Pánik, kapkodás, tapasztalatok hiányából fakadó hatékonysági problémák – ezekbe mind belefuthat egy vállalat akkor, ha valamilyen külső támadás éri az informatikai rendszerét. A T-Systems új “akciócsoportja” épp ezért alakult: azonnal a helyszínen terem és higgadtan, gyorsan teszi meg a szükséges lépéseket.
Nem minden szervezet rendelkezik olyan kiberbiztonsági csapattal, amely képes bármilyen kívülről érkező támadást elhárítani. A T-Systems szakértői sok ilyen esetnek voltak tanúi, ezért döntöttek úgy, hogy szükség van egy kiber-tűzoltóságra, egy olyan akciócsoportra, amely kifejezetten a gyors reakcióra helyezi a hangsúlyt. Kovács Zoltánnal, a CTRL SWAT nevű új szolgáltatás operációs vezetőjével beszélgettünk a részletekről.
Kiberbiztonsági incidensek, támadások, vírusok már évtizedek óta léteznek, és ugyanennyi ideje okoznak gondot a vállalatok életében is. Miért most döntöttetek úgy, hogy létrehozzátok ezt az akciócsoportot?
– Már régóta jelen vagyunk a biztonsági és incidens-kezelési szegmensben, csak más formákban. Már a 2000-es évek elején elkezdtük a menedzselt biztonsági szolgáltatások név alá csoportosított tevékenységünket, amely akkoriban meg is előzte a korát – szerencsére az akkori vezetés már akkor hitt abban, hogy szükség lesz erre. Ennek organikus fejlődése hozta el a SOC, azaz Security Operations Center szolgáltatásunkat, amelyet CTRL néven működtetünk. Itt a kollégák a nap 24 órájában, a hét 7 napján monitorozzák a szerződött ügyfelek rendszereit, jelzik feléjük az incidensekre utaló jeleket és segítenek ezek elhárításában.
A SWAT csapat újdonsága abban rejlik, hogy bizony sok szervezetnek még mindig nincs saját biztonsági csapata, vagy olyan szerződése, amelyben másokat bíz meg a rendszerük figyelésével. Ha pedig náluk “beüt a ménkű”, akkor nem tudnak hová fordulni a probléma megoldására Épp ezért mi magunk hoztunk létre egy ilyen “kiber-tűzoltóságot”, aminek az igazi újdonsága az, hogy bárki igénybe veheti akkor is, ha még nincs semmilyen egyéb szerződése a T-Systems-szel.
Az első ilyen eset mindig megrázó, még akkor is, ha sikerül gyorsan elhárítani a bajt. Ilyenkor felmerül az áldozatokban, hogy nem csak alkalmi utókezelésekben bíznak, hanem megelőzzék a problémát?
– Reményeink szerint igen, és innen a második lépcsőfok számukra a már említett SOC szolgáltatásunk, amellyel levesszük a vállukról a rendszer monitorozásának terhét, és így nagy eséllyel már a támadások előtt be tudjuk foltozni a biztonsági réseket. Magukat a támadásokat a SOC-is a nulladik pillanatban észleljük, hiszen szakképzett kollégáink 0-24-ben állnak készenlétben. Sokszor ugyanis a vállalatoknál nem is magát az incidenst veszik észre, hanem csak valamilyen következményét, például azt, ha kiszivárgott adataik megjelennek illetékteleneknél, vagy azt tapasztalják, hogy egyes informatikai rendszereik, például webshopjuk működésében hiba lépett fel. És ilyenkor bizony már órák vagy akár napok is eltelhettek a támadás óta.
Manapság mindenhonnan dőlnek ránk a hírek és sajtóközlemények arról, mennyiféle biztonsági probléma, támadási forma létezik, milyen hatalmas összegeket kasszíroznak a zsarolók és hogyan képesek hackerek teljesen leállítani akár regionális közműszolgáltatókat is. A SOC és a SWAT tapasztalatai alapján manapság mik a legfontosabb és legveszélyesebb kiberbűnözői módszerek?
– A “leghangosabb” mindenképpen a zsarolóvírus, hiszen itt közvetlenül képesek monetizálni a támadók a képességeiket, és sok olyan szervezet áldozatul esik, amelyek még a pillanatnyi leállásokat sem engedhetik meg maguknak, ezért bizony gyakran tényleg fizetnek is a titkosított adatok visszaállításáért. Hatalmas pénzeket söpörnek be ezek a bandák, évről évre nagyobb összegekről beszélhetünk: minden idők legmagasabb váltságdíját az Acer-től követelték, idén ősszel – 50 millió dollárt. Ehhez képest nem is tűnik magasnak a Colonial Pipeline által kifizetett 4.4 millió dollár, amivel egyébként még csak nem is egyediek, még 2021-ben sem.
Hasonlóan fontos a röviden DDoS néven ismert szolgáltatás-megtagadásos támadások köre, ahol a szervezetek konkrét működésébe avatkoznak bele, és az aktív munkából kiesett idő hatalmas pénzekbe kerül az áldozatoknak. Érdekes, hogy az utóbbi években ez a forma kétlépcsőssé vált és itt is megjelent a zsarolás egy formája: a támadók demonstrálják, hogy képesek ellehetetleníteni a célpontok működését, majd jelzik feléjük, hogy amennyiben nem fizetnek, még nagyobb arányú támadással folytatják.
A harmadik kiemelt veszély ezeknél jóval “csendesebb”, hiszen legtöbbször nem a támadás időpontjában válik láthatóvá. Ez az adatlopás és kiberkémkedés területe, ahol a célpont nem az, hogy felfigyeljen az incidensre, hanem az, hogy érzékeny adatokból minél tovább, minél többet tudjanak észrevétlenül megszerezni a bűnözők.
Mivel sok esetben pont olyan vállalatok veszik igénybe a SWAT segítségét, akik nem, vagy nem teljesen jártasak a digitális világban és a kiberbiztonságban, talán el sem tudják képzelni, hogy a segélyhívás után pontosan mi is fog történni. Szóval hogyan is zajlik egy ilyen “mentőakció”?
– A SWAT esetében tényleg úgy működik a dolog, mint a tűzoltóknál: mivel pont olyan szervezeteknek fontos ez a lehetőség, akik még nem ügyfeleink, az első lépésben a 06 1 48 19 911-es, ingyenesen hívható számot kell megjegyezni. Ez egy folyamatosan, 7/24-ben hívható segélyvonal, ahol már eleve nem adminisztrátorok, hanem IT-biztonság terén képzett szakemberek veszik fel a telefont. Az első, pár perces beszélgetés alatt tisztul, valóban kibertámadásról van-e szó, és ha a hívó szeretné igénybe venni a szolgáltatásunkat, a következő 60 perc alatt már a problémában jártas, “kettes szintű” kollégák veszik át az ügyet. Ilyenkor akár fizikai formában is kimennek a helyszínre, de közben telefonon és táveléréssel is megkezdődhet az ügy felgöngyölítése.
A tűzoltóság is jól szemlélteti a munkánkat, de én talán még jobban szeretem a Szellemirtókhoz hasonlítani magunkat, bármilyen furcsának is tűnik elsőre a dolog. Egyrészt, ahogy ők is annak idején, most mi is egyedül vagyunk képesek ilyen jellegű segítségnyújtásra, és olyan területen dolgozunk, ami a legtöbbek számára új és megfoghatatlan. A Szellemirtók sem véletlenül dolgoztak egy tűzoltóság épületében – bár sajnos nekünk még nincs olyan jellegzetes esetkocsink, mint nekik, és persze a KRESZ-t is minden esetben betartjuk.
Azt még fontos megjegyezni, hogy egy segélyhívás esetén nem csak azzal az előnnyel számolhat az ügyfél, hogy az akciócsoportunk gyorsan és hatékonyan elhárítja a támadást és “befoltozza” a biztonsági réseket. Egy ilyen incidens ugyanis gyakran azzal jár, hogy megsérülnek belső folyamatok, akár hálózati beállítások, adatbázisok, tehát nem elég közvetlenül az okot megszüntetni, de a helyreállításra is figyelni kell. Ilyenkor a T-Systems egyéb kompetenciái képesek belefolyni a feladatba, tehát szükség szerint a SWAT bevonhat olyan szakértőket és csoportokat, akik képesek a károkat helyrehozni és a támadás előtti működést helyreállítani.
Talán korai még a kérdés így, a SWAT működésének első hónapja után, de lehet-e látni, hogyan és hová növekedhet a csapat és a szolgáltatás?
– Tökéletesen tisztában vagyunk azzal, hogy egy hatalmas területet céloztunk meg, és nagyon sokféle igény, incidens-típus vár ránk, hiszen sajnos nem tűnik úgy, hogy a kibertámadások száma csökkenne a közeljövőben. Szerencsére, többek között az SOC működésének sok éves tapasztalatai alapján már előre úgy terveztünk, hogy folyamatosan növelni tudjuk az erőforrásainkat, alkalmasnak kell lennünk arra, hogy párhuzamosan több komplex üggyel foglalkozzunk. Ehhez több éves tervek állnak rendelkezésre, felkészülten haladunk egyre beljebb ebben a bizonyos óceánban.
A szolgáltatás sikeressége mellett azt várjuk, hogy a jövőben a SWAT-ot kihívó áldozatok közül talán egyre többen kapnak észbe, és nem várják meg a következő, váratlan támadást, inkább szerződött ügyfelekként a SOC szolgáltatásunkra bízzák a rendszereik és adataik védelmét.
