Mindenki potenciális áldozat

Életünk egyre nagyobb része zajlik a virtuális térben. Egyre nagyobb részben kommunikálunk, dolgozunk, ismerkedünk, randizunk ott. Tesszük mindezt úgy, hogy egyre aggasztóbb híreket kapunk például orosz választási manipulációs törekvésekről, vagy a kínai ipari kémkedés volumenéről, melyek mind számítógépes hálózatokon keresztül valósulnak meg. Ahogyan a fizikai valóságban is fontos a biztonság, nincs ez máshogy sem az online világban sem. A kérdés aktualitása kapcsán egy szakértőt kérdeztünk a legfontosabbakról.

Internet és jog szekció

Hogyan definiálnád a kiberbiztonság fogalmát, és miért ilyen forró a téma mostanában?

A kiberbiztonság a hálózatok és információs rendszerek védelmét, valamint az általuk nyújtott szolgáltatások zavartalanságának biztosítását jelenti. Tekintve, hogy egy szorosan összekapcsolt virtuális világban élünk, a számítógépes rendszerek biztonsága kritikus kérdés politikai, iparági, de össztársadalmi szinten is. Ezen felül közelmúltbeli támadások, melyek magáncégeket, de állami intézményeket is érintettek, nagyban hozzájárultak a téma forróbbá válásához, illetve felkeltették állami szereplők érdeklődését is.

Kik a tipikus kiberbűnözők?

Hogy ki a tipikus elkövető, nagyban függ a támadás céljától. Amikor vállalkozások vagy magánszemélyek elleni támadásokról van szó, akkor az elkövetők tipikusan vagy ún. “phisherek”, (akik valamilyen ismert állami vagy egyéb entitás nevében pózolnak, és a kiküldött e-mailekben helyeznek el adathalász linkeket – a szerk.), vagy “scammerek” (a tipikus, Ön nyerni 200 millió dollárt a lottón/ garantáltan hatalmas pénisz két nap alatt típusú e-mailek küldői – a szerk.). Mindkét típusú elkövető célja hozzáférést nyerni a potenciális áldozat bank- vagy hitelkártya- adataihoz, vállalatok/állami intézmények elleni támadásnál, pedig az azok rendszereibe történő behatolás a motiváció. A másik nagy köre az elkövetőknek bizonyos politikai vagy vallási csoportok, akiknél nem feltétlen a nyereségvágy áll a háttérben, inkább reklámot akarnak csinálni maguknak egy-egy ilyen támadással. A legveszélyesebb csoportot az ún. “kitartó ügynökök” (persistent agents) jelentik. Az általuk elkövetett támadások célzottak, jól szervezettek, gyakran államilag támogatottak, legrosszabb esetben pedig a támadott intézményen belülről indítják őket.

Lehet-e átlagember, vagy átlagcég áldozat?

Mivel az internet hatalmas részét teszi ki mindennapjainknak, és mind magánszemélyek és a kisebb cégek is nagyban támaszkodnak rá, mindenki potenciális áldozat. A támadók, különösen a kisebbek nem feltétlen mennek a nagy hal után, inkább a könnyű győzelemre fókuszálnak. Ami a legaggasztóbb, hogy egy kisebb vállalkozás általában kevésbé felkészült, illetve nehezebben viseli el egy sikeres támadás negatív (pénzügyi, hírnévbeli) következményeit. Például a WANNACRY  (2017 májusában felbukkant számítógépes vírus, amelynek lényege, hogy a megfertőződött számítógépeken tárolt fájlokat zárolja, és a hozzáférést és csak meghatározott pénzösszeg megfizetéséért cserébe lehet visszakapni –  a szerk.) támadás alatt rengeteg kisebb vállalat kifizette a váltságdíjat, annak ellenére, hogy a fenyegetést néhány nap után elhárították. Ez is jól mutatja a kisebb vállalatok sebezhetőségét, mely a politikai döntéshozók kötelességévé teszi olyan jogi környezet kialakítását, ami lehetővé teszi a kiberbűnözés elleni hatékony fellépést és növeli a kiberbiztonság szintjét.

A kiberbiztonság témaköre a politikai döntéshozók körében komoly érdeklődésre tart számot. De mi a helyzet a különféle iparágakkal és a lakossággal?

A különféle iparágak mindig is tisztában volt a kiberbiztonság fontosságával, pont azért mert mindig is a támadások elsődleges célpontjában álltak. Hálózataik biztonsága érdekében a magáncégek, különösen a nagyvállalatok komoly összegeket fektettek magas színvonalú védelmi megoldások megvalósításába. Természetesen valamennyire így is sebezhetők maradnak, de jóval kevésbé mint a kisvállalatok vagy magánszemélyek. Ironikus módon az állami intézmények voltak hatalmas csúszásban a kiberbiztonság fontosságának felismerésével, de mostanra már ők is kapcsoltak. A politikai döntéshozók és az iparágak közti együttműködés mára evidenssé vált, de sajnos a megvalósítás üteme nem a leggyorsabb. A magánszemélyek tekinthetők a legalulinformáltabbnak a téren. Ez azonban lassan a jó irányba változik több jelenleg is futó felvilágosító célzatú kampánnyal, melyek célja, hogy az alapvető kiberbiztonsági tudnivalók az általános műveltség részét képezzék.

Hogy értékelnéd Európa kiberbiztonságát? Készen állunk a kihívásokra?

A kiberbiztonság kérdése lassan prioritássá válik Európában és a fejlemények összességében biztatóak. Ugyanakkor túlzás lenne azt állítani, hogy olyan szinten állunk, mint mondjuk az USA vagy Kína. Ezen államok ugyanis Európához képest hatalmas mennyiségű pénzt invesztálnak a kiberbiztonságuk fejlesztésébe. Európa ezen belül is az Európai Unió próbál felzárkózni, de az utóbbi bürokratikus felépítése ezt nem könnyíti meg. Ki kell emelni a különbségeket is az egyes országok között: Észak- és Nyugat-Európa tagállamai egyértelműen jobban állnak a kérdésben, mint a déli vagy keleti államok.

Jean-Claude Juncker, az Európai Bizottság elnöke a 2017-es évértékelő beszédében utalást tett egy európai kiberbiztonsági hivatalra. Lehet tudni valami konkrétat ezzel kapcsolatban?

Juncker elnök valóban utalt a kiberbiztonságra legutóbbi évértékelőjébe. Ez az ENISA (European Union Agency for Network and Information Security) megerősítésére vonatkozott. Az Európai Bizottság már javaslatot is tett az ENISA mandátumának megújítására, mely egyébként 2020-ban járna le. Az előterjesztés nagyobb hatáskört adna a hivatal kezébe. A javaslat jelenleg a Parlament és a Tanács előtt van, a Tanács pedig már áldását is adta rá.

Meglátásod szerint szükséges egy ilyen lépés? Megoldana ez bármit? Nem lenne bölcsebb a tagállamok hatáskörében hagyni a kiberbűnözés elleni fellépést?

Erről még korai lenne nyilatkozni, a fentiek eredményeit később értékelhetjük. A tagállamok természetesen most is szeretnének maguknál tartani hatásköröket  de tekintve a kiberbűnözés határokon átnyúló természetét, az együttműködés meglátásom szerint előnyükre fog válni.

Tudsz más kezdeményezésekről?

Az EU kiberbiztonsági programjának alapelvei az ellenálló képesség, elrettentés és védelem (resilience, deterrence, defence). Az első az ENISA megerősítésével fog megvalósulni, valamint egy Közös Kiberbiztonsági Piac (Single Cybersecurity Market) felállításával. Az elrettentés egy szélesebb ppp együttműködés keretében realizálódik majd, különösen az állami és magánszereplők közti információmegosztás tekintetében. A megnövekedett védelmi szint pedig a tagállamok egymás közti fokozott együttműködésével érhető el, esetlegesen bevonva a NATO-t is.

Tudnál-e jóslatokba bocsátkozni a kiberbiztonság jövőjét illetően?

A kiberbiztonság olyan gyorsan fejlődő diszciplína, hogy még a legelkötelezettebb szakértői is nehezen tudnak lépést tartani a legújabb fejleményekkel. Amit biztosan állíthatok, hogy a téma erősen fogja érinteni, mindannyiunk életét, és még sokáig uralni fogja a politikai napirendet.

Csirik Márton

Eva nemzetközi kapcsolatok szakon szerzett mesterdiplomát Centre international de formation européenne egyetemen Berlinben. Karrierje során több országban és szervezetnek dolgozott, köztük az Európai Bizottságnak és a Reuters-nek. A közelmúltig a European Organisation for Security nevű szervezet szakpolitikai tanácsadója volt, ahol a legújabb kiberbiztonsági fejleményeket követte.

*** Wulters Kluwer logo A Jog és Innováció rovat támogatója a Wolters Kluwer

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.