vizsgálta, hogy az Európai Unió országait mennyire veszélyeztetheti az internetes bűnözés – a végkövetkeztetés szerint Magyarország a lista 9. helyén áll.
Kiberbiztonság, kibervédelem, megelőzés
– A megelőzésben vagy a kárelhárításban tudnak segíteni a Cyber Services szakértői?
FF: Mindkettőben, de a teljes portfóliónk ennél sokkal szélesebb. Kiberbiztonsági cégként határozzuk meg magunkat, ami azonban jóval nagyobb profilt ölel fel, mint a katonai zsargonban használatos kibervédelem. Ez utóbbi területen a megelőzéstől a monitoringon és a reagáláson keresztül egészen a hibajavításig a teljes kibervédelmi ciklusra kínálunk megoldásokat. De nemcsak kormányzati és katonai szervezeteknek nyújtunk szolgáltatásokat, hanem az üzleti szféra szereplőinek is.
– Hogyan történik ez a gyakorlatban?
MNA: Mindenekelőtt felmérjük, hogy milyenek az adott ügyfél saját kiberbiztonsági képességei, ezek figyelembevételével olyan védelmi és elhárító rendszereket tudunk felépíteni és működtetni, amelyekkel széles körű kiberbiztonsági funkciók valósíthatók meg. Olyan szolgáltatásokat is kínálunk, amelyek főként a hackertámadások elhárítására, az esetleges behatolás után pedig a kárenyhítésre vonatkoznak. Ha megtörtént a baj, hatékony reagáló erőt is tudunk adni. A megrendelő szervezetnél olyan képességeket is ki tudunk fejleszteni, amelyekkel már ők maguk, házon belül is alkalmasak lesznek a kiberbiztonsági feladatok elvégezésére.
– Az elméleti képzések vagy a gyakorlatok játszanak nagyobb szerepet?
MNA: Mindkettő egyformán fontos. A kurzusok az elméleti alapokra épülnek, a tanfolyamokat azonban mindig egy szigorú protokoll szerint felépített kibergyakorlat zárja, akár civil, akár kormányzati, akár katonai szervezetnél tartjuk a képzést. Természetesen a tartalom és mélység minden projektnél testre szabott, egyedi.
– Ha nem titok, hogyan zajlik egy konkrét képzési projekt előkészítése és levezénylése?
FF: Az egész folyamatot az utolsó apró részletig megtervezzük. Ez akár hat–tíz hónapot is igénybe vehet. A komplett forgatókönyv birtokában kitelepülünk az ügyfélhez, a helyszíni képzés általában egy-két hetet vesz igénybe. A NATO-nak például minden évben szervezünk kiberhadgyakorlatokat, ahol általában 36 ország 1000-1500 szakembere vesz részt. Az ENSZ kibergyakorlatainak speciális tanmenetében van módszertani képzés, majd áttekintjük az alapvető incidenskezelési mechanizmusokat, végül egy két-három napos technikai rész következik, amelyben már a gyakorlatra fókuszálunk.
MNA: A több országot érintő vagy a NATO számára felépített kurzusokon az az egyik fő célunk, hogy feloldjuk a kényszeres titkolózást és végre rábírjuk a résztvevőket az ilyenkor kötelező kooperációra és kommunikációra. Az éles helyzetek ugyanis csak őszinte információcsere, valódi együttműködés eredményeként oldhatók meg. Ilyenkor olyan, az országhatárokon is átnyúló tesztincidenseket generálunk, amelyek megoldásához a különböző országok szakértői csapatainak végre beszélniük kell egymással. Az egész gyakorlat egyik lényeges pontja, hogy a különböző entitásokat rákényszerítsük, hogy végre technikai és stratégiai információkat cseréljenek egymással.
A küldetés lényege a kommunikáció
MNA: Mondhatjuk úgy is, hogy ez a mi szakmai küldetésünk. A stratégiailag kiemelt szinteken olyan helyzeteket imitálunk, hogy a CERT-ként ismert számítástechnikai sürgősségi incidenskezelő csapatoknak és a stratégiai döntéshozóknak ne legyen más lehetőségük, csak az, hogy végre kommunikáljanak egymással! Minél magasabb döntési szintre helyezzék a probléma létezését, és közösen keressenek megoldásokat.
– Hány hasonló profilú cég működik a világon?
FF: Ebben a műfajban abszolút egyedülállóak vagyunk, nincs még egy olyan cég, ahol ennyire magasra teszik a lécet. Ismerünk ugyan professzionális felkészültségű szakértőket, akik önállóan dolgoznak, de hasonló, komplex profilt felmutatni képes cég nincs a palettán. 2015 óta az ENSZ égisze alatt együtt dolgozunk olasz, német, amerikai és afrikai cégekkel, de ők csak a kibervédelem egy részével vagy a stratégiai döntéshozatali mechanizmusokkal, illetve csak a technikai résszel foglalkoznak. Mi abban is unikálisak vagyunk, hogy a legmagasabb szintű stratégiai és technikai és tréninget együtt végeztetjük el a résztvevőkkel.
– Szakmailag a spiccen vannak. De akkor hogyan tovább? Milyen fejlesztési irányokban gondolkodnak, milyen fejlesztéseket terveznek?
FF: Sajátos módon mi lefelé bővítjük a portfóliónkat. A kormányzati, a nagyvállalati és a katonai szféra mellett a kisebb cégek, civil szervezetek számára is biztosítani szeretnénk a hatékony kibervédelmet, ezért tavaly belevágtunk egy kétéves fejlesztésbe. Egy olyan platformot fejlesztünk ki, ami nemcsak segíti, hanem szélesíti is az oktatási munkáinkat. 2017 augusztusában egy üzleti folyamat eredményeként az Exim Növekedési Alap 600 millió forintos tőkebefektetéssel szállt be a cégbe. Ennek köszönhetően kétszeresére növeltük a cég szakértőinek létszámát, és olyan fejlesztéseket indíthatunk, amelyekkel tovább bővíthetjük szolgáltatási portfóliónkat.
Céglapítás után repülőrajt
Végy két tanárembert, akik két teljesen eltérő területen képezték magukat profi szakemberré. Ha az élet ugyanahhoz a vállalkozáshoz sodorja őket, akkor van remény arra, hogy idővel egy világszerte egyedülálló cégprofilt alakítsanak ki. A Cyber Services Zrt. két vezetője így idézi fel az indulást és a közös alapokat:
– Srác koromban autodidakta módon tanultam meg a számítógépek gépi kódú programozását – később tanárként egy teljesen humán pályán indultam tovább. A 90-es évek közepén már a nagyszámítógépekkel találkoztam, felfedeztem a hálózatok és az internet titkait, s közben rájöttem, hogyan lehet feltörni azokat a rendszereket. Nem vagyok bűnöző alkat, ezért úgy gondoltam, hogy a megszerzett tudással a „jó oldalon” kell valamit kezdenem. Akkorra a kiberszakmában már volt néhány külföldi kapcsolatom is, velük együtt alakítottuk ki azt a módszertant, amit ma „etikus hackelésként” definiálnak. Érdekesség, hogy később kétfelé ágazott ez a tevékenység, a másik módszertant ma a szoftverek minőségi teszteléseként ismeri a szakma. Ma is ez a két iskola létezik a világon – mondja Frész Ferenc, aki 2004-től hét éven keresztül a Kürt Zrt. információbiztonsági üzletágát vezette. Ott találkozott Mádi-Nátor Anett-tel, aki többek között az angol szaknyelv tanáraként dolgozott a cégnél.
– Kalandos gyerekkorom volt, sok helyen jártam a világban. Hét idegen nyelvet sikerült elsajátítanom, az első a spanyol – de hivatalos közegben ma is jobban beszélek angolul, mint magyarul. Történészként, majd összehasonlító nyelvészként végeztem az egyetemen, angol nyelv és irodalomból is diplomáztam. Alaposan megismertem a középkori Európa hadi diplomácia motivációs rendszerét – ennek ma is nagy hasznát veszem a mindennapi munkában. Végül Pécsett egy tanári diplomát is szereztem. Budapesten olyan nyelvstúdióban kezdtem dolgozni, ahol többek között azokat a magyar katonákat készítettük fel, akik például a legkeményebb békefenntartó missziókra indultak vagy NATO-pozícióra készültek. Ebben a nyelvi képzésben én azt a szintet oktattam, amit Európában csak Magyarországon tanítottak, vizsgázni pedig csak Angliában lehetett – mondta Mádi-Nátor Anett.
A két tanár egymástól is sokat tanult: a kiberprofi angoltudása gyorsan kiteljesedett, a nyelvtanár pedig egyre jobban értette a kibervédelem lényegét, fontosságát. Gyorsan felismerték, hogy az informatikai biztonság területén felhalmozott tudás oktatása egy olyan sajátos „szellemi termék”, amelyre a nemzetközi piac is kíváncsi lehet.
Az ügyfélkör gyorsan kiépült: az EU-tagállamok és a NATO-országok mellett a közel-keleti és a dél-amerikai országok is megjelent a megrendelők között. Szakmai elismertségüket jól mutatja, hogy két éven belül Mádi-Nátor Anettet nevezték ki a NATO kibertechnikai csoportjának elnökévé. A szakértők ekkor már a Nemzeti Biztonsági Felügyelet CDMA Központját vezették. Amikor 2015-ben Frész Ferenc többségi tulajdont szerzett az akkor már létező Cyber Services Zrt.-ben, Mádi-Nátor Anettet kérte fel a vezérigazgató-helyettesi pozícióra, aki operatív igazgatói beosztása mellett azóta is a nemzetközi projekteket menedzseli. Alig több mint két év alatt világméretű ügyfélkört építettek ki: Hongkongtól Peruig minden évben 80 ország kiberbiztonsági szakértőit képzik ki vagy tartanak számukra speciális továbbképzéseket – a kurzusokon eddig több mint 150 ezer ember vett részt.
Etikus hackerek képzése
Frész Ferenc több mint tíz éve foglalkozik olyan profi szakemberek képzésével, akik szakértelmüket a „jó oldalon” kívánják hasznosítani. Az „etikus hacker” fogalma és az oktatás szükségességének felismerése még a 90-es évek elején született meg. Az iskola alapítója akkor kezdte összeállítani az IT-biztonság kiépítéséhez szükséges ismeretanyagot, akkor tűzte ki célul, hogy önálló szakmaként is elismertesse ezt az egyedülálló tudáscsomagot.
– Tíz éve Magyarországon először alapítottam ilyen iskolát, azóta több mint kétszáz szakember kapott speciális kiképzést. Közülük kerül ki a Cyber Services csapatának utánpótlása is, a végzett hallgatók tudásának minőségére éppen az a garancia, hogy a saját magam és kollégáim által kiképzett és felvett emberekkel tudunk dolgozni.
– Mi történik, ha közülük valaki nem tiszta szándékkal végzi el a tanfolyamot, és végül a sötét oldalon, valódi hackerként kíván tevékenykedni?
– A leendő hallgatóknak a legmagasabb szintű nemzetbiztonsági átvilágításon kell átesniük, így még a kurzus megkezdése előtt alaposan megismerhetjük őket. Tény, hogy a nagyon erős képzés miatt van lemorzsolódás is, nem mindenki fejezi be a tanfolyamot. De ha valaki átállna a rossz oldalra, akkor őt a saját diáktársai buktatnák meg. Minden hallgatónak, minden hackernek egyéni stílusa van, így gyorsan kiderül, ha valaki „félrelép”. Tudjuk, hogy a srácokat időnként „megkínálják” egy kiválasztott rendszer feltörésével vagy valamilyen más hackerfeladattal, aminek teljesítéséért akár több milliárd forintot is ígérhet a megbízó. De a hallgatóink már a kurzus elején megtanulják, hogy az életben csak egyszer lehet elfogadni ilyen megbízást, és utána két tényezővel biztosan számolniuk kell: sosem fogják kifizetni a számlát, és egy életen át zsarolni fogják a hackert. És nincs hova fordulni bármilyen igazságtételért…
– Hol lehet elhelyezkedni az itt megszerzett végzettséggel?
– Hallgatóink kilencven százaléka etikus hackerként dolgozik a világ valamely pontján, természetesen a „jó”, azaz a védelmi oldalon, de a többiek pályáját is napi szinten követjük. A tíz év alatt elértük, hogy az etikus hackereket ma szakmaként jegyzi a világ, mégpedig a legjobban fizetett szakma egyikeként. Ma már nemzetközi összehasonlításban is vonzó ez a pálya, egy junior etikus hacker kezdő fizetése 50-60 ezer angol font évente, ami hozzávetőleg húszmillió forintnak felel meg. Aki pedig etikus hackerből kiberbiztonsági szakértővé képezi magát, ennek az összegnek akár két-háromszorosát is megkaphatja. Ma már Magyarországon is érdemes a fehérgalléros vonalon elhelyezkedni, az igényeket jól mutatja, hogy a hallgatóinknak már a végzés előtt szerződést kínálnak.
(Cikkünk nyomtatásban 2018 februárjában jelent meg a Biztonságpiac Évkönyvben. A -szerk- megj.)