Renate Strazdina az Economxnak beszélt többek között
- a jelenlegi kibervédelmi helyzetről,
- a zsarolóvírusok elterjedésének okairól és azok fejlődéséről,
- a szükséges kibervédelmi összefogásokról,
- a leginkább támadott célpontokról,
- arról, hogy egyetlen év alatt megtízszereződtek a felhasználói jelszavak elleni támadások,
- valamint arról is, hogy a kibervédelmi ágazatot is elérte a munkaerőhiány.
Hogyan változott „kiberhelyzet” a világban az elmúlt években? Melyek most a legnagyobb kihívások?
Sokat változott az elmúlt években a kiberbiztonsági helyzet, és sajnos általában romlott. Az egyik legnagyobb kihívás, amellyel a szervezeteknek napjainkban szembe kell nézniük, az, hogy hogyan reagáljanak az új fenyegetésekre és kockázatokra, például a zsarolóprogramokra, az ellátási láncot érő támadásokra, a személyes adatok megszerzésére irányuló támadásokra, és azoknak a kibertámadásoknak a megjelenésére, illetve fejlődésére, amelyek a szervezetek fizikai infrastruktúráját veszik célba. Ezek a fenyegetések komoly kihívást jelentenek az adatok és rendszerek titkosságára, integritására és elérhetőségére, valamint az emberek és szervezetek biztonságára és jólétére nézve.
Miért alakult ez így? Milyen okokra vezethetők ezek vissza?
Például az úgynevezett ransomware-as-a-service platformok (zsarolóvírusos szolgáltatások) egyre jobb elérhetősége és megfizethetősége, amelyek lehetővé teszik a kiberbűnözők számára, hogy támadásokat indítsanak anélkül, hogy különösebb technikai szakértelemmel vagy erőforrásokkal rendelkeznének. A social engineering-re épülő – vagyis az emberek bizalmát, jóindulatát, alapvető ösztöneit, reakcióit kihasználó – manipuláció és az adathalász technikák pedig arra veszik rá a felhasználókat, hogy megnyissanak rosszindulatú vírusokat tartalmazó mellékleteket vagy hivatkozásokat – a csalók emellett könnyen kihasználhatják a gyenge jelszavakat és hitelesítő adatokat is. A szoftver-, hardver- vagy hálózati konfigurációk biztonsági réseinek, például a javításra szoruló rendszereknek, a helytelenül konfigurált kiszolgálóknak vagy a nem biztonságos távelérési protokolloknak a kihasználása. Aztán a megfelelő biztonsági mentési és helyreállítási stratégiák hiánya, amelyek miatt az áldozatok nagyobb valószínűséggel fizetik meg a váltságdíjat, hogy elkerüljék adataik elvesztését vagy a működési zavarokat. És ide vehetők még a kriptovaluták elterjedése, amelyek révén kényelmesen és a személyazonosság felfedése nélkül lehet fogadni és továbbutalni az áldozatoktól származó kifizetéseket.
Hogyan fejlődtek a zsarolóvírusok? Mit tartogathat a jövő ebből a szempontból? Eljuthatunk arra a pontra, hogy az adatok megszerzése pusztán a szándékon múljon? Vagy ennyire azért nem rossz a helyzet?
A tapasztalataink azt mutatják, hogy a sikeres zsarolóvírus-támadások 80-90 százaléka a rosszul menedzselt, illetve karbantartott eszközökre vezethető vissza. Az ember által működtetett ransomware támadások több mint 200 százalékkal nőttek. A jó hír az, hogy azok a támadások, amelyek erős biztonsági rendszerrel rendelkező szervezetek ellen irányulnak, az esetek elenyésző százalékában sikeresek.
A támadások többsége nem is jut el a zsarolási szakaszba, átlagosan a támadások 2 százaléka ér el addig a pontig, hogy a zsarolóvírust sikeresen telepítsék.
Tavaly még számos támadás ért fontos nagyvállalatokat, idén azonban a zsarolóvírusos támadások elsődleges áldozatai a kis- és közepes méretű szervezetek voltak. 2022 júliusa és szeptembere között az ember által működtetett zsarolóvírusok célpontjainak a 70 százaléka olyan szervezetek köréből került ki, amelyek 500-nál kevesebb embert foglalkoztatnak.
Mennyire lehetnek hatékonyak a zsarolóvírusok a jövőben?
Ez egyelőre még nem tudható, de több lehetséges forgatókönyv is van, amelyekre fel kell készülnünk. Például
olyan új zsarolóvírus-változatok jelenhetnek meg, amelyek megkerülik az észlelési, titkosítási és visszafejtési mechanizmusokat,
ilyenek lehetnek például a polimorf, önmódosító vagy kvantumrezisztens zsarolóvírusok. Várható az olyan támadások számának növekedése, amelyek nemcsak az adatokat, hanem a fizikai eszközöket, például intelligens kamerákat, érzékelőket vagy ipari vezérlőrendszereket is célba veszik, így konkrét fizikai károkat okozhatnak. Várhatóan más típusú támadásokkal kombinálják majd ezeket, például adatlopással, távoli kódok futtatásával vagy DDoS-sel, ami felerősítheti az incidens hatását és összetettségét. De az egy lehetséges forgatókönyv, hogy a jövőben zsarolóvírus-kartellek vagy koalíciók jöhetnek létre, amelyek megoszthatják erőforrásaikat, összehangolhatják a taktikáikat és a hírszerzésüket, illetve az eddigieknél is hatékonyabban koordinálhatják a támadásaikat.
Az egyik tanulmányukban (Microsoft Digital Defense Report) azt írják, hogy „az egyetlen igazán hatékony védelem a kollektív védelem”. Mit jelent ez?
A széttöredezett kiberbiztonsági környezet azt jelenti, hogy nem használjuk ki a rendelkezésre álló hatalmas mennyiségű adatban és védekezési eszközeink fejlettségében rejlő előnyöket. A határokon, iparágakon, a köz- és magánszféra közötti megosztottságon átívelő, erős partnerségek kialakításával egységes frontot hozhatunk létre a kiberbűnözés ellen. A kiberbűnözők és a támadók folyamatosan fejlesztik stratégiáikat, hogy kihasználják a technológiai fejlődést – de ezt mi is ugyanúgy megtehetjük. Kollektív védelmi erőfeszítéseink középpontjában az együttműködés erősítése és az iparágvezető megoldások kifejlesztése, illetve elterjesztése áll. Mivel a kiberbűnözők összetett, globális infrastruktúrát használnak, hatalmas mennyiségű, könnyen hozzáférhető adatot állítanak elő, amely nagyon sok információval szolgál. A kiberbűnözéssel kapcsolatos hírszerzés azonban jelenleg még nincs felkészülve arra, hogy ezekből az adatokból értelmes, és a gyakorlatban is alkalmazható információkat állítson elő.
De van ilyen irányú kezdeményezés, hogy ezen a téren javuljon a helyzet?
Például a Cybercrime Atlas, amelyet a Világgazdasági Fórum (WEF) indított olyan vállalatok támogatásával, mint a Microsoft, a Fortinet, a PayPal és a Santander Group. Ez egy több mint 40 magán- és közszférabeli tagból álló, sokszínű közösség, amely azért jött létre, hogy egységesítse, közös platformra terelje a kiberbűnözéssel kapcsolatos tudásmegosztást, együttműködést és kutatást. Annak ellenére, hogy a Cybercrime Atlas egy friss kezdeményezés, jó eséllyel egy szabványosított és skálázható modellt hozhat létre, amely a nyílt forráskódú hírszerzési kutatást fogja hatékonyan segíteni. Az összefogás révén a lehető legtöbb adat összegzése és elemzése válik lehetségessé, miközben a különböző iparágak szakértői megszűrik, további következtetésekkel egészítik ki és ellenőrzik az így előállított információkat. A kontextualizált hírszerzési adatgyűjtés megkönnyíti a kapcsolatok elemzését, ami lehetővé teszi a kiberbűnözők, a bűnözői csoportok és a megosztott infrastruktúra közötti kapcsolatok azonosítását.
Jellemzően milyen infrastruktúrákat támadnak meg a hackerek, amikor egy állam a cél? Milyen adatokat próbálnak megszerezni?
A kiberműveletek folyamatosan változó színterén az állami aktorok a károkozó támadásokról a kiberkémkedésre helyezték át a hangsúlyt. Ezeket a kifinomult szereplőket a kormányok ma már arra használják, hogy más nemzetekről, transznacionális és nem kormányzati szervezetekről gyűjtsenek hírszerzési adatokat. Míg a károkozó támadások azonnali figyelmet kapnak, a kémkedés hosszú távon jelent fenyegetést a kormányokra, az iparra és a kritikus infrastruktúrát üzemeltető szereplőkre nézve. A kritikus infrastruktúra és az oktatás továbbra is népszerű célpontnak számít, a bűnözők pedig egyre nehezebben felfedhető technikákat alkalmaznak, hogy elkerüljék a leleplezést. Az állami aktorok leginkább az Egyesült Államokat, Izraelt és Ukrajnát veszik célba.
A kritikus infrastrukturális ágazatok, köztük a kommunikáció, a közművek, a közlekedés, a kormányzat és az információtechnológia az elsődleges célpontjuk.
A Microsoft Threat Intelligence által a kormányoknak küldött figyelmeztetések 41 százaléka vonatkozott az említett ágazatokra. Emellett egyes államok kiberalapú befolyásolási kampányokat is alkalmaznak a közvélemény manipulálására. Ilyen jellegű kiberműveletek felerősödésére Latin-Amerikában, a Szaharától délre fekvő Afrikában és a Közel-Keleten figyeltünk fel, utóbbi leginkább Irán fokozódó tevékenységére vezethető vissza.
Egyetlen év alatt megtízszereződtek a felhasználói jelszavak elleni támadások. Mi ennek az oka?
Valóban, 2023 első negyedévében drámaian megugrottak a felhőalapú hitelesítő rendszerek elleni támadások, különösen az oktatásban. A Microsoft Entra adatai szerint a támadási kísérletek száma több mint tízszeresére nőtt 2022 azonos időszakához képest, havi mintegy 3 milliárdról több mint 30 milliárdra. Ez azt jelenti, hogy idén átlagosan másodpercenként 4000 alkalommal igyekeztek bűnözők megszerezni a felhasználók jelszavait, amelyekkel a Microsoft felhőjébe lépnek be. A jelszótámadások ilyen mértékű elszaporodásának egyik fő oka, hogy sok szervezet – különösen az oktatási szektorban – nem fordít kellő figyelmet a biztonságra. E szervezetek közül sokan nem engedélyezték a többfaktoros hitelesítést (MFA) a felhasználók számára, így téve kiszolgáltatottá őket az adathalász támadásoknak, és az olyan incidenseknek, amelyek során a támadó a lopott azonosító adatok birtokában más felületekhez is megpróbál hozzáférni, továbbá a nyers erőt alkalmazó támadásoknak, amelyek során a támadó jelszóvariációk milliót veti be a felület feltöréséhez.
Hogyan „néznek ki” ezek a támadások?
Az MFA egy extra biztonsági réteget nyújt, de a kiberbűnözők így is találnak módot arra, hogy megkerüljék. Az egyik módszer az egyszer használatos jelszót alkalmazó botok (OTP-botok) használata a hozzáférés megszerzésére és a fiókok átvételére. Az OTP-botok úgy szerzik meg a hitelesítési kódokat a felhasználóktól, hogy ráveszik őket az SMS-ben, hitelesítési alkalmazásokban vagy e-mailben elküldött OTP megadására. A kiberbűnöző betölti az áldozat telefonszámát az OTP-botba, amely felhívja az áldozatot, és egy hivatalos szolgáltatónak adja ki magát. A bot azt mondja az áldozatnak, hogy gyanús tevékenység történt a számláján, és arra kéri, hogy adja meg az OTP-t a „biztonsági ellenőrzéshez”. A beírt jelszót ezután visszaküldi a kiberbűnözőnek, hozzáférést biztosítva az áldozat számlájához. A hitelesítési kódok megszerzése érdekében adathalász e-maileket is bevetnek a bűnözők.
A már említett jelentésből az is kiderült, hogy Kína gyakorlatilag az egész világon államilag támogatott kémkedést folytat. Milyen bizonyítékai vannak erre a Microsoftnak? Van ennek az aktivitásnak magyar vonatkozása is?
Az adatokból azt látjuk, hogy Kína elsősorban a Dél-kínai-tenger mentén elhelyezkedő országokról gyűjt hírszerzési adatokat. Voltak olyan kibertámadások ebben a térségben 2022 júliusa 2023 júniusa között, amelyeket a kínai kormány által szponzorált hackercsoportoknak tulajdonítottak.
Bár Kína továbbra is leginkább Tajvanra összpontosít, a szomszédos országok tervei, szándékai és képességei is érdeklik.
Például május 15-től kezdődően a Storm-0558, egy kínai székhelyű támadó hamis hitelesítési tokeneket használt, hogy hozzáférjen a Microsoft-ügyfelek e-mail fiókjaihoz mintegy 25 szervezetnél, köztük amerikai és európai kormányzati szerveknél. A Microsoft sikeresen blokkolta ezt a kampányt. A támadás célja az volt, hogy kémkedési céllal jogosulatlan hozzáférést szerezzenek az e-mail fiókokhoz. A Storm-0558 korábban amerikai és európai diplomáciai szervezeteket, valamint Tajvanhoz és az ujgur régióhoz kötődő személyeket és szervezeteket vett célba. Magyarország érintettségéről nincsenek információm.
Mely országok ellen követték el a „legnagyobb” támadásokat? Mi volt a célpont, milyen adatokhoz fértek hozzá?
A leggyakrabban megtámadott országok az USA, Ukrajna és Izrael voltak. Például orosz állami szereplők, köztük a Midnight Blizzard, a Star Blizzard és az Aqua Blizzard nyugati diplomatáknak és ukrán tisztviselőknek kiadva magukat indítottak adathalász kampányokat, hogy hozzáférjenek olyan fiókokhoz, amelyek betekintést nyújthatnak az Ukrajnával kapcsolatos nyugati külpolitikába, védelmi tervekbe és szándékokba, vagy a háborús bűncselekményekkel kapcsolatos nyomozásokba. Az Aqua Blizzard aktorai ugyancsak ukrán tisztviselőknek adták ki magukat, hogy nyugati és ukrán humanitárius és igazságügyi szervezeteket vegyenek célba, majd HTML-csempészési technikát használták a felderítés megkerülésére és az automatikus védekezés kijátszására. A Star Blizzard magasrangú volt amerikai tisztviselőnek adta ki magát, hogy leveleket küldjön olyan amerikai diplomatáknak, akik korábban Ukrajnában szolgáltak. Májusban a Midnight Blizzard lengyelországinak álcázott e-mail címekről küldött e-maileket 12 nemzetközi szervezet, köztük a NATO, valamint több NATO-tagállam diplomáciai képviselőinek. Ez csak egyike volt a Star Blizzard által idén végrehajtott számos kampánynak, amelyek az ukrán politikában érintett diplomáciai szervezeteket és személyeket célozták meg. A Storm-0558-as esetet már fentebb említettem.
Jellemzően kik dolgoznak a kibervédelmi ágazatban? Csak programozókra kell gondolnunk, vagy vegyesebb a kép?
A kibervédelmi ágazat összetett, ezért a készségek és tapasztalatok tekintetében is komplex megközelítést igényel. Nem csak programozókról beszélünk, szükség van például jogászokra, a felhasználói élményért, az informatikai architektúráért felelős szakemberekre és így tovább. A sokféle nézőpont és háttér abban segít, hogy még biztonságosabb és ellenállóbb rendszereket tervezhessünk, valamint jobban megértsük a kiberfenyegetések és a válaszlépések jogi, etikai és társadalmi vonatkozásait.
A kiberbiztonság nemcsak technikai, hanem társadalmi kihívás is egyben.
Meg kell érteni a különböző szereplők – például az államilag támogatott hackerek, kiberbűnözők, aktivisták, terroristák, a cselekményekben résztvevők – motivációit, viselkedését és képességeit. Emellett hatékony kommunikációra, együttműködésre és koordinációra van szükség a különböző érdekelt felek, például kormányok, vállalkozások, a civil társadalom és magánszemélyek között. Ezért a kiberbiztonsági szakembereknek nemcsak technikai készségekkel kell rendelkezniük, hanem olyan soft készségekkel is, mint a kritikus gondolkodás, a problémamegoldás, a kreativitás, a vezetés és a csapatmunka.
A munkaerőhiány ezt az ágazatot is elérte már?
A képzett kiberbiztonsági szakemberek hiánya egyre sürgetőbb problémát jelent a kritikus köz- és magáninfrastruktúrák védelme szempontjából – például a nem-kormányzati szervezetek a támadók top3-as célpontjai, de a nem kormányzati szervezetek kevesebb mint 15 százalékának van kiberbiztonsági szakértője. Azért sincs elegendő képzett szakember, mert világszerte kevés a képzés és a képzéseket elismerő program. A Cybersecurity Ventures szerint a kiberbiztonsági munkahelyek iránti kereslet 2025-re várhatóan eléri a 3,5 milliót, ami nyolc év alatt elképesztő, 350 százalékos növekedést jelent. Az a tény, hogy jelenleg világszerte nem elég sokszínű a munkaerő, tovább súlyosbítja a kihívást.
Milyen arányban dolgoznak férfiak és nők a szektorban? Feltételezem, hogy főként férfiak tevékenykednek az ágazatban – hogyan lehetne ezen az arányon változtatni?
Mivel a nők az aktív munkaerő mindössze 25 százalékát teszik ki, a befogadás erősítése kulcsfontosságú. A tehetséghiány kezelése és a sokszínűség előmozdítása érdekében a Microsoft 28 országra terjesztette ki a kiberbiztonsági készségek oktatásával kapcsolatos kezdeményezését, különös hangsúlyt fektetve a nők szerepvállalásának erősítésére. A Women in Cybersecurity-vel, a lengyelországi Kosciuszko Intézettel és más hasonló szervezetekkel, megkötött stratégiai partnerségek nagyban hozzájárulnak a nők képzéséhez, és ahhoz, hogy minél több nő tudjon elhelyezkedni a kiberbiztonsági szektorban. A változás érdekében minden iparági és kormányzati szereplőnek ki kell vennie a részét ebből a munkából.