Hétpecsét Egyesület 2016. szeptember – „Információvédelem menedzselése”
29 perc olvasás
A Hétpecsét Információbiztonsági Egyesület 72. szakmai fóruma 2016. szeptember 21-én zajlott a fenti címmel.
A Hétpecsét Információbiztonsági Egyesület 72. szakmai fóruma 2016. szeptember 21-én zajlott a fenti címmel.
Gasparetz András egyesületi elnök bevezetőjében visszatekintett az egyesület korai időire, szólt egyesületi hírekről, pályázat-kiírásokról, értékelésekről, az egyesület egyéves, megújult honlapjáról, annak tematikájáról, s az információ-biztonság anekdotába illő fejleményeiről.
Hornyák Gábor, a CCLAB Kft. laborvezetőjének előadása az elektronikus útlevelek bevezetésének IT biztonsági vonatkozásait vette szemügyre, különös tekintettel a Common Criteria tanúsításra.
A CCLAB kft. fő tevékenysége a Common Criteria értékelés; ami a termékek információ-biztonsági értékelését jelenti, közös szempontrendszer szerint, nemzetközi megállapodások keretei között.
A cégnél nemzeti séma alapján működtetnek Common Criteria labort. Ez a séma a választott olasz mintákat követi, így a kiállított, aláírt dokumentumokat az olasz gazdasági minisztérium információbiztonsági tanúsítási osztálya nézi át és ad róla tanúsítványt. A CCLAB kft. 2015. májusában kapta meg az un. séma-megfelelést.
Maga a Common Criteria az európai, amerikai és egyéb szabványokból jött létre a '90-es évek végére.
Az elnevezés mögött az egész világon elfogadott közös szempontrendszer, információs biztonságot értékelő rendszertan rejlik. Az elfogadó országokban Open Rising felirattal adnak ki vonatkozó tanúsítványt, de a hivatalos csatlakozást mellőzők is elfogadják a megfogalmazott kritériumokat. A gazdasági világ jó része ezen szabvány alapján értékeli és növeli a termékek biztonságát, eladhatóságát.
A Common Criteria nem csak a termék működési előírásait tartalmazza, hanem erre egy keretet is ad. Ezzel a kerettel termékcsoportokra vonatkozó követelmény-rendszert, un. védelmi profilt, s az adott termékre vonatkozó biztonsági előirányzatot lehet felállítani.
Hogyan zajlik egy értékelés?
Jelentkezik értékelésre egy fejlesztő.
A fejlesztők nem mindig eléggé tőkeerősek egy ilyen értékelésre, szponzorok segíthetik őket, pl. jelen esetben, az útlevél értékelésnél az állam, vagy egy nagy chip-gyártó.
A laborral megállapodnak a feltétel-rendszerben, ahol a labor megmondja, milyen erőforrásokat kell biztosítani, milyen dokumentumokat kell elkészíteni, milyen szempontokra kell figyelni.
A labor a jelentkezés elfogadása után a szabályos követelmények szerint értékeli a terméket.
Megnézik, mennyire felel meg a szabvány követelményeinek. Amennyiben nem felel meg, akkor kiadnak egy un. Observation Riport-ot, a fejlesztő ennek alapján tud javítani a terméken.
A fejlesztési-javítási iterációs ciklusok sikeres befejeztével a fejlesztő kézhez kapja a teljes dokumentációt.
A gyakorlati eljárást tekintve: van olyan része a terméknek, amit meg akarunk védeni, adott esetben az útlevélben lévő személyes adatokat. Ezek az előírt követelmények, (preset-ek) fenyegetésnek vannak kitéve, ill. jövőbeni fenyegetés léphet fel velük szemben.
Fel kell mérni ezt a fenyegetettséget. A már megbízhatóan működő megoldások elfogadott szabályokat követnek, ezeket nem szükséges vizsgálni, értékelni.
A felmérés során megfogalmaznak egy un. biztonsági probléma definíciót, ez határozza meg azt az irányt, amelynek meg akarunk felelni, ami ellen védekezni akarunk.
A válaszlépések megadásakor kitűzzük az elérendő célt, ez adja az alapját a szabványból előállítható, vagy önállóan megalkotható biztonsági követelmények felállításának.
Hogyan zajlik ez a tanúsítás az elektronikus útlevél (ePassport) esetében?
Az ePassporton különböző programok futnak, feladatuk a kritikus felhasználói adatok védelme.
Az elektronikus útlevél vevője az állam, amely a terméket csak megbízható tanúsítás esetén fogja megvenni.
Olyan írásos véleményre van szüksége, hogy a terméket egy független harmadik fél, esetünkben a fenti labor és az olasz tanúsító a követelmények teljesítésében megfelelőnek nyilvánította.
Az útlevéllel szembeni elvárás, hogy az a világ minden táján működőképes legyen, s megfeleljen az országonként eltérő biztonsági eljárásoknak, biztonsági szinteknek. A németországi eljárásnál pl. magas adatbiztonság szintet követelnek meg, egy kevésbé technológia-központú helyen pedig alacsonyabb szint is megfelel.
A szabvány kimondja; ahol a Password Authenticated Connection Esstablishment (PACE) szintje alacsonyabb, ott is megfelelő megoldást kell nyújtani.
https://www.bsi.bund.de/EN/Topics/ElectrIDDocuments/SecurityMechanisms/securPACE/pace_node.html
https://en.wikipedia.org/wiki/Biometric_passport
A hazai használatra kialakított terméket egy magyar cég, az IBM Clasp írta. Az alapkiépítés egy LXP chipseten működik; ami chip, chrypto library és egy Java operációs rendszer, erre írta az IBM Clasp a megoldását.
Ezt a felállást kellett minősítenie a CCLAB-nak. 2016. január 1. óta egyébként ez a termék jelenik meg a személyi igazolványban is http://www.research.ibm.com/people/f/fdouglis/papers/coopstreams-mw.pdf
http://bitwiseshiftleft.github.io/sjcl
Erre épült az ePassport. A platform, a chrypto library és az operációs rendszer tanúsított adatait nem kellett újra értékelni a CCLAB-nak, csak az IBM applet működésére kellett összpontosítani.
http://www.webopedia.com/TERM/A/applet.html
http://www.tutorialspoint.com/java/java_applet_basics.htm
A Common Criteria rendszerében az értékelésnek különféle garancia-szintjei léteznek. A jelenlegi nemzetközi rendszerben az érvényes megállapodás szerint a 7 szint közül a 2-es jelenti az elfogadhatót.
A SOG-IS európai kölcsönös elismerési rendszerben magasabb szinteket is elfogadnak, 4-estől 7-es szintig.
Az olaszok a 4-es szintig preferálják az elfogadást. Ez a szint már kellően bonyolult, így 6-8 hónapig is eltart egy-egy értékelés, ami nem igazán nehéz, de sok lépésből áll, s a szerzői javítási ciklusok időigényesek.
https://www.enisa.europa.eu/events/sog-is
Több értékelési osztályt kell sorbavenni a munka során:
A követelményrendszer megfelelőségének értékelése:
Az, amit a szerző leír termékéről, nem tartalmaz-e zavaró, félrevezető kritériumokat, pl. az útlevél ellenőrzésénél nem elegendő csak az arckép azonosságának ellenőrző vizsgálatát előírni.
Ellenőrizni kell, hogy az adott cég milyen konfigurációs rendszert alkalmaz, s ennek mi a hatóköre.
Aki hozzáfér a kódhoz, az hogyan teheti ezt, s hogyan lehet minden egyes kódrendszeri változtatást szemmel tartani, az mikor, milyen célból történt, és ki adta hozzá azt a kódhoz.
Ellenőrizni kell, hogy megfelelően működik-e a cég beléptető rendszere, tűzoltó rendszere és riasztó rendszere.
Vizsgálni kell, hogy hol vannak elhelyezve a szerverek.
Hogyan adják oda a terméket a vevőnek, az útlevél esetében az életciklus szerinti működés milyen lépéseket tartalmaz, megfelelő alakisággal van-e az leírva a vevő számára.
A felhasználói dokumentációban le van-e írva a felhasználói szerepkör, az interfészek, s ezek használata.
Az adminisztrátori ismertetőben le van-e írva, hogy a termék átvétele után hogyan kell befejezni az installálást, hogyan kell azt személyre szabni, s minden érthetően működik-e a leírás alapján.
A dokumentáció vizsgálata:
A biztonsági követelményrendszerhez tartozik a biztonsági működésmódok együttműködési leírása; hogyan biztosítható ez, s hogyan lehet elkerülni a biztonsági funkciók megtörését. Erről szól az architektúra-dokumentáció, s ennek értékelése.
A funkcionális specifikáció és ennek értékelése az interfész-leírásokról szól.
A design arról szól, hogy a kód és a biztonsági funkciók hogyan férnek össze, hogyan működnek együtt.
A több hónapi értékelés után következik a tesztelés. Az adott projektben többek között meg kellett vizsgálni, hogy a fejlesztő által alkalmazott inter-operábilis és biztonsági tesztek lefedik-e a teljes követelményrendszert, elég mélyek-e.
Az útlevél- feladat során teszteket kellett írni, majd biztonsági sérülékenységet kellett elemezni.
Ez a legizgalmasabb része a munkának, a szakértő ilyenkor felméri, a szakirodalom szerint milyen támadási módok jöhetnek számításba. Ennek alapján kell megpróbálni kiaknázni a sérülékenységeket. Nagy segítséget jelent, hogy magának a a platformnak az értékelője kiad egy dokumentumot, melyben felsorolja, hogy az ő értékelése szerint milyen sérülékenységek maradhattak fenn. Ezeket mind tesztelni kell.
A tárgyalt feladat vizsgálatai után az olasz minisztérium közzétette tanúsítványait, leírva; mi a termék, ki a fejlesztő, milyen garancia szinten és milyen szabvány szerint került az adott termék értékelésre és tanúsításra.
A fenti elektronikus útlevél egy útlevélkezelő rendszer elemét képezi, mely tartalmaz még terminálokat, amelyek megszólítják az útlevelet, kiolvassák az adatokat. Az útlevél elektronikus részét nem lehet hamisítani az adott ország által kibocsátott, az útlevélre telepített kulcsok megszerzése nélkül. A rendszer biztonságos csatornákon át kommunikál, amelyekhez az útlevélen és a terminálon is kulcs szükséges,.
A hamisítók csak külső megjelenésben tudnak hasonlóságot elérni, elektronikus működésben nem.
A termék nem az örökkévalóságnak készül; európai megállapodás szerint, egy-egy tanúsítás 18 hónapig érvényes.
A szoftver fejlesztése folyamatos, így a termék is időről időre megújulhat. Jelenleg a termék összes funkcióját, az eddig nem használtakat is, egy új operációs rendszeren tesztelik.
https://en.wikipedia.org/wiki/Common_Criteria
http://hetpecset.hu/site/uploads/files/hetpecseteloadas20160921v5.pdf
https://www.commoncriteriaportal.org/ccra
http://users.nik.uni-obuda.hu/poserne/ibst/Szabalyozasok_modszertanok_Tothmajor_Mate_Kurt.pdf
Dr. Dósa Imre, a Budapest Bank adatvédelmi felelőse az európai adatvédelmi rendeletekre való felkészülésről tartotta előadását.
Az új európai jogszabály előszavában megfogalmazza; „a személyes adatok kezelését az emberiség szolgálatába kell állítani".
Jelentős változás érzékelhető az 1995-ös Európai Adatvédelmi Irányelvekhez képest. Megjelent benne, hogy nem abszolút, nem mindenen felülálló jogról van szó. Törekedni kell beágyazására az egyéb jogokra vonatkozó rendszerekbe. Alkalmazásakor a hasznosságra kell törekedni.
A 2016-os 679-es számú EU rendelet kimondja, akkor lesz jó az adatvédelem, ha teljesíti az adathordozhatósághoz való jogot, nevezetesen, ha egy bonyolult regisztrációs eljárással egy weblapon regisztráltam, akkor ezt a személyes adataimmal való regisztrációmat egy másik helyre is magammal vihessem. A jogszabály ilyesfajta gyakorlati adatvédelmi értelmezésekre is útmutatást próbál adni.
Az új rendelkezés nem érinti a közérdekű adatok eddigi szabályozását.
A személyes adatokra vonatkozó alapgondolat nem változott; ezeket hozzájárulás alapján kell kezelni, az adat-alanynak legyen valamiféle hatalma, befolyása az adatai felett.
Az érvényességi körről kimondja, a szabályzás mindenkire vonatkozik, aki az EU-ban szolgáltat, akár bejegyzett telephely nélkül is. Pl. aki weblapot üzemeltet magyarul, s itteni szolgáltatások körét teszi elérhetővé, annak alkalmaznia kell a rendeletet.
Újdonság:
Elszámoltathatóság; nagyon fontos, hogy az adatkezelőnek bármikor számot kell tudni adni, hogy mit tett az adatkezelés törvényessége érdekében.
Átláthatóság; egy ellenőrző hatóságnak, de egy adatalanynak is látnia kell, hogy mi történik az adataival, hova kerülnek, hogyan dolgozzuk fel azokat.
Az adathordozhatóság tekintetében a jogszabály homályos, de ez a szabályozás nem beszélhet technikai szabványokról, de a műszakiak maguktól meg tudják találni azt a formátumot, pl. az XML-t, amiben adattárolást illetően egyetértésre juthatnak.
Adatvédelmi hatásvizsgálat; meg kell nézni, hogy egy új termékszolgáltatás esetében milyen hatásokkal kell számolni, mi lesz az adatvédelmi tartalma egy új adatkezelésnek, terméknek, szolgáltatásnak.
Az adatvédelmi nyilvántartás felváltja a jelenlegi kötelező, naív bejelentést, sokkal jelentősebb szerepe lesz.
Új jogalapok; pl., ha valaki szerződést köt, akkor ez már önmagában adatkezelési jogalapnak minősül.
A belső adatvédelmi felelős új megnevezése: adatvédelmi tisztviselő, aki kb. a szakaszervezeti tisztségviselőkhöz hasonló védelmet fog élvezni, komoly hatáskörrel. Intenzív adatkezeléssel foglalkozók, szolgáltatás megfigyelők esetében kötelező lesz adatvédelmi biztos alkalmazása.
Kötelező lesz az incidens bejelentési rendszer.
Tanúsítási rendszerrel tudja bizonyítani az adatkezelő, hogy megfelelően felkészült az adatvédelemből.
Magatartási kódexeket hozhatnak létre az egyes szakmák.
Előzetes véleményt lehet kérni a hatóságtól, ha adatkezelésünket nagyon kockázatosnak tartjuk.
Kötelező érvényű vállalati szabályokat kell létrehozni.
A 29-es munkacsoport Európai Adatvédelmi Testületté alakul, mintegy hatósági rangot kap.
Az adatkezelő fő tevékenységi helyén kell panaszt benyújtani, ő lesz a fő felügyeleti hatóság, amely együttműködik a nemzeti hatóságokkal.
Amennyiben a magyar adatvédelmi hatóság kimond valamit, az érvényes lesz minden tagországban.
A bírság legnagyobb összege 20 millió euró lehet, vagy az éves világpiaci forgalom (a bruttó árbevétel) 4%-a, a kettő közül a magasabbat kell alkalmazni.
Az alkalmazásra való felkészülésben nagyon erős céges csapatmunkára lesz szükség!
Érintett területek:
Menedzsment; tudatosítani kell, hogy itt valami teljesen új dolog kezdődik, az adatvédelem teljesen új szintre fog lépni a szervezet életében.
Munkavállalók; oktatás az alapdolgok megismertetésére, a problémákat nekik kell felismerni.
Felül kell vizsgálni az adatkezelés jellemzőit (célját, időtartamát, stb.), az adatkezelési szabályzaton át kell vezetni, ami nem fog illeszkedni a rendelethez, a tájékoztatókat módosítani kell.
Az adatvédelmi kockázatkezelést illetően, ha van már a cégnél kockázatkezelési terület, ahol pénzügyi, vagy egyéb kockázatokat mérnek, akkor ezt ugyanúgy be kell emelni, s az esetleges bírságra pénzügyi alapot kell képezni.
Az adatvédelmi biztosítás is képbe kerülhet, bizonyos bírságösszeg fölött majd a biztosító tud helytállni.
Célszerű fejlesztési projekteket indítani 2017-ben, amennyiben kötelező adatvédelmi hatásvizsgálatot végezni, akkor azt be kell illeszteni a szervezet életébe. Ezt ugyanúgy tervezni kell, mint az erőforrás-tervet, pénzügyi tervet.
Az adatvédelmi nyilvántartást meg kell erősíteni, hiszen ellenőrzés esetén ezt veszik elő.
Az adattörlési rendszert is felül kell vizsgálni, a kor technikájának megfelelően, ill. az incidens bejelentési rendszert is ki kell alakítani. Mi az incidens, ki jelenti az adatvédelmi tisztviselőnek, az milyen csatornán jelenti a hatóságnak, stb.
Milyen előnyökkel jár az új rendszer?
Könnyebb lesz európai szintű szolgáltatást nyújtani, mert az adatok szabadabban fognak áramlani.
Megjelenik az álnevesítés, a pszeudo-name adatkezelés, pl. amikor valaki álnévvel regisztrál hozzánk egy szolgáltatásra, nem tudjuk milyen természetes személy áll mögötte. Ezzel a rendelet foglalkozik és ezeket az új intézményeket érdemes lesz használni.
Nagyon fontos terület lesz az oktatás, az egész területnek értenie kell az elvárt csapatmunkát.
Milyen lehetőségek nyílnak a rendelet kapcsán?
Az adatvédelem egyszemélyi mutatványból erős csapatmunkává alakul.
A meglévő szabályzatok megújíthatók, nem kell mindent újrakezdeni, ill. ez a jogszabály már a 21.század igényeire készült, pl. az online megoldásokra. Az adatkezelők, a piac érdekeit is próbálta figyelembe venni, egyensúlyozva az adatalanyok, ill. az adatkezelők érdeke között, az adatkezelők ne érezzék magukat állandó fenyegetettségben.
Egyházakra, társadalmi szervezetekre, tudományos kutatásra a rendelet külön adatkezelési utasításokat tartalmaz.
A cégek adatait továbbra is az üzleti titkok védelme mentén védi meg a jog.
Személyes adatok vonatkozásában, az adatkezelői oldalon az adatkezelő és az adatfeldolgozó felelősségi viszonyait a rendelet pontosította, pl. ha egy adatfeldolgozóval egy felhőszolgáltatónál állok kapcsolatban, akkor a rendelet szerint, ha őt incidens éri, akkor engem, mint adatkezelőt értesítenie kell.
Az Igazságügyi Minisztériumban összeállt egy jogalkotási munkacsoport, amely átnézi a teljes ágazati joganyagot az új rendelet vonatkozásában, hogy összhangot lehessen teremteni. Nagy jogalkotási feladat ez, 2017. második felére várható a vonatkozó jogszabályok megjelenése.
A rendeletet 2018. május 25-től kell alkalmazni az adatkezelőknek.
http://members.iif.hu/dosa/cv.htm
http://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:32016R0679&from=EN
http://www.adatvedelmirendelet.hu/adatvedelmi-rendelet/elso-lepesek-tudatossag-es-tarolt-adatok
http://www.adatvedelmirendelet.hu/uncategorized/felkeszules-az-adatvedelmi-rendeletre-4-resz
http://www.adatvedelmirendelet.hu/uncategorized/felkeszules-az-adatvedelmi-rendeletre-5-resz
A rendezvényen pályázati díjakat osztott ki az egyesület vezetése
Az „Év információbiztonsági dolgozata" címmel kiírt pályázattal az Egyesület támogatni kívánja azokat a főiskolai és egyetemi hallgatókat, akik szakdolgozatukat az információbiztonság témakörében írják.
Az „Év információbiztonsági szak- és diplomadolgozata" cím olyan nyilvános pályázatként lett meghirdetve, amelyen a magyarországi felsőoktatási intézmények hallgatói indulhattak. Idén a bíráló bizottsághoz összesen 8 felsőoktatási intézményből érkeztek pályázatok, s minden egyes pályaművet, a nyolc szakdolgozatot („BSc") és a három diplomadolgozatot („MSc") értékelésre méltónak találták, a díjak, mint 2006. óta rendesen, kiosztásra kerültek.
2016-ban szakdolgozat (BSc) kategóriában Gyebnár Gergő, a Nemzeti Közszolgálati Egyetem és Borókai Bence, a Pázmány Péter Katolikus Egyetem Jog- és Államtudományi Karának hallgatója, míg diplomadolgozat (MSc) kategóriában Tóth Géza, az Óbudai Egyetem hallgatója nyerte el a megtisztelő címet.
A szakdolgozat (BSc) kategóriában a sok beérkezett magas színvonalú pályázatra való tekintettel két díjat adtak ki.
Borókai Bence, „A kibervédelem rendszere a magyar és a globális kibertérben" c. dolgozat szerzője szerint, Magyarországnak is szüksége van egy olyan törvényre, amely az Ibtv.-hez hasonlóan az egyéni felhasználók jogait és kötelezettségeit szabályozza. Az érintett alanyi körre vonatkozó jogi szabályozás összetett, ami azonban nem csak jogi, hanem társadalmi, gazdasági és politikai viszonylatokat is érint.
A szakdolgozat (BSc) kategóriában szintén nyertes Gyebnár Gergő, a „Kritikus infrastruktúrák biztonsági szabályozása; egy Kiberbiztonsági Műveleti Központ (CSOC) megtervezése" c. dolgozat szerzője rámutat, egyetlen informatikai rendszer sem tehető teljesen biztonságossá, csak az ismert támadásokat és támadási módszereket lehet megnehezíteni, kizárni. Mind az általa bemutatott tesztidőszak, mind a hosszú távú üzemeltetés során a kiszervezés számos előnnyel járhat. Jelenleg első helyre került a humán erőforrás toborzása.
Tóth Géza, a „Biztonsági kiegészítések szolgáltatás orientált architektúrák Enterprise Service Bus-on keresztüli kommunikációjához" című dolgozatával nyerte a diplomadolgozat kategóriát.
A szerző a pilot környezetben létrehozott, megtervezett modellen alapuló alkalmazás bemutatásával bizonyította, hogy ha a SOA architektúrában kiemelt jelentőségű ESB-nek ellenőrző szerepet biztosítunk, akkor erőteljesen javítható egy-egy rendszer biztonsága. A pilot-rendszerben bemutatott elvek és gyakorlati megoldások, kiegészítve a javasolt fejlesztésekkel, jelentősen erősíthetik a SOA rendszerek hitelességét és a bizalmassági elvárások teljesítését.
Az erkölcsi elismeréssel és utazási utalvánnyal járó díjat az Egyesület elnöke, Gasparetz András adta át.
A nyertesek az utazási utalvány mellett átvehették a Herendi Porcelánmanufaktúra „bölcs bagoly" porcelánfiguráját az Egyesület alelnökétől, dr. Ködmön Istvántól, a manufaktúra termelési igazgatójától.
Az Egyesület vezetői „dicsérő" oklevelet nyújtottak át azoknak a pályázóknak is, akik most nem nyertek ugyan, de szak-, vagy diplomadolgozatuk igen magas színvonalúnak bizonyult.
A nyertes pályaművek elkötelezett konzulenseinek szakmai hozzájárulását is díjazták, a Fórumon oklevelet adtak át dr. Szenes Katalin, dr. Krasznay Csaba és dr. Christián László részére.
Az elmúlt évek pályaművei fényében az Egyesület vezetősége elégedetten nyugtázta, hogy egyre több szakmai műhely kapcsolódik be a nemes versengésbe. Az eddigi pályázatok az alábbi intézmények szakmai műhelyeiből kerültek ki:
Nemzeti Közszolgálati Egyetem (4 dolgozat), Pázmány Péter Katolikus Egyetem, Széchenyi István Egyetem,
Miskolci Egyetem, Szegedi Tudományegyetem, Óbudai Egyetem, Budapesti Műszaki és Gazdaságtudományi Egyetem, Pannon Egyetem.
Dr. Krasznai Csaba adjunktus, és Dr. Kovács László egyetemi tanár (Nemzeti Közszolgálati Egyetem)
„Digitális Mohács 2.0" c. előadását dr. Krasznai interpretálásában hallhatták a megjelentek.
Az első, hasonló címmel nagy sikert aratott előadás 2009-es elhangzása óta sok minden történt, ezért a szerzők új változatban tértek vissza a témához.
Az eredeti gondolatkísérlet lényege; mi történne, ha Magyarországon valamiféle informatikai támadás indulna az összetett rendszerek tervezésével kapcsolatban. Erre vázoltak fel egyfajta menetrendet, ami akár valós is lehetne. Szerepelt az anyagban információ gyűjtés, hogyan lehet internetes nyílt forrásokból összegyűjteni Magyarország sebezhető pontjait.
Szó esett pszichológiai műveletekről; hogyan lehet a magyar közvéleményben elhinteni, hogy itt valami történni fog. Nyílt források alapján a szerzők összeszedtek olyan pontokat, ahol a létfontosságú rendszer-elemek, kritikus információ struktúrák elleni támadások bekövetkezhetnének.
Kezdték a médiával, műsorszórással, az internetes médiával, ahol a lényeg, hogy minél szélesebb körben tudjanak róla, valami történik. Folytatták a pénzügyi szektort érintő támadási lehetőségekkel, a közlekedéssel, távközléssel, internettel.
Az első dolgozatban vázolt gondolatmenet szerint, amennyiben nincs internet, akkor villamos energia szolgáltatás sincs. Ez mára megváltozott. A forgatókönyv a 2009-es naív hozzáállást tükrözte.
Az eredeti előadás után többen az előadóhoz fordultak; „miért kell erről beszéni…? Ez nem az a téma, amit ki kell tenni az asztalra, nem kell erről mindenkinek tudni."
Néhány évvel később már élesebben merült fel a kérdés, miért nincsenek őrizetben a kiber-bűnözők?
A szakértők válasza; mert az illetők kicsit távolabb, Oroszország, Kína, Vietnám táján találhatók, ahonnan nem nagyon adnák ki őket, de különben is, hol a bizonyíték…?
A szakma közben fejlődött, a sajtóban napi hírré váltak a kiberbiztonsággal kapcsolatos incidensek, események. Bekövetkezett a néhány évvel korábban elképzelhetetlen, a közvélemény számára napi beszédtéma lett a kiber-biztonság. A hazai nemzetbiztonságban is kiemelt helyre került, már a legfelsőbb politikai vezetés is beszél róla.
Van Nemzeti Kibervédelmi Intézetünk, van törvényünk, ami megpróbálja a témát összefogni, s túl vagyunk a kiterjedt DDOS támadáson is…
Mit tudnak elképzelni ma ebben a témában a szerzők, mit lehetne elkövetni, ami fáj?
A 2009-ben leírtakra mind volt példa, ezeket ma is meg lehet csinálni, csak kérdés, megéri-e?
A fegyveres konfliktusoknak és terrortámadásoknak mindig vannak informatikai és távközlési vonzatai. Tudjuk, hogy egy ország ellen informatikai területen ki lehetne olyan hatást váltani, ami messzemenő következményekkel járna, de ennek ellenére, tisztán informatikai eszközökkel kivitelezett támadást még nem láttunk. Biztonságpolitikusok kicsit a világban fennálló kölcsönös nukleáris elrettentéshez szokták hasonlítani ezt a helyzetet, a kezdeményezéstől visszatartó megfontolást.
Azonban, amíg nukleáris fegyvert viszonylag kevés ország tud létrehozni, kiberfegyvert a legkisebb is építhet. Alacsonyabb a belépési korlát, a hatás viszont nagyon nagy lehet.
Elemzések szerint, ha Kína most megtámadná az Egyesült Államokat, akkor a globális összefüggések, ellátási láncok miatt magát Kínát is komoly veszteségek érnék, válsághelyzetbe hozná a saját támadása, az USA pedig gond nélkül, fájón vissza tudna csapni. Félnek ennek a fegyvernek a bevetésétől, de azért mindenki készüljön…
Clausevitz mondása szerint; „a háború a politika folytatása más eszközökkel", a kibertérben jelenleg a politika- csinálásnál tartunk, a kiberműveletek egyértelműen a politika, s nem a hadviselés elsődleges eszközei.
https://hu.wikipedia.org/wiki/Carl_von_Clausewitz
A politikai hatás kiváltása érdekében viszont ezt az eszközt, az informatikát, teljesen természetesen használják az államok. A digitális formában megjelenő információt sokkal könnyebb eltulajdonítani, mint a papírt a széfből, így az információszerzésnek, információ-befolyásolásnak nagyon könnyű eszköze lehet.
Ahogy haladunk előre az időben, látva a klasszikus fegyveres konfliktusok alakulását, ezek az informatikai támadások, kiberfegyverek, egyre komolyabb szerepet kapnak a hatás, a stratégiai cél elérésében.
A szerzők hogyan csinálnák?
Szelídebben, de mégis sokkal fájdalmasabban. Az angolszász világban ezt a fajta gondolatmenetet TTX-nek (Table Top Exercise) nevezik. Szeretik leültetni a különböző döntéshozókat egy asztal fölött végiggondolni, mi történne, ha…
http://www.usma.edu/cfe/Literature/MacNab_12.pdf
Egy forgatókönyv, mi történhetne akár holnap is:
Pszichológiai műveletek
Első lépés a sejtetés. Van pl. egy közismert blog, ahol megjelenik egy hír azzal kapcsolatban, hogy „a magyar kibervédelem gyenge". A megfelelő szakintézmény ezt elutasítja; a terület fejlődik, de nem gyenge. A blogon viszont megjelenik, hogy Magyarország képtelen ellenállni egy kibertámadásnak. Jól érzékelhető, hogy egy külföldi titkosszolgálat áll e mögött a sejtetés mögött.
Következő lépés; a sejtetést elkezdik terjeszteni. A blog megjelenik a Facebook-on, a Twitteren, bizonyos közösségi oldalakon, s ennek a blognak a korábbi lájkolásai miatt ez az információ tömegekhez jut el, tipikusan nagymamákhoz, munkanélküliekhez, mindenkihez, aki kevésbé járatos a biztonságpolitikában. Ők megosztják másokkal is ezt az információt, több tízezres megosztás keletkezik belőle.
Mindeközben az illető külföldi ország szakosodott szervei kicsit „megtolják" ezeket a lájkolásokat, hogy feljebb kerüljön a hír a Facebook oldalakon.
Ha már ennyi lájkolás, megosztás van, nincs az a sajtóorgánum, amelyik ne csapna le rá, egészen a nagy médiáig, mindenki elkezd foglalkozni ezzel az állítással.
Mit lehetne lépni ilyenkor?
A-válasz: ilyen mendemondákkal nem kell törődni, nincs szükség válaszlépésekre.
B-válasz: a kormánnyal szimpatizáló blogokon és internetezőkön keresztül, hasonló módszerekkel ellenkampányba kezdeni.
C-válasz: a Nemzeti Kibervédelmi Intézet (NKI) nevében kiadni egy közleményt, amelyben cáfolnák az állításokat.
D-válasz: a magyar kormány nevében cáfolni a híresztelést, egyben diplomáciai úton jelezni az ismert nagyhatalom felé ellenérzéseinket.
Látványos támadások
Nagyon jól mutat a sajtóban a DDOS, ahogy azt láttuk április során. Ilyenkor bizonyos kormányzati weboldalak, ill. a nemzeti távközlési szolgáltató gerinchálózata ellen túlterheléses támadás indul, ami miatt ezek a szolgáltatások kiesnek. Ez a leggyakoribb eset a világban.
Defacement (weboldal megváltoztatásos) támadások.; egyes önálló önkormányzati és háttérintézményi oldalak ellen irányulnak. Feltörik és Magyarországot fenyegető üzeneteket jelenítenek meg.
https://en.wikipedia.org/wiki/Defacement_(vandalism)
Tömeges adatszivárgásra utaló jelek feltűnése az interneten; egy-két éve, nagy adatbázisokból eltulajdonított adatok felbukkanása, ami azt sugallja, hogy több tízezer állampolgár személyes adatainak védelme hiányos, s jó pénzért azok elérhető váltak. Ilyenkor egy kisebb listát közzé is tesznek, amin ellenőrizhető, hogy azok az adatok valóban valós kötődésűek.
A lehetséges válaszlépések ilyenkor:
A-válasz: ezek jelentéktelen támadások, hazásuk ideiglenes, ezért semmilyen különleges intézkedésre nincs szükség, a sajtóval nem kell foglalkozni.
B-válasz: decentralizáltan, a támadások által érintett szervezetekre összpontosítva, elkezdeni az elhárító munkálatokat, a sajtót a szervezeten keresztül értesíteni.
C-válasz: a Nemzeti Kibervédelmi Intézet vezetésével az elhárítás folyamatba helyezése, bizonyos műszaki intézkedések mentén kiterjedten figyelni a lehetséges további támadások indulását. A sajtót az Intézet kezeli.
D-válasz: összehívni a Nemzetbiztonsági Kabinetet, ahol fel kell állítani egy műveleti törzset, s a műszaki intézkedések mellett egyéb hírszerzési és belbiztonsági tevékenységek bevezetése is lehetővé válik. A sajtót a kormányszóvivőre bízva, megnevezhető az elkövető ország.
A politika befolyásolása
Szivárogtatás indítása a Wikileaks-en; kormányzati e-mailek kerülnek napvilágra, melyeket szerte a világon terjeszteni kezdenek. Ezek figyelemfelkeltő tartalmukkal nagy érdeklődést váltanak ki, ilyen lehet pl. a vezető kormánypárt belső levelezésének szivárogtatása. Több százezernyi e-mail kerül, kereshető módon ömlesztve nyilvánosságra, amin a nemzetközi sajtó is „csámcsoghat".
Jöhet a „magyar Snowden", aki elkezdi a történteket feltupírozni, mondván, hogy is működik ez az ország… egyúttal minősített információkat is kezd „kiszedni" a rendszerből, amihez ő hozzáfért.
A megfelelő beruházások révén, a megfelelő védelmi rendszerek riasztanak ugyan erre a tömeges adatletöltésre, de ettől függetlenül, ezek az információk, minősített adatok valahogy egy nemzetközi újságírói csoporthoz kerülnek ki… Ebből is elkezdenek szemezgetni a sajtó munkatársai, majd ezt összekapcsolják az SLQ links-eken található információkkal, s különböző vad elképzelések kerülnek napvilágra a magyar politikai életről.
http://onesearch.slq.qld.gov.au/primo_library/libweb/action/search.do
https://www.cs.ucsb.edu/~xyan/papers/sigmod14_slq_demo.pdf
https://docs.oracle.com/cd/B28359_01/server.111/b28310/ds_concepts002.htm
Nagyjából ezzel a szivárogtatással egyidőben, egy APT (Advanced Persistent Threat) célzott támadást fedeznek fel egy létfontosságú rendszerelemnél, kritikus infrastruktúránál. Miután a korábbi támadások miatt a kormányzat az infrastruktúrák alapos átvizsgálására adott utasítást, rábukkannak egy közműszolgáltatónál futó malwarre. Ennek a malwarenek egyértelmű célja, hogy a belső működéssel kapcsolatos információkat juttasson el az őt alkalmazó támadókhoz. Az APT külön érdekessége, hogy a vizsgálatok megállapítása szerint ez a malware legalább két éve fut az infrastruktúrán, így azóta nyilván sok információ szivárgott ki.
http://hadmernok.hu/143_10_gyebrovszkit.pdf
Válasz-lehetőségek:
A-válasz: mivel az incidensek valószínűleg egymástól függetlenek, egyedi, testreszabott választ kell adni rájuk.
B-válasz: az esetek valószínűleg összefüggnek, titkosszolgálati tevékenységgel lehet megpróbálni a kialakult helyzet megoldását, a sajtó kezelését a szakértőkre és az NKI-ra bízva.
C-válasz: mivel az esetek egyértelműen összefüggnek, a nemzetbiztonsági kabineten belül működő operatív törzsnek kell összehangolni a válaszlépéseket. A sajtóban nevesíteni az elkövető államot.
D-válasz: mivel jelen támadássorozat aláássa Magyarország biztonságát, az Európai Unió és a NATO diplomáciai szakértői segítségét kell kérni.
Kemény támadások
Támadások a távközlési szolgáltatások (mobil és VoIT) ellen.
A kormányzat belső kommunikációját ezek különösen érzékenyen érinthetik, ezért a különböző kormányzati szervek között minimális úgy a mobilon, mint a vezetékes elérésen zajló kommunikáció. Ez a veszély nem érinti a speciális hálózatokat, bár ezek sem sérthetetlenek.
Pénzintézetek elleni támadás.
Ezt az állampolgár is megérzi; az online bankolás ilyenkor a nagyobb bankoknál szünetel, miközben a nemzetközi pénzügyi tranzakciók is bedugulnak. Az áramszolgáltatóknál zajló támadás helyi jellegű áramkimaradásokat okoz, s ha a tartalék generátorokban nincs elegendő üzemanyag, leállnak a vonatkozó kulcsfontosságú pénzügyi rendszerek. Az áramszolgáltatás támadása a legvégső eszköz, amit a támadók be tudnak vetni. Az info-szivárogtató malwarek jelentős információkat tudnak kijuttatni ezekről a létfontosságú rendszer-elemekről.
A lehetséges válaszok:
A-válasz: ezek elszigetelt támadások, de lehet, hogy csak a rendszerek véletlen, egymástól független meghibásodásai, hatásuk ideiglenes és csak korlátozott lehet, nincs szükség semmilyen különleges intézkedésre.
B-válasz: decentralizáltan, a támadás által érintett szervezetekre összpontosítva kezelni az elhárító munkálatokat, a szolgáltatások minimális szintű visszaállítását. A sajtót az érintett szervezetek kezelik.
C-válasz: mivel egyértelmű, hogy a korábban talált malware-hez kapcsolódó, célzott támadásokkal állunk szemben, a Nemzeti Kibervédelmi Intézet vezetésével kell végezni az elhárítást. Egyben, bizonyos műszaki intézkedések mentén, kiterjedten kell kezelni a jövőbeni támadások lehetőségét. A sajtót az NKI kezeli.
D-válasz: a nemzetbiztonsági kabineten belül működő műveleti törzs kezelné a helyzetet, így a műszaki intézkedések mellett egyéb, hírszerzési és belbiztonsági tevékenység folytatása is lehetővé válik. A sajtót a kormányszóvivőre lehet bízni. Az EU és a NATO segítségét kérnénk diplomáciai szakértői szinten.
Következtetések:
2009. óta hatalmas a fejlődés, látható, hogy a kibervédelem mind jogszabályi, mind szervezeti oldalról szépen halad előre, s a nemzetközi kapcsolatokban is kiemelt szerepet kap, sőt a mai világban az országok együttműködése, az információ megosztás a legfontosabb. A nemzetközi kapcsolatokban törekvés tapasztalható ennek kiépülésére.
A kutatások folynak, mindenki keresi a legvégső megoldást a kibertámadások ellen, miközben mások keresik a legjobb kiberfegyvert…A jövő kilátásait illetően; ez év nyarán a DECOM konferencián volt az első olyan verseny, ahol a mesterséges intelligencia versenyére kizárólag szoftverek nevezhettek be…
http://analysis.decomworld.com
A világon, így Magyarországon is hatalmas összegeket fektettek be a kibervédelembe, s 2016. őszén azt lehet mondani; tulajdonképpen védtelenek és kiszolgáltatottak vagyunk egy jól összehangolt támadással szemben. Nagyon sok tényező hat a védelemnek a támadásokkal szembeni látványos lemaradására, első helyre sorolhatók a Snowden szivárogtatások. Még három-négy olyan év várható, amikor látványosan nem tudunk mit kezdeni ezekkel az összehangolt APT támadásokkal. Kell még egy pár év arra, hogy a védelemért felelős szervezetek és a védelmet megvalósító technológiák könnyen elérhetők legyenek, s a szervezetek élhessenek vele. Minden szervezet saját feladata az információ-biztonsági tudatosság építése.
A kibervédelemmel foglalkozó szervezet állományfejlesztéssel és képzésekkel való megerősítése nagyon fontos. Szükség van alternatív infrastruktúrákra, szisztematikusan végig kell gondolni minden ellátási láncot, ez eddig nem történt meg. Ugyanaz vonatkozik a létfontosságú rendszer-elemek kapcsolatára. Koordinált, összpontosított védelemre van szükség, az ehhez szükséges eszközökkel. Mindehhez a jogszabályok rendelkezésre állnak, a hivatal felállt.Szükség van a lehető legszélesebb körben zajló védelmi gyakorlatokra, hogy felkészüljünk a lehetséges történésekre, ill. párbeszéd-, és információ-megosztásra, minden mennyiségben.
A Közszolgálati Egyetemen arra törekednek, hogy a közszolgálatot ellássák a megfelelő információval és ember-anyaggal. Az itt folyó kutatásokra, a hallgatókra lehet építeni, szükség is van a szakirány iránt elkötelezett szakemberekre.
Harmat Lajos
