Miről árulkodik a szlovák kibertámadás?

A szlovák Geodéziai, Kartográfiai és Kataszteri Hivatal (ÚGKK) zsarolóvírus-támadás áldozata lett januárban. A támadók állítólag több millió dolláros követeléssel álltak elő azért cserébe, hogy a titkosított adatokat feloldják. 

A leállás miatt számos, gazdaságilag igen fontos szolgáltatás szünetelt, például az építési engedélyek kiadása, a beruházások engedélyezése, a tulajdonjogok átruházása. Leálltak az örökösödési eljárások, a földterületek kisajátítása, valamint a jelzálog-hitelezés, vagyis valamennyi olyan esemény, ami az ingatlanokhoz, illetve földterületekhez köthető. Ráadásul mivel a kataszteri rendszer más IT-rendszereknek is nyújt adatszolgáltatást, így egyéb, váratlan területeken is jelentkeztek problémák, például egyes mezőgazdasági és építőipari gépek navigációja nem működött, vagy Pozsonyban nem lehetett új PAAS parkolókártyát kiadni.

Támadási timeline

Tekintettel arra, hogy pontos hivatalos tájékoztatás nem igazán jelent meg az esetről, így a sajtóhírek alapján állítottuk össze az incidens részleteit.

1. A kibertámadás aktív szakasza vélhetően január 4–5-én (szombat–vasárnap, esetleg péntek éjszaka) indult. Érdemes tudni, hogy január 6-a Szlovákiában munkaszüneti nap, így ez egy háromnapos hétvége volt. A zsarolóvírus-támadások gyakran történnek ilyen hétvégéken, pontosan azért, hogy az üzemeltetés minél később tudjon érdemben beavatkozni.
2. Január 6-án az ÚGKK oldalára kikerült egy tájékoztatás, hogy „műszaki hiba” miatt az informatikai rendszereket leállították, illetve folyik a hiba okának kivizsgálása.
3. Január 7-én nem nyitottak ki a kataszteri hivatalok. Ekkor még a hivatalos tájékoztatások arról szóltak, hogy azok 8-án még zárva lesznek, de vélhetően 9-én korlátozottan kinyitnak.
4. Január 8-án késő este a hivatal, a Belügyminisztérium és a rendőrség elismerte, hogy a kibertámadást, továbbá bejelentették, hogy az incidens elhárításán dolgoznak, az informatikai rendszerek állnak, a kataszteri hivatalok zárva tartanak. 

A hivatalos kommunikációban számos állítás elhangzott, amelyeket érdemes lesz később megvizsgálni, de még mielőtt ennek alámerülnénk, a hivatalos közlés szerint

• a rendszer infrastruktúráját érte támadás, az ingatlan-nyilvántartási adatbázisokhoz nem fértek hozzá,
• a kataszteri rendszernek voltak biztonsági mentései,
• az adatok a biztonsági mentésnek köszönhetően nem voltak veszélyben, és az sem fenyegetett, hogy megváltoztatták a tulajdonviszonyokat.

1. Január 13-án korlátozott számban újranyitottak a járási hivatalok, amelyek csak a saját körzetükben tudtak ügyet intézni. Ugyanezen a napon Juraj Celler, az ÚGKK elnöke lemondott tisztségéről az eset miatt. A következő napokban (január 16-tól 20-ig) további kataszteri osztályok nyitottak újra.
2. Január 16-án a hivatal bejelentette, hogy a január 3-i állapot szerint sikerült helyreállítani minden tulajdonjogi viszonyt.
3. Január 23-án elindult a kataster.vugk.sk weboldal, ahol elérhetők az ingatlan-nyilvántartási adatok (január 3-i állapotban). Természetesen az oldalt a kéthetes leállás után nagyon sokan szeretnék használni, így annak működése nem zökkenőmentes.

Mi a tanulság?

A fenti esetből számos érdekes tanulságot levonhatunk. Először például azt, hogy a hivatal és a kormányzat meglehetősen rosszul kommunikálta az eseményeket, mivel nem volt egy ilyen helyzetre kommunikációs terve. Komolyabb zsarolóvírus-támadások után roppant optimista dolog azt gondolni, hogy napokon belül sikerül a teljes helyreállás. Ezekben az esetekben sajnos a vezetői vágyak és a tények köszönőviszonyban sem állnak egymással.

Az incidensről szóló hivatalos tájékoztatás tartalma is kétséges. A zsarolóvírus-támadások esetében a bűnözők általában magas, adminisztrátori jogosultságot szereznek, és ennek birtokában titkosítanak minden elérhető adatot (amiket előbb gyakran el is lopnak). E tekintetben érdekes, hogy szinte minden ilyen akció áldozata a bejelentésében azt közli, hogy személyes adatokhoz, üzleti adatokhoz, adatbázisokhoz, illetéktelenek nem fértek hozzá. Ez szakmai szemmel igen nehezen hihető, ráadásul amennyiben a támadóknak valóban magas jogosultságot szereznek, úgy képesek a rendszernapló fájljainak törlésére, módosítására is, ezzel pedig jelentősen megnehezítik – vagy akár lehetetlenné is teszik – az eset pontos kivizsgálását. Véleményem szerint megválaszolatlan kérdés marad, hogy valójában kompromittálódott-e az elektronikus ingatlan-nyilvántartási rendszer.

Elgondolkodtató, hogy az eset a hivatal vezetőjének a lemondását eredményezte (hasonlóan hazánkban a Védelmi Beszerzési Ügynökség vezetőjének leváltásához). Ezek szerint manapság elvárás az, hogy minden szervezeti vezető felkészüljön egy ilyen eshetőségre is.

Mit lehet tenni, hogy minket elkerüljön a krach?

A fentiek elkerülése érdekében a következőket érdemes megfontolni minden szervezetnek.

• Vezetői tudatosság: napjainkban a szervezet vezetőjének mindenképpen kiemelt figyelmet kell fordítania a kiberbiztonságra, mivel szinte minden szervezet alapműködési infrastruktúrája az informatikai hálózat, a vagyonának jelentős eleme az általuk kezelt adatok összessége.
• Felhasználók oktatása, biztonságtudatosság fejlesztése: ez minden szervezetnek feladata, ennek elmulasztása súlyos problémákat okozhat.
• Üzemeltetés, fejlesztés felügyelete: a rossz üzemeltetői és fejlesztői gyakorlatok jelentős kockázatot rejtenek magukban. A fenti esetek elsődleges oka sokszor az, hogy a rendszerekre nem kerülnek fel időben a biztonsági frissítések, rossz beállításokkal futnak szolgáltatások vagy hibás szoftverelemeket tartalmaz az informatikai rendszer.
• Adatmentések kezelése: kiemelt fontosságú a biztonsági mentések megléte, amelyekből egy ilyen esetben vissza lehet állítani a rendszereket. Mindenképpen tesztelni kell a mentéseket és a visszaállítási módszereket, továbbá figyelni kell arra, hogy egy hasonló támadás esetén a biztonsági mentések ne legyenek elérhetők a támadók számára.
• Informatikai biztonsági szabályozás és eljárások: a szervezetnek ki kell dolgoznia a szükséges biztonságirányítási rendszert, hogy a hasonló eseményeket megelőzzék, illetve adott esetben tudják kezelni.
• Biztonsági vizsgálatok végzése: az informatikai rendszereket sérülékenységvizsgálatoknak, biztonsági teszteléseknek kell alávetni, hogy az esetleges műszaki hiányosságok kiderüljenek, majd a feltárt sérülékenységeket a szervezetnek kezelnie kell.
• Felkészülés incidensekre: valamennyi korszerű szabvány, ajánlás, illetve jogszabály megköveteli az incidenskezelési terv meglétét. Informatikai, szervezeti és kommunikációs tekintetben fel kell készülni az ilyen helyzetekre, mivel ezek bekövetkezése reális fenyegetés.

Zárásként meg kell említenünk, hogy a biztonsági szakma egyik alapvetése a kockázatarányos védelem. Azokban a központi rendszerekben, amelyekben az állam működéséhez alapvető jelentőségű adatokat tárolunk, a létfontosságú infrastruktúra elemek tervezésekor, kialakításakor és működtetésekor a kiberbiztonságra kiemelt figyelmet kell fordítani. Ezekben a rendszerekben egy általános szintű védelem nagyon kevés. Az adatok értékéből, a kritikus szolgáltatásokból következően készülni kell arra, hogy itt a támadó jelentős erőforrás-befektetést tesz meg, így ennek megfelelően kell kialakítani a védelmi intézkedéseket.

Bízzunk benne, hogy az okos szervezeti vezetők más kárából tanulnak, és időben megteszik azokat az intézkedéseket, amelyek náluk szükségesek a megfelelő szintű kiberbiztonsági szint eléréséhez.

7 tipp a magasabb kiberbiztonságért

1. Vezetői tudatosság
2. Felhasználók oktatása, a biztonságtudatosság fejlesztése
3. Üzemeltetés, fejlesztés felügyelete
4. Adatmentések kezelése
5. Informatikai biztonsági szabályozás és eljárások
6. Biztonsági vizsgálatok végzése
7. Felkészülés incidensekre

(Kép: Flickr)