Orosz hackercsoport hatolt be több európai kormányzati szervezet levelezési rendszerébe a hétvégén. A hír nem meglepő, már a magyarországi bűnügyi statisztikákból is látszik, hogy egyre több a digitális eszközök révén vagy a digitális térben elkövetett bűncselekmény. Bár úgy tűnhet, a döntéshozókat hidegzuhanyként érik a támadások, az EU számos intézkedést tett az elmúlt időszakban, ami a hasonló incidensek kivédésre szolgál.
A kibersérülékenység jelei
A Forbes egyik szeptemberi cikkében felsorol néhányat 2024 legfontosabb technológiai trendjei közül. A listára felkerült a „kiber-ellenállóképesség” is. Előrejelzésüket arra a tényre alapozzák, hogy a vállalkozások megközelítőleg fele ellen sikeres kibertámadást hajtottak végre az elmúlt három évben. A SoSafe kutatása szerint a jelenség okaként elsősorban a kialakult geopolitikai helyzetet, a mesterséges intelligenciát és a távoli munkavégzést nevezték meg. A támadás jellege többnyire kártékony program, adathalász üzenet vagy zsaroló vírus volt. Az online térben elkövetett bűncselekményekről, például a bankszektor sérülékenységéről az Economx is beszámolt.
A cégek mellett a magánszemélyeket is érik hasonló támadások. Alighanem mindenki találkozott már közvetve vagy közvetlenül, akár magán-, akár professzionális környezetben gyanús emailekkel, vírusos szoftverekkel, eltulajdonított belépési adatokkal, kiszivárgott információkkal. Elég említenünk az idén nyáron napvilágra került sebezhetőséget a Microsoft 365 Outlook applikációjával kapcsolatban – amit számos hacker aktívan kihasznált –, vagy a lassan egyéves, sokak által csak „KRÉTA-ügyként” említett eseményt, amikor a Köznevelési Regisztrációs és Tanulmányi Alaprendszert sikeres adathalász támadás érte.
Az Európai Unió válasza
Az Európai Unió döntéshozóinak a figyelmét sem kerülte el a kiberbiztonságra leselkedő veszélyek folyamatos eszkalálódása. Az uniós kiberbiztonsági jogszabály megalkotása Juncker 2017-es, erről szóló beszédét követően kezdődött meg, és azt végül 2019. június 7-én írták alá. Az egykori javaslat részeként az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) megkezdte az uniós tanúsítási rendszerek kidolgozását egyes szolgáltatások, többek között a felhőalapú számítástechnika vonatkozásában (EUCS).
Az Európai Bizottság által a 2019-2024-es időszakra megfogalmazott hat prioritás között is felbukkant a kiberbiztonság kérdése, mégpedig „A digitális korra felkészült Európa” névre keresztelt részben. Az említett prioritás égisze alatt számos jogalkotási javaslat került terítékre, ideértve
- a kiberrezilienciáról szóló jogszabályt,
- az uniós intézményekre vonatkozó kiberbiztonsági rendeletet,
- az NIS2 irányelvet
- és a kiberbiztonsági szolidaritási törvényt.
Míg a felsorolt indítványok többsége még tárgyalás alatt áll, a NIS2 irányelv már tavaly decemberben megjelent, a tagállamoknak pedig 2024. október 17-ig kell elfogadniuk és közzé tenniük az irányelvnek való megfeleléshez szükséges intézkedéseket.
A szándék jó, de van még min csiszolni
Jóllehet a fent említett csomagok kifejezetten impresszív benyomást kelthetnek, sem a szabályozói környezet, sem az információ biztonsági iparág nem feltétlenül tudja tartani azt az iramot, amit a technológiai innováció diktál. Ennek jele lehet többek között a korábban kifejtett EUCS valamelyest elhamarkodottnak tűnő elvárása, ami a NIS2 rendelettel kiegészítve korlátozta volna az Európai Unión kívüli felhőszolgáltatók mozgását a tagállamokban.
A jogalkotói törekvések kellő megfontoltságának hiánya abból is érzékelhető, hogy nem régiben mérsékelték álláspontjukat.
Amit mi megtehetünk
A kibertámadásoknak való kitettség azonban fittyet hányva a formálódó Európai Uniós törvényekre, rendeletekre és irányelvekre egyre csak növekszik. Ebben a versenyfutásban nem támaszkodhatunk pusztán az uniós szabályozásra, ezért javasolt három alapvető információbiztonsági tanács megfogadása.
Először is
biztonsági tekintetben az esetek többségében nem az alkalmazott technológia a leggyengébb láncszem, hanem az emberi tényező. A szándékosan elkövetett bűncselekmény, a hanyagság és a véletlen hiba legjobb ellenszere a tudatosság.
Ez javítható rendszeres képzések, időszakosan felülvizsgált szabályzatok, továbbá tervezett és véletlenszerűen végrehajtott biztonsági tesztek beiktatásával.
Másodszor, a megfelelő felkészültségi szintet fenn kell tartani. Meg lehet ezt tenni különféle tervek – például üzletmenetfolytonossági terv (BCP), katasztrófa utáni helyreállítási terv (DRP) – megírása, illetőleg állandó szakszemélyzet alkalmazása révén akár belső, akár külső erőforrásból.
Harmadszor pedig a technológiai fejlődés a kiberbiztonság területén is töretlen, így számos szoftveres és hardveres eszközből van lehetőségünk felállítani egy céges IT biztonsági ökoszisztémát, ideértve a tűzfalat, a biztonsági mentést, a vírusirtót, a kriptográfiai megoldásokat és a VPN-t.
Császár Domonkos - EU-Monitor