A kibertámadások intenzitása és kifinomultsága folyamatosan változik, ezért nincs más hátra, mint felkészülni a különböző kockázatok kezelésére. Ennek mikéntje viszont más kérdés. Pál Imrével, a HRP ügyvezetőjével és Dávid Andrással, a RelNet alapító ügyvezetőjével beszélgettünk.
Kezdjünk egy kis jövőbe tekintéssel. Milyen kiberbiztonsági trendek fogják jellemezni az idei évet?

Pál Imre: A céges accountok elleni támadás folyamatosan növekszik. Az egyik gyártónk statisztikája szerint a tavalyi negyedik negyedévben már másodpercenként négyezer céges user account elleni akciót észleltek. Ezek zömének a jelszó feltörése a célja, ami ha sikeres, a támadó egyre több adminjogot ad saját magának. Ahogy bejutott, már konkrétabb célja lehet, vagy ipari kémkedés, vagy ransomware támadás/zsarolás. Amennyiben pedig magánszemélyre irányul az attak, banki adatokhoz, bankszámlához történő hozzáférés a cél.
Ami megalapozza ezt a gyors növekedési trendet, az az, hogy a támadókat már nem kapucnis rosszakarókként kell elképzelnünk, hanem nagy számítási kapacitású automatizált rendszerek összehangolt együttműködéseként. Ez jellemző mind az ICT-, mind az autóinformatika, mind az egyéb gyártási környezetekben. Ezenkívül az IoT-eszközök széles körű elterjedése is növeli a támadási felületeket. Az idén az okosotthonok, az ipari rendszerek és az egészségügyi eszközök is célzott támadások alanyai lehetnek.

Dávid András: Jól érzékelhető, hogy a biztonságtudatosság a rengeteg ismertté vált incidens és az egyre szigorúbb jogszabályi háttér miatt javulófélben van. Ezzel párhuzamosan azonban a támadások is egyre innovatívabbak, és az óriási „piaci potenciál” a kiberbűnözők számára hatalmas vonzerőt jelent. Jómagam rendszeres sorozatnéző vagyok, és ezen belül is kedvelem a „maffiás” zsánert. Nem lehet nem észrevenni, hogy az egyik legfrissebb, igen népszerű sorozatban az egyik – magától értetődőnek feltüntetett – mellékszál, hogy a hagyományos bűnözői tevékenység mellett a maffia már internetes csalásokból is komoly jövedelemhez jut. Ha már a „popkultúrába” is ilyen szinten leszivárgott ez, az egyfelől ijesztő, másfelől viszont azt jelzi, hogy a tömegigényeket kielégítő sorozatkészítők már úgy gondolják, hogy a téma közérdeklődésre tart számot.
Csak egy dolog állandó: a változás. Ezért újabb és egyre innovatívabb támadások megjelenésére számítok, emellett biztos vagyok abban, hogy a mesterséges intelligencia ezt a területet is előbb-utóbb gyökerestül fel fogja forgatni, és talán már az idén látni fogunk olyan támadásokat, ahol az MI kulcsszerepet játszik.
Ha lehet méret szerint szegmentálni – ami tudom, hogy nem egyszerű, hiszen a támadások mindenkit céloznak –, akkor mi jellemzőbb a kis- és középvállalkozások és a multinacionális cégek szintjén a támadások típusát, gyakoriságát illetően?
P.I.: A támadások már az egyre kisebb szervezeteket is érintik, akár a húsz fő alattiak is célpontok lehetnek. Emellett növekszik a multinacionális cégek elleni támadások száma is. Természetesen a kkv-knak és a nagyvállalatoknak más-más financiális lehetőségei vannak a védekezésre. A kisebb szervezeteknél az erre fordított erőforrások alacsonyabb szintje miatt könnyebb a dolguk a támadóknak. Ezért megfigyelhető, hogy a kisebb cégek sebezhetőbbek, és mivel ők a beszállítói lánc elemei, rajtuk keresztül a legkönnyebb a nagyvállalatok ellen irányuló támadás.
Az utóbbiak esetén az erőforrás-igényesebb védekezés alapvető formája a szegmentált hálózatok kialakítása, és minél több szakaszra van bontva a rendszer, a támadóknak annál nehezebb a központi szervezhez történő eljutás. Ugyanakkor a legnagyobb vállalatoknál is folyamatosan próbálkoznak, többnyire a peremen működő IoT-eszközökön keresztül.
D.A.: Kevésbé jellemző a szegmentálódás a cégméret mentén, sokkal nagyobbak a különbségek aszerint, hogy milyen piaci szegmensben dolgozik az adott vállalat. Könnyű belátni, hogy a pénzügyi szektor mennyivel vonzóbb célpont, mint mondjuk egy agráripari cég.
A NIS2 már egy ideje valóság. Elkészültek a helyzetfelmérések, amikből „gap analysis” és cselekvési tervek születtek. Ezzel felszínre kerültek a hiányosságok is. A nap végén a disztribútorokhoz csapódik le a technológiai megoldások iránti igény. Ebből fakadóan mi rajzolódik ki, hol van a hazai cégek kiberbiztonsági fájdalompontja?
P.I.: A tavalyi év nagy katalizátora volt a NIS2-ajánlás és az ennek kapcsán kihirdetett „Kibertan” törvény. A kapcsolódó piaci igényeket lényegében erre az évre várjuk. Ami a gyártói kínálatot illeti, kialakult egy olyan törekvés, hogy a gyártók igyekeznek „kombinált”, vagyis kiberbiztonsági és mentési megoldásokat azonos termékben vagy előfizetésben elérhetővé tenni. Ehhez kapcsolódhatnak a gyártók hálózatbiztonságot támogató célhardverei.
A felhasználói oldalról pedig tapasztalatunk szerint a különböző szervezetek a legalacsonyabb belépési küszöbű megoldásokkal szeretnék lefedni a teljes működésüket. Ez az is jelenti, hogy adott esetben nem egyetlen gyártó termékét keresik, hanem különböző, egymással együttműködő rendszerek közös használatát tűzik ki célul. A felhasználók igazi fájdalompontja a kapcsolódó költségekben keresendő. Ezért igen erősen előtérbe kerülnek a SaaS-konstrukciók, a fogyasztásalapú előfizetések a csak hardveres vagy örökös licencmegoldások helyett.
D.A.: Tavaly megvoltak a helyzetfelmérések, amelyekből „gap analysis” és cselekvési tervek jött lére. Ez része a majdani éles auditra való felkészülésnek. A cselekvési tervek végrehajtása az idei évben kezdődik meg gyakorlatilag minden cégnél. Az, hogy milyen sebességgel haladnak majd a tervek végrehajtásával, az nagyon sok tényező függvénye – erősen erőforrás-korlátos, miközben erőforrás-igényes terület az informatikai biztonság fejlesztése. Több ügyfél számolt be arról, hogy a teljes üzemeltetési csapat csapágyasra volt hajtva már a tavalyi negyedik negyedévben a NIS2-felmérések miatt, pedig még a tényleges fejlesztések el sem kezdődtek.
Bár rövid távon a SaaS-konstrukciók és a fogyasztásalapú előfizetések valóban olcsóbbak, tapasztalatunk szerint a három-, de leginkább az ötéves teljes tulajdonlási költséget (TCO) végigszámolva egyértelműen kiderül, hogy a többletrugalmassággal jelentős többletköltség is jár. Valódi megtakarítást az automatizáció növelésével, a meglévő folyamatok egyszerűsítésével tudnak elérni az ügyfelek. Nem mellékesen a folyamatok átvilágítása szinte mindig a biztonsági szint növelését is eredményezi – mert a (felesleges) komplexitás mindig biztonsági kockázat is.
Milyen típusú megoldások iránt nőtt meg a kereslet?
P.I.: A működéshez szükséges céges adatok ugrásszerű növekedésével organikusan nőtt meg az igény korszerű, akár adattömörítésre is alkalmas mentési megoldásokra. A növekvő adatmennyiség olyan skálázható megoldásokat kíván, mint a hibrid infrastruktúra, ahol az érzékeny adatok onpremise környezetben tárolódnak, de rendelkezésre áll egy rugalmasan bővíthető, használatalapú tárolási egység is. Növekvő a végpontvédelem iránti kereslet is, de nagyon fontos, hogy a felhasználók megértsék, a végpontvédelem önmagában nem elegendő. Olyan kiberbiztonsági rendszerekre van szükség, amelyek együtt védik a szervereket, a hálózatot, a munkaállomásokat, és adott esetben a különböző telephelyek összehangolt védelmét is biztosítják. Beleértve ebbe azt a ma már gyakori esetet is, amikor egy biztonságos munkahelyi környezetbe saját vagy vendégeszközt engedünk be (BYOD) megfelelő jogosultságkezeléssel.
Természetesen a kiberbiztonságban is fokozott szerepe lehet a mesterséges intelligenciának. Az MI-alapú rendszerek képesek valós időben észlelni a fenyegetéseket, elemezni a hálózati forgalmat és azonosítani az anomáliákat, amelyek támadásokra utalhatnak.
D.A.: Egyértelműen látszik, hogy a folyamatszervezés, a menedzsment területén vannak a legnagyobb hiányosságok. Az alap-infrastruktúrát (tűzfal, vírusirtó stb.) már minden cég beszerezte magának sok évvel ezelőtt. De hogy ezen technológiai építőkockákból hogyan lesz hézagmentes, dokumentáltan működő védelmi rendszer – arról a legtöbb helyen megfeledkeztek. Márpedig a NIS2 legfontosabb tulajdonsága, hogy eredményorientált.
Senki nem fogadja el érvként azt, hogy nekem vagy egy A vagy B típusú védelmi megoldásom. Az audit során azt kell tudnom bizonyítani, hogy képes vagy az adott technológiával megfelelni a NIS2-kontrollpont támasztotta elvárásnak.
Ha megtörtént a baj, miként kezelik a magyar vállalkozások a kiberbiztonsági incidensek utáni helyreállítást?
P.I.: Ezen a területen sajnos tapasztalunk különbséget a magyar és a nemzetközi gyakorlat között. Míg számos országban a támadások tanulságait széles körben publikálják, nálunk ez – néhány kivételtől eltekintve – nem igazán jellemző. Az incidens bekövetkezte után csak kevés vállalat teszi közzé a tapasztalatait. Pedig ez fontos lenne, részben a piac, részben pedig a kiberbiztonsági fejlesztések iránya miatt.
Ha viszont megtörtént a baj, a szervezetek több nagyon hatékony megoldás közül választhatnak, a méretüknek, a műszaki igényeiknek, például egy esetleges támadást követő visszaállási idő intervallum-elvárásnak megfelelően. Vajon melyik vállalat engedheti meg magának, hogy akár hetekig ne tudja kiszolgálni az ügyfeleit az informatikai rendszer megállása miatt? Technikailag minden olyan megoldás elérhető a piacon, amellyel ez elkerülhető, és ezekhez számos gyártó biztosít demót, tesztkörnyezetet, POC-t, ingyenes trialt.
D.A.: Ez ügyben a korábbi magyar hozzáállás csapnivaló volt. Nagyvállalati körben is tudunk olyan esetről, amikor néhány éven belül ugyanaz a cég ugyanolyan típusú támadásnak háromszor is áldozatául esett, mert nem tanult a leckéből. Azonban a NIS2 ebben az értelemben is sokkal szigorúbb szabályokat vezet be: a biztonsági incidenseket a NIS2-kötelezetteknek már mindenképpen jelenteniük kell a hatóságok felé.
Mivel senki sem szereti, ha a bőrkabátosok vizsgálódnak a szervertermében, ezért várható, hogy ezen a területen is komoly fejlődés lesz az idén és a következő években.
Milyen különbségek figyelhetők meg a magyar kiberbiztonsági szektor érettségi szintjében, a régió többi országához képest?
P.I.: Van egyfajta könnyebb megfelelőség iránti igény, esetleg nem mindenre kiterjedő technológiai lefedettséggel. Ez azonban nem jó irány a felhasználók számára. A Kibertan törvényt, a NIS2-irányelvet és a DORA-rendeletet nem szabad adminisztratív teherként kezelni, hiszen a megfogalmazott elvásárok teljesítése alapozza meg a biztonságos és hatékony céges működést.
D.A.: A NIS2 bevezetésében a magyar törvényhozás előreszaladt a környező országokhoz képest. Ez rövid távon talán okoz némi versenyhátrányt vagy a versenyképesség romlását, de reményeink szerint hosszú távon jótékonyan hat.
(Kép: needpix)