Minden informatikával, biztonsággal, információvédelemmel foglalkozó konferencián, fórumon vagy háttérbeszélgetésen szóba kerülnek a kibertámadások, a kiberháborúk. A napjainkra már állandósult veszély nagyságát mindenki másképpen ítéli meg, abban azonban teljes az egyetértés, hogy a megelőzésre és a védekezésre az eddigieknél jóval nagyobb figyelmet kell fordítani.
De hol tartunk a kibertámadásokkal szembeni védekezésben és megelőzésben? Valóban lemaradásban vagyunk? A magyarországi helyzet jobb, vagy rosszabb az európai átlagnál? Ilyen és hasonló kérdésekkel kerestük meg Mádi-Nátor Anettet, aki ma a Cyber Services Zrt. vezérigazgató-helyetteseként a cég operatív működéséért és a stratégiai üzletfejlesztésért felelős vezető, korábban a Nemzeti Biztonsági Felügyeleten belül létrejött, Frész Ferenc vezetésével működő Cyber Defence Management Authority (CDMA) munkatársaként dolgozott. Sokak szerint az ott publikált előrejelzéseik és incidenskezelési módszereik jóval megelőzték a korukat, a ma alkalmazott megoldások jó része az akkori tevékenységükre épül.
— Hol tart ma a kibervédelem? Igaz, hogy komoly lemaradásban vagyunk?
— A helyzetértékelés előtt nézzük át, mely állami szervezetek és hivatalok feladata a védekezés és a megelőzés. Ezt azért érdemes tisztázni, mert a kibertámadásokkal szembeni hatékony fellépéshez a prevenciós és védelmi feladatok ellátására hivatott szervezetek összehangolt együttműködése szükséges. Egy adott ország esetében ezeket a feladatokat az illetékes államigazgatási szervezetek – Magyarországon a rendőrség, a belügyi szakszolgálat és a katonaság – látják el. Egy gazdasági, kereskedelmi vagy éppen katonai szövetségben – amilyen például a NATO – pedig az adott államok hasonló, e feladatok elvégzésére dedikált rendészeti szervei. Minél több résztvevő számára kell kidolgozni egy egységes kibervédelmi stratégiát, annál bonyolultabb a bevezetést megelőző adminisztráció, és persze annál hosszabb ideig tart majd az elfogadott eljárások alkalmazása. Már önmagában ez is magyarázhatná, hogy a hatékony védelem és megelőzés kialakításában lemaradásban vagyunk. A másik ok, hogy az illetékesek nem a fontosságának megfelelően kezelték ezt a kérdéskört, vagy nem időben ismerték fel a probléma nagyságát.
— Ez Magyarországra is érvényes?
— Magyarországon már 2010 után összeállt egy olyan szakértői csapat, amelynek tagjai nemcsak a problémák felismerésére és szakmai megértésére voltak képesek, hanem a megelőzésre és a védelemre is kidolgoztunk módszereket, találtunk hatékony megoldásokat. Ha az utóbbi két-három év kibertámadásait vizsgáljuk, tökéletesen látszik, hogy az akkori a problémafelvetéseink pontosan előrevetítették a jövőt. A 2011-ben a Cyber Defence Management Authoritynél, azaz a kibervédelmi hatóságnál megfogalmazott intézkedéseink korukat megelőző módszereket és megoldásokat tartalmaztak. Azóta ezek épültek be a számítástechnikai sürgősségi incidenskezelő csapatok – amelyeket CERT rövidítéssel ismer a szakma – szervezeti és működési szabályzataiba és egyéb feladatleosztásokba. Az államigazgatási szervek mostanában jutnak el odáig, hogy már alkalmazzák is azokat a módszereket, amelyeket mi 2011-től kezdve próbáltunk meghonosítani. Végül is az a lényeg, hogy 2018-ban a stratégiai döntéshozóknak és az újonnan felállított CERT-eknek már a kibertámadások megelőzésére és kezelésére valóban alkalmas funkcionalitások álltak rendelkezésre.
— Funkcionalitáson mit kell értenünk?
— Azokat a feladatokat, amelyeket egy-egy állami szervnek el kell végezni, meg kell oldani, meg kell valósítani. Ilyenek például az információszerzés, a megelőző védelmi képességek kialakítása, a sérülékenységvizsgálatok elvégzése, a sérülékenységmenedzsment, a logelemző képességek kialakítása vagy az incidenskezelési eljárások. És itt nemcsak Magyarországról beszélünk, e feladatok elvégzése már túlnyúlik az országhatáron. Egységes szemléletmódot kell kialakítani és követni, az incidenskezelési metódusokat európai szinten is összehangoltan kell kezelni, ugyanúgy, ahogyan többek között a NATO szakmai köreiben is.
— Ezek szerint Európa vagy akár a NATO most jutott el oda, hogy jelentőségének megfelelően kezelje a szervezett kibertámadások és az egyedi hackelések összességéből álló veszélyhalmazt?
— Úgy gondolom, hogy most jutottunk el odáig, hogy ténylegesen működő és meglehetősen nagy kibervédelmi struktúrákat kezdünk kialakítani. Nemcsak EU-szinten, hanem 2018-ban már nálunk is elkészültek azok a belügyi előterjesztések, amelyekben végre megjelentek a korábbi éveknél sokkal hatékonyabb, a kiberbiztonságot és az egész kibervédelmi problémarendszert jóval komplexebben kezelő államigazgatási elképzelések.
— Ez azt jelenti, hogy már nemcsak az események után megyünk, hanem szinkronban vagyunk azokkal?
Ott még nem tartunk, de óriási előrelépéseket teszünk Magyarországon és euroatlanti szinten is. Első lépésként egy olyan mértékű megfigyelési rendszert kell mindenhol kiépíteni és alkalmazni, ami automatikusan elvezet oda, hogy rendelkezésre álljon egy akkora információhalmaz, amelyből már preventív védelmet lehet üzemeltetni.
— Mindebből úgy tűnik, hogy a védelem sohasem lesz igazán szinkronban, mert a kibertámadók mindig egy lépéssel előbbre járnak…
— Sajnos ez igaz, ez az it-technológia, a hírszerzés és a hackergondolkodás természetéből adódik. Az viszont nagyon nem mindegy, hogy mennyivel vagyunk lemaradva. Teljesen, vagy nyolcvan százalékot már behoztunk, és csak hússzal vagyunk lemaradva. Ráadásul, ha azt is tudjuk, hogy melyik húsz százalékkal, akkor azt a szeletet már lehet célzottan monitorozni. Tisztában lehetünk mindazzal, ami felénk jön, amivel szembe kell nézni. Lehet, hogy még nem tudjuk kezelni, de legalább már látjuk a problémát. Minden egyes nemzetállam, amelyik pénzt és energiát fektet a megelőző tevékenységbe, intézményrendszert épít, képzéseket nyújt a saját szakértőinek, sőt akár kényszeríti is a szakértőit a folyamatos képzésekre. Az új típusú CERT-eknél ma már eljutottunk odáig, hogy a kibertérben kötelező a folyamatos tanulás is.
— Említette a 80 százalékos védettségi arányt. Ez mennyivel növelhető belátható időn belül?
— Nem biztos, hogy az a legfontosabb cél, hogy ezt az arányt feljebb tornázzuk, megfelelő eszközökkel és tudással a 20 százalék már kezelhető. Ha megfelelő monitorozó és log-elemző szoftvereszközöket használunk, ha a rendszer viselkedését elemző megoldásokat fejlesztünk, majd megfelelően alkalmazzuk is azokat, és ha a monitorok elé olyan szakembereket ültetünk, akik értik, amit látnak, képesek értelmezni az elemzések kimenetét, akkor majdnem teljes körű szituációs tudás érhető el. Ezért a tudásátadásért mi is felelősnek érezzük magunkat, ezért minden lehetőséget megragadunk a folyamatos tudásmegosztásra. A rendszerbe állítandó eszközök beszerzése azonban nem a mi dolgunk, olyan tanácsot azonban szívesen adunk, amely segít a megfelelő védelmi rendszer szoftvereinek kiválasztásában.
(Az interjú a Biztonságpiac 2019 évkönyvben jelent meg, tavaly februárban.)