Elfogadta az uniós szintű kiberbiztonsági irányelvet csütörtökön az Európai Parlament belső piaci szakbizottsága. A szabályozás szerint a kiemelten veszélyeztetett területeken, például az energiaszektorban működő cégeknek bizonyítaniuk kell, hogy ki tudnak védeni egy esetleges kibertámadást, illetve be kell számolniuk a hatóságoknak az ilyen esetekről. Rögzített kritériumok alapján a tagállamok feladata, hogy kijelöljék, melyek azok a kritikus ágazatokban működő vállalatok, amelyeknek a megfelelő eszközökkel kell felvértezniük magukat a kibertámadások kivédésére.
Az energiaipar az egyik terület, amely szerepel a listán. A szektor nem igazán felkészült egy esetleges kibertámadásra, mondta az NRG Reportnak Andrey Nikishin, a Kaspersky Lab informatikai biztonsági cég jövőtechnológiai osztályának vezetője. A szakértő több közelmúltban végzett szimulációt hoz példaként, melyek az ipari létesítmények sérülékenységét bizonyítják.
|
A hazai nukleáris létesítmények kritikus részei és a külvilág között csak egyirányú kapcsolat megengedett: fizikai úton kijuthat információ, be nem érkezhet, mondta az NRG Reportnak Vincze Árpád, az Országos Atomenergia Hivatal (OAH) főosztályvezetője. A kockázat mérséklésére szolgál a két-ember szabály követelmény: eszerint egy fontos rendszert mindig (legalább) két ember kell hogy adminisztráljon. Bár a külvilággal hálózati kapcsolat ezen a területen nem megengedett, bizonyos technikákkal (pl. social hacking), mobil eszközökkel bejuthatnak a rendszerbe, nem zárhatóak ki belső elkövetők sem. Az OAH által kidolgozott kibervédelmi módszertan, melyet a szervezet szerint nemzetközi szinten is elismertek, ilyen eshetőségeket vizsgált. A potenciális elkövetőket, ezek képességeit csoportosítja, s az adott helyszínekre lehetséges forgatókönyvet dolgoz ki. Tavaly a szervezet a létesítmények fenyegetettségét vizsgálva arra jutott, hogy tisztán kibervédelmi szempontból nem mehet végbe olyan eseménysor, amely a környezetre, a lakosságra hatással lenne, mondta Vincze. Olyanra azonban sor kerülhet, ami a működést befolyásolni tudja. A nukleáris létesítmények munkatársai számára az OAH az egyes helyzetekre adott válaszokról szóló anyagon dolgozik, ezzel párhuzamosan szimulációs gyakorlatok bevezetését tervezik idén. Az elméleti képzések már zajlanak, a kollégák folyamatosan vesznek részt kiberbiztonsági tréningeken. Minden kulcsszervezetnek van kibervédelmi felelőse, és valaki, aki közvetlenül a vezető alá tartozik: országszerte néhány tucat szakember dolgozik. A paksi atomerőműben már működik a rendszer, ám végleges verzióról (mivel engedélyeztetni kell) a tapasztalatok ismeretében döntenek. Az uniós intézkedés egyébként nem érinti a szektort: a nukleáris ipar nem tartozik az uniós kritikus infrastruktúra-szabályozás alá, itt már korábban bevezettek olyan intézkedéseket, melyeket más szektorokban majd csak ezután fognak. Ami a nem frissíthető rendszereket illeti, sokszor éppen a régi (akár analóg) szisztémájú berendezések jelentik a biztonságot. Az elöregedett darabok cseréje folyamatos, s az új beszállítóknak jogszabályban meghatározott feltételeknek kell megfelelniük, például a telepítendő rendszereknek nemcsak a véletlen, hanem a célzott támadásokat is ki kell védeniük. Az OAH a Budapesti Műszaki Egyetemmel közösen egy kibervédelmi tesztlaboratórium létrehozását is tervezi, ahol az új rendszereket vizsgálnák be, s ahol a hatósággal is végeztethetnének teszteket. |
Az irodai környezettel összehasonlítva az ipari létesítmények jóval védtelenebbek. Többségük (itt a vezérlőrendszerek a sarkalatos pontok) hálózattól szeparáltan működött, emiatt sokáig nem foglalkoztak a kérdéssel, mondván, oda nem juthat be senki, mivel nincs internet. Mára ez megváltozott, s az is támadhatóvá vált, aki nem volt internethez kötve (pl. az iráni urániumdúsító, ahová a Stuxnet vírus fizikai mobil eszközön keresztül jutott be). Ennek orvoslására a PC-s világban 10 éve bevezetett módszereket próbálják alkalmazni. „A baj az, hogy a rendszereket hosszú távra tervezték, s így nem teszik lehetővé, hogy egy szoftverfrissítéssel kijavítsák a hibát. Ha 10-15 év múlva lecserélik a berendezéseket, akkor telepíthetnek olyan rendszereket, amelyek a PC-s korszakban 10 éve már léteztek”, mondta az NRG Reportnak Bencsáth Boldizsár, a Budapesti Műszaki Egyetem tanára, az egyetemen működő CrSyS Lab (Adat- és Rendszerbiztonsági Laboratórium) munkatársa. S bár elméletileg egy külső hálózatról érkező dokumentumot nem abból a hálózatból nyitnak meg, amely a vezérlésért felel, a gyakorlatban könnyen előfordulhat, hogy össze vannak kötve a hálózatok. „A rendszereken nem, azon viszont lehet javítani, hogy okosan nyissuk ki a rendszert az internet felé”, mondta Bencsáth.
A támadások menete egy bizonyos pontig hasonló: először próbálnak rést találni, majd csatlakoznak a hálózathoz, innentől kezdve távolról kontrollálhatják a rendszert. „A kritikus pont máig az emberi tényező, általában a (tudatlan) alkalmazattok a leggyengébb láncszemek”, mondta Nikishin. Letöltenek/megnyitnak egy alkalmazást, és ezzel gyakorlatilag összekötik a támadót a belső rendszerrel. A szakember szerint a legfontosabb a tudatosság javítása, tréningekkel például. „Persze a megfelelő technológiai védelemre is szükség van, e nélkül olyan, mintha ‘meztelenek’ lennénk.” A képzés fontos, hogy azok is megértsék a problémát, akik ezeket a rendszereket tervezik, használják. Különösen, ha sokszor még a programozó sem érti, milyen problémák adódhatnak, ha nem a biztonsági területen dolgozik.
A CYBERTHREAT cybertámadásokat élőben mutató térképe
Ám specialisták alkalmazása sem jelent mindig megoldást. „ A holland CERT-be (Computer Emergency Response Team) felvettek egy scada(vírus) szakértőt, egy évvel később azt nyilatkozták, keresik a problémát, amivel a szakembert foglalkoztatni tudnák, mert nincsen”, mondta Bencsáth. Azt gondolnák, hogy sok szakember kell, ám olyan incidensekre nem került sor, amelyek feltétlenül szükségessé teszik a szakemberek alkalmazását. Az ipar/cégek igénye változó: van, ahol csak kibertudatossági tréninget kérnek, van, ahol átvilágítást, többen szakembereket vesznek fel, mondta a szakember.
„Az energiaszektor igen felkészült bármilyen – nem kiberjellegű – támadásra – a hálózatot igen robusztusra tervezték, ami jól viseli, ha valamilyen okból leáll. Amire nem vagyunk felkészülve, az olyan támadások, ahol nem azonnal van a kár, hanem csak felkészülnek rá: a támadó belép a rendszerbe, és kiskapukat, hátsó ajtókat rejt el, hogy később visszatérjen – ezt a rendszergazda sem veszi észre.” A védettség különböző „szélsőségeit” Bencsáth két példával illusztrálja. Kibertámadások tekintetében az egyik legvédettebb eszköz az otthoni kábeltévés/internetes modem. Ez az, amit a szolgáltatók a legjobban átvizsgáltak, hiszen mindenki szeretne ingyen internetet, bárki szívesen meghackelné. S a legsérülékenyebb? Bármilyen ipari létesítmény, akár Paks (a hazai nukleáris létesítmények biztonságáról lássa keretes írásunkat): mivel nem volt hálózathoz csatlakoztatva, nem nagyon merült fel, hogy védeni kellene.
Az MVM Zrt. az Európai Bizottság által 2013-ban elfogadott Kiberbiztonsági Politikához (EU International Cyberspace Policy), valamint Stratégiához (EU Cyber Security Strategy) igazodó, Magyarország Nemzeti Kiberbiztonsági Stratégiája tárgyú 1139/2013. (III. 21.) Kormányhatározatban rögzített célokat, védelmi elveket, eljárásokat tekinti irányadónak. „A vállalatcsoport zárt, teljes körű, folytonos, valamint kockázatokkal arányos információ- és informatikai biztonságát nagyvállalati környezethez igazított fizikai, logikai és adminisztratív védelmi megoldásokkal biztosítjuk”, írta kérdésünkre az MVM Zrt.
Az új irányelv bejelentési kötelezettséget is előír a kritikus létesítményeknek. A támadások állam felé történő bejelentése egyelőre nem bevett gyakorlat, országonként és szabályozásonként változik. Az engedélyezési tevékenységet folytató tagvállalatok további jelentési kötelezettséggel tartoznak a tevékenységüket felügyelő, illetve ellenőrző hatóságok, szervezetek irányába, tájékoztatott az MVM Zrt. „Amennyiben kibertámadás érné az MVM csoportot vagy annak bármely tagvállalatát – az alkalmazandó protokoll szerint –, annak tényéről és körülményeiről értesítést kap a vállalatcsoport menedzsmentje, illetve rajta keresztül az MVM Zrt. tulajdonosa.”
Nikishin szerint hasznos lenne az egyes támadások részleteinek országok közötti megosztása, függetlenül attól, hogy az sikeres vagy sikertelen volt. A hibákból is lehet tanulni, s annyival könnyebb lenne egy későbbi támadásra felkészülni. Az adatcsere gyakorlati működése még nem zökkenőmentes, adatot kapni mindenki szeret, adni már kevésbé, mondta Bencsáth. Az irányelv a cégeket is rákényszerítené az adatcserére, amelyek szintén nem szívesen osztják meg egymással a részleteket. Már csak azért is, mert az incidensek száma évről évre nő. „Három éve jelentősen folyamatosan emelkedik a (sikeres) támadások száma az iparban, s bár (szerencsére) az energiaszektor nem tartozik a kiemelt célpontok közé, nem árt résen lenni”, mondta a szakember.
Az új szabályozás várhatóan tavasszal lép hatályba, ezt követően a tagországoknak 21 hónapjuk lesz arra, hogy az irányelvet bevezessék. Az irányelvet még a teljes Európa Parlamentnek és az Európai Tanácsnak jóvá kell hagynia, amire azonban biztosan sor fog kerülni, a szakbizottság és a Tanács között már korábban kialakult az egyetértés a kérdésről.
Végh Zsófia
