Az észlelt kibertámadások között kritikus, azaz a legmagasabb biztonsági besorolású nem volt. Magas kockázatú is csak két-három, a többi közepes, alacsony vagy minimális veszélyt jelentett csupán az állami és az önkormányzati informatikai rendszerek működésére – tudta meg a Népszabadság Gyebrovszki Tamástól, a Nemzetbiztonsági Szakszolgálat szervezetén belül létrehozott központ vezetőjétől.

Ott a jelszó

Az Országgyűlés tavaly áprilisban fogadta el „Az állami és önkormányzati szervezetek elektronikus információbiztonságáról szóló törvényt”. E jogszabály felhatalmazása alapján – a Puskás Tivadar Közalapítvány megszűnését követően – az állami és önkormányzati szervezetekkel kapcsolatos kiberbiztonsági eseményekkel összefüggő feladatok végrehajtását a polgári nemzetbiztonsági szolgálatok irányításáért felelős belügyminiszter hatáskörébe utalta. A törvényben előírt feladatok végrehajtására a Nemzetbiztonsági Szakszolgálaton belül létrehozták a Kormányzati Eseménykezelő Központot.

A GovCERT feladata egyebek között az információbiztonsági incidensekkel kapcsolatos bejelentések fogadása, kivizsgálása, a szükséges intézkedések megtétele és koordinációja. Incidensekkel kapcsolatos információkat külföldi partnerszervezetektől és a megtámadott rendszerek üzemeltetőitől egyaránt kaphatnak, de akár még a sajtóból is, bár Gyebrovszki szerint a különböző kibertámadásokról szóló híradások többnyire pontatlanok, túlzóak és megkésettek, sokszor hetekkel, hónapokkal korábbi eseményekről szólnak.

Gyebrovszki elmondta, a kibertérben „különleges háború zajlik”, amely Magyarországot, a hazai állami, önkormányzati informatikai rendszereket is érinti. Ezek az informatikai hálózatok is éppúgy lehetnek célpontjai támadásoknak, mint ahogy klóngépekként felhasználhatják a nem kellően védett, vagy nem az előírásoknak megfelelően használt számítástechnikai rendszereket más hálózatok támadásához. Ebben a háborúban senki nem visel egyenruhát, sőt az a jellemzőbb, hogy a támadók többnyire harmadik fél mögé bújva, azaz idegen rendszereket meghackelve hajtják végre akcióikat. Olykor még az sem deríthető ki egyértelműen, kik álltak egy-egy támadás mögött.

Azért vannak sikerek is. Nemrég valaki magyarországi honlapok átírásával bosszantotta az oldalak gazdáit, látogatóit és a központ munkatársait. Sikerült azonban azonosítani a támadót. Egy külföldi ifjú hacker szórakozott rajtunk, velünk. A GovCERT kapcsolatba lépett az adott országgal, ahonnan az illető a támadásokat indította. Gyebrovszki azt mondta, az ottani hatóságok gyorsan intézkedtek. Hogy melyik országból ért minket támadás, nem árulta el, más forrásokból is csak annyit sikerült megtudni, hogy egy közép-ázsiai, a mi fogalmaink szerint „nem túl demokratikus” államról van szó, amely ennek ellenére a kiberbűnözés elleni fellépésben maximálisan segítőkész volt. Egy-egy támadás sikeres elhárítása érdekében, a támadók azonosítása után a GovCERT információi alapján azonnal akcióba lépnek a törvényben meghatározott hatóságok is, és közösen próbálják meg tisztázni a támadó hátterét és valós szándékait. Voltak már látványos közös sikerek: az Anonymous csoport egyik fiatal tagja például még javában végezte a csoporton belül rá kiosztott feladatát, amikor az érte küldött rendőrök az otthonában, a számítógépe mellől állították fel. És persze voltak olyan esetek is, amikor nem sikerült kideríteni, valójában kik támadták meg a magyar állami és önkormányzati informatikai hálózatokat.

A Gyebrovszki Tamással folytatott beszélgetésnek értelemszerűen nem lehetett témája, hogy mi történik akkor, amikor sikerül ugyan beazonosítani a támadás kiindulópontját, ám azt már nem, hogy ténylegesen ki és miért indította a támadást. Mint ahogy az sem, hogy ebben a sajátos kiberháborúban Magyarország milyen stratégiát követ. Gyebrovszki csak annyit mondhatott, hogy a támadásokra való válaszadás nem a Kormányzati Eseménykezelő Központ feladata.

(Egy belügyi illetékes ugyanakkor ennél továbbment, és érdeklődésünkre úgy fogalmazott: a magyar szolgálatok rendelkeznek azokkal a képességekkel, amelyek felhasználásával szükség esetén vissza tudnak vágni a „túlságosan pofátlan támadóknak”, és indokolt esetben a törvényes keretek között ezt meg is teszik.)

A GovCERT a nemzetközi kapcsolatainak bővítése és az internetforgalomba való rossz szándékú beavatkozásra utaló jelek figyelése, értékelése és kockázatelemzése mellett a teljes kiberbiztonsági kapcsolati rendszer kiépítésén dolgozik. Jelenleg – a törvény értelmében – mintegy négyezer állami és önkormányzati felhasználó védelméről kell gondoskodnia, elsősorban szervezőként, tanácsadóként, koordinátorként. Vannak azonban olyan hálózatok, amelyek üzemeltetőivel még nem sikerült kapcsolatba lépni a központ megalakulása óta, mert nem tudni, ki az informatikai rendszer üzemeltetésének felelőse.

Gyebrovszki Tamás úgy fogalmazott, a GovCERT nem hagyja magára a rendszergazdákat, jelzik a támadásokat, technikai segítséget is kaphatnak az elhárításukhoz és a következmények felszámolásához. Ennek ára van: követniük kell a számukra, az általuk képviselt intézmény biztonsági kockázatához igazított protokollt. Ami a hazai informatikai rendszerek állapotát tekintve nem kis kihívás.

A hatályos jogszabályok szerint a létfontosságú információs rendszerek védelmét a jövőben az Országos Katasztrófavédelmi Főigazgatóság látja majd el. A többi állami, önkormányzati felhasználót különböző kockázati, veszélyeztetettségi kategóriákba sodorják. Minden egyes kategóriához hozzárendelnek majd bizonyos biztonsági szabályokat, hogy az adott hálózatot üzemeltető rendszergazdáknak mit kell tenniük a különböző támadások esetén, kiket kell értesíteniük, és hogyan kell dokumentálniuk az eseteket.

A törvény elvárásokat, feladatokat határoz meg a szervezet védelme alatt álló rendszerek üzemeltetői számára. A GovCERT nem ellenőrzi az internetfelhasználást, és nem tilt le semmilyen honlaphoz való hozzáférést. Figyelmeztet viszont a veszélyes helyekre, ahogy azt egyes böngészők is teszik, amikor a netező rosszhírű oldalra téved. Az állami rendszerek vonatkozásában a veszélyes, támadó szervereket természetesen kizáratják, így az azokon futó más szolgáltatások sem elérhetők a közszférában.

A magánszféra efféle védelmet jelenleg nem kapott. De a GovCERT honlapja (www.cert-hungary.hu) bárki számára elérhető, és ott számos hasznos információ található rövid és középtávon várható kockázatokról, olvasni lehet kiberfenyegetés-előrejelzésekről.

A Nemzeti Média- és Hírközlési Hatóság foglalkozik egy polgári CERT felállításával. A GovCERT addig is értesíti az internetszolgáltatókat az általa észlelt vagy a kapcsolatai révén tudomására jutott minden olyan támadásról, amely az ő hálózataikat is érintheti, vagy éppen az ő hálózataikon keresztül éri el az állami rendszereket. Az eddigi tapasztalatok szerint a szolgáltatók szívesen fogadták a jelzést, minden esetben megtették a szükséges intézkedéseket a támadások következményeinek mérséklése, a hasonló esetek megelőzése érdekében.

A GovCERT féléves működése máris rávilágított a rendszerben meglévő párhuzamosságokra, hézagokra, amelyek akár már a nem túl távoli jövőben kikényszeríthetik a jogi szabályozás felülvizsgálatát, módosítását.