A Telekom október 28-án rendezi meg a „Láthatatlan bűnözők – veszélyek a kibertérben” című eseményt, amelynek egyik előadója Dr. Krasznay Csaba kiberbiztonsági szakértő, a Nemzeti Közszolgálati Egyetem docense, az egyetem Kiberbiztonsági Kutatóintézetének intézetvezetője. Vele beszélgettünk arról, hogyan változnak a világ biztonsági trendjei – és meglepő területekre jutottunk.
Amikor annak idején, a PC-k hőskorában megjelentek az első vírusok és vírusirtók, voltak olyan vélemények, hogy ez a veszélyforrás technológiailag okafogyottá válik pár éven, vagy legalábbis évtizeden belül. Ehhez képest 2021-ben már nem csak vírusok, hanem több tucat különféle fenyegetés-típus létezik, összesen pedig veszélyforrások ezrei az egyéni felhasználókat célzó adatlopó trójaiktól a zsarolóvírusokon át az államilag finanszírozott hackerekig és a kiberháborúig. Indítsuk is a beszélgetést egy olyan kérdéssel, ami rendet vághat a káoszban.
Már-már el is veszhet az ember a sokféle fenyegetettség között, van valamilyen ma is érvényes kategorizálás ezen a téren?
– Jelenleg a kiberbiztonság területén négy főbb területet különböztetünk meg: a kiberbűnözést, a kiberkémkedést, a kiberhadviselést és a kiberterrorizmust. Ezek közül messze a kiberbűnözés az, amivel a hétköznapokban a leginkább találkozhatunk, ennek az oka pedig egyszerű: lassan ötmilliárdan használjuk nap mint nap az internetet és még mindig folyamatosan nő a száma azoknak, akik adatokat osztanak meg, vagy valamilyen szolgáltatást használnak a weben. Ezeknek a felhasználóknak pedig egy csomó olyan erőforrása hozzáférhető ezáltal, ami közvetlenül vagy közvetetten pénzzé tehető. A közvetlennél beszélhetünk például az ellopható bankkártya-adatokról, míg a közvetett egy sor egyéb olyan adat lehet, ami pénzzé tehető – nem is beszélve arról, hogy az általuk használt eszközök hozzáférései is eladhatók azért, hogy azokat aztán valaki mondjuk egy túlterheléses támadásra felhasználja.
Épp ezért nagyjából 10 éve lehet azt mondani, hogy a szervezett internetes bűnözés a leginkább “jövedelmező” terület, már csak azért is, mert a megtámadható emberek száma miatt már nagyon kicsi egyéni sikerekkel hatalmasat lehet kaszálni. Gondoljunk csak bele például azokba az adathalász levelekbe, amiket valamilyen közműszolgáltató nevében küldenek, és mindössze pár ezer forint befizetési elmaradást jeleznek. Ha ennek csak egy ilyen akcióban megtámadott sokmillió ember töredéke dől be azért, mert nem néz utána a dolognak, vagy egyszerűen a kért összeg olyan kicsi, hogy gyanú felett áll, az elkövetők máris hatalmas összegekkel gazdagodnak. Szakértők szerint, 2-300 dollár az a lélektani határ, amikor a pórul jártak – ha egyáltalán észre is veszik a kárt – nem tesznek feljelentést, és nem mennek a pénzük után.
Ráadásul emellett a vállalatokat is egyre szofisztikáltabb támadások érik, 2021 például egyértelműen a már jó ideje felbukkant zsarolóvírusok éve. A tipikus célpontok ma már azok a vállalatok, akik nem rendelkeznek egy pénzintézet vagy egy állami szervezet kifinomult védelmével, viszont az adataik titkosítása jelentős kárt okoz számukra, ezért inkább fizetnek a zsarolóknak. Manapság épp élelmiszeripari cégekről hallani, akik akár milliárd dolláros forgalommal rendelkeznek, így aztán nem egyszer milliókat is hajlandóak kifizetni azért, hogy újra működni tudjanak.
Emellett azért továbbra is a zsarolóvírusok célkeresztjében maradtak az egyéni felhasználók is, ráadásul már az sem segít, ha valaki ért a védekezéshez. Személyes tapasztalat: fél éve én is “bekaptam” egy zsarolóvírust, pedig igazán odafigyelek az operációs rendszer és a biztonsági szoftverek frissítésére és arra, hogy ne töltögessek le ismeretlen helyről csábítónak tűnő szoftvereket. Ezek szerint a zsarolók nem válogatnak a célpontok között?
– Manapság változik a zsarolóvírusok íróinak “célzása”, és egyre többen a nagy bevétellel kecsegtető vállalatokra állnak rá, de ez nem azt jelenti, hogy az egyéni felhasználók hátradőlhetnek, hiszen sokszor a nagyvállalatokat is legális letöltésnek, hivatalos weboldalnak álcázott csalikkal, a dolgozókon keresztül hálózzák be, így aztán ugyanezek otthoni internetezőket is eltalálhatnak.
Az egyéni felhasználókra manapság leginkább az online csalások céloznak, amelyek egyébként a fizikai térből helyeződtek át online platformokra. A magyarországi rendőrségi statisztikákat megnézve is jól látható, hogy a csalások nagyobb része már internetes formában terjed. Ezeknél ugyanis továbbra is elegendő egy jól megfogalmazott e-mail vagy akár közösségi bejegyzés ahhoz, hogy valakit megtévesszenek.
Jó is, hogy a közösségi médiát említjük, hiszen láthatóan ez sem segít az amúgy is kaotikus helyzeten. Ha például valakinek meghackelik a fiókját, onnantól akár az illető tudta nélkül könnyen megszórhatják az összes ismerőst megtévesztő linkekkel. Nézd csak, milyen videót találtam, kattints rá – ennyi a szöveg, és mivel a címzettek ismerős arcot látnak, feltétel nélkül megbíznak az üzenetben és a linkben is. Ez pedig láthatóan kétpólusú reakciókat szült: egyesek egyáltalán nem törődnek a veszélyekkel, mert megbíznak saját ismerőseikben, vagy akár fel sem fogják, hogy valósak az ilyen fenyegetések, mások pedig már az igazi üzeneteket is mikroszkóp alatt vizsgálgatják és egyre jobban elhatalmasodik rajtuk a paranoia. Ezt a furcsa világot már meg kell szoknunk?
– A tankönyvi szöveg szerint a biztonság nem más, mint a fenyegetések hiánya. Ennek megfelelően valóban kétféleképpen viselkedhetünk: vagy tisztában vagyunk a veszélyekkel és mindent megteszünk a védekezés érdekében, vagy nem veszünk tudomást ezekről és mindaddig, amíg nem történik velünk semmi rossz, biztonságban érezzük magunkat. Ezek persze szélsőségek, de én úgy látom, hogy többek között az elmúlt másfél év bezárkózása, a valamelyest kényszerű digitalizáció miatt az emberek egyre nagyobb részében tudatosult valamiféle veszélyérzet.
Amikor például gyerekeket tanítok a biztonságos internetezésre, valahogy a legtöbbjüknél felbukkan olyan csalásról szóló történet, ami a családjában vagy a szűkebb környezetében esett meg. Alapja tehát van annak, hogy lehetőleg ne dugjuk a homokba a fejünket, de azért fontos, hogy paranoia helyett maradjunk az egészséges bizalmatlanságnál. Ez pedig abból áll, hogy figyeljünk egyértelmű jelekre és tartsunk be néhány alapvető szabályt. Vegyük észre például, ha valaki úgy küld nekünk egy linket, hogy nem fűz hozzá semmilyen megjegyzést, esetleg gyanúsan máshogy kommunikál, mint szokott. Emellett az is fontos, hogy ne bízzunk azonnal bármilyen beérkező hírben vagy állításban, hiszen a legtöbb dolog egy egyszerű Google-kereséssel leellenőrizhető. Egy csaló ál-számla küldője is villámgyorsan lebuktatható, ha megnézzük, létezik-e a cég, vagy valósak-e a számla egyéb adatai. Ráadásul a támadások jó része rajtunk kívül sok ezer, vagy akár millió egyéb embert is célba vesz, tehát ha beírjuk a keresőbe a gyanús részleteket, könnyen rátalálhatunk arra, ha egy közismert csalásról van szó.
Én és a kollégáim manapság leginkább arra törekszünk, hogy erre az egészséges bizalmatlanságra megtanítsuk a felhasználókat, és rávegyük őket arra, hogy ne vegyék félvállról a sérülékenységeket. Ne legyen például gyakorlat az, amit még mindig túl sokan mondanak, miszerint “ugyan, miért baj az, ha valaki megtudja az e-mail címemet”, esetleg “miért változtassak jelszót egy adatszivárgás után, hát kit érdekelnek az én ártatlan kis adataim”. Legyen az is alapvetés, hogy ne egyetlen jelszót használjunk fixen egy adott e-mail címhez minden egyes platformon és szolgáltatásban, hiszen így elég egyet feltörni, és a többihez is szabad lesz az út a támadók előtt. Jelenleg több mint 11 milliárd kiszivárgott e-mail és jelszó páros elérhető különféle kiszivárgott adatbázisokban – és szinte biztos vagyok benne, hogy a kapcsolódó felhasználók jó része vagy nem is tud erről, vagy nem érdekli a dolog és azóta sem váltott jelszót. Ezután pedig ne is csodálkozzon senki, ha csalók áldozatává válik, nagyobb léptékben pedig azt se várjuk, hogy amíg az emberek többsége nem lesz elővigyázatosabb, megszűnik a kiberbűnözés aranykora.
A Telekom eseményén a gyerekek védelméről, a rájuk leselkedő online veszélyekről tart majd előadást. Értelemszerűen ezt előre nem „lőnénk le”, hiszen majd az összefoglalóban szerepel, ezért inkább azt kérdezném, mi ön szerint emellett a „legforróbb téma” a kiberbiztonság világában?
– Fontosnak tartom, hogy az államok közötti és államokon belüli megfigyelési és kémkedési műveletek milyen szinten terjednek manapság, erre ugyebár nemrég volt is példa a Pegasus kémszoftver körül kialakult világszintű botrány formájában. Ezzel kapcsolatban érdekes kérdés, hogy az államok milyen kiber-képességekkel rendelkeznek és rendelkezhetnek és miért lehet számukra fontos az, hogy használják ezeket. Érdemes belegondolni, hogy ennek milyen veszélyei és jó oldalai vannak – hiszen persze alapvetően az ilyen megfigyelő eszközök a szervezett bűnözés és a terrorizmus megelőzésében komoly szerepet játszanak. A kockázatok mellett az is érdekes kérdés, hogyan lett az elmúlt években a korábbiaknál biztonságosabb az internet, miközben mégis egyre kifinomultabb támadási formák jelentek meg.
Nagyon fontos, hogy a mobilokra és egyéb okoseszközökre is odafigyeljünk biztonsági szempontból, hiszen sokan még mindig elfelejtik, hogy egy okostelefon tulajdonképpen egy tökéletesen kihasználható kamera és mikrofon a zsebünkben, amelynek az adatait mások is használhatják, ha nem figyelünk oda. Ezek az eszközök konkrét képet és hangot adhatnak arról, mit csinálunk és hol vagyunk, kivel mit beszélünk, de ott vannak még a GPS-adatok és minden egyéb olyan információ, amelyet begyűjtve – elméletben – bármilyen helyzetben megfigyelhetővé és követhetővé válhatunk. Hogy ez azt jelenti-e, hogy elértünk az Orwell-féle 1984 állapotába, vagy azért ennyire nem vészes a helyzet, azt manapság már nem is olyan könnyű eldönteni.
Kissé vakmerő kérdést teszek fel, de vajon lehet-e azt most látni, hogy mondjuk 5-10 év múlva mik lesznek a legfontosabb biztonsági kérdések?
– Nem is annyira megválaszolhatatlan ez a kérdés, egy 10 éves előretekintést viszonylag bátran tehetünk. Például az Egyesült Államok és Kína közötti kiberhadviselés már most megmutatja azt, hogy merre tart a legmagasabb szinten a világ. Emellett pedig azt is jól látjuk, hogy az úgynevezett negyedik ipari forradalom közepén járunk, amikor már nem csak mi magunk használunk közvetlenül okoseszközöket, de közvetetten is szenzorok, IoT-eszközök adataira támaszkodunk az életünk szinte minden területén.
Épp ezért nem mindegy, ki uralja majd a kiberteret, ezeket a berendezéseket, vagy épp az általuk gyűjtött és felhasznált adatokat. Csak egy példát mondok: manapság felívelőben van az önvezető autók fejlesztése, amelyek – ha majd véglegesen forgalomba állnak – már teljesen automata módon gyűjtött adatok alapján számolják ki az útirányunkat, a sebességünket, ha pedig valaki “belemászik” ebbe a rendszerbe, konkrét emberi és anyagi veszteséget okozhat, vagy nagyléptékben teljes közlekedési káoszt. Ott van az 5G kérdésköre is, amely tulajdonképpen ennek az új ipari forradalomnak egyfajta autópályája, minden szükséges adat ezen száguld majd át, és ezért szintén fontos, ki férhet ezekhez hozzá, és esetleg ki akadályozhatja meg az adatáramlást.
Aztán menjünk egy kicsit még tovább ezen a vonalon. Nemsokára, amikor az életünknek még több része alapul majd a folyamatosan elérhető hálózatokon a fent említett önvezető autózástól kezdve a napi munkánkon át a globális logisztikáig, az áruszállítás és a kereskedelem folyamataiig. Ha mondjuk tíz év múlva valaki “kihúzza a dugót” az 5G hálózatokban, gyakorlatilag a teljes életünk összeomolhat. Ez pedig már jóval messzebb vezet, mint a klasszikus, vírusokkal és egyéb számítógépes kártevőkkel foglalkozó biztonsági szegmens.
Már az első ipari forradalomban megindult például a városiasodás folyamata, és az ezzel foglalkozó tudósok már akkor felvetették, hogy a városokban felnövő emberek nem tudnának meglenni a vidékről beérkező termények és szolgáltatások nélkül, ha azok egyik pillanatról a másikra megszűnnének. Most pedig, a negyedik felvonás közepén már minden mindennel összefügg, egy városi ember a hálózat megszűnésével elveszítené a körülötte felépült infrastruktúrát, de még ennél is van tovább. Manapság ugyanis, pont az internetnek köszönhetően megváltozott az is, hogyan és mit tanulunk: már nem évszámokat, verseket, vagy épp konkrét gyakorlati tudást halmozunk fel, hanem rászoktunk arra, hogy mindent megtalálunk egy internetes keresővel, vagy használunk rá egy speciális appot. Ha pedig egyszer valaki kivágja alólunk a digitális infrastruktúrát, a városi ember nem tud majd tyúkot tenyészteni és azt se tudja, hogyan szerezzen búzát a kenyérsütéshez. Tehát bizony, a közeljövőben a kiberbiztonság túllép a kibertéren, és már arra is figyelnünk kell, hogy a körénk épült digitális világot megóvjuk annak érdekében, hogy normális életet élhessünk.
