Nemrég az Anonymous hekkercsoport magyarországi légiója behatolt az Alkotmánybíróság honlapjára, és átírta az Alaptörvényt. Nem sokkal később a Nemzeti Rehabilitációs és Szociális Hivatal oldalát törték fel és írták át hasonló módon. Az esetek ráirányították a figyelmet az állami rendszerek sebezhetőségére. Mint kiderült, nem is alaptalanul: sok állami, kormányzati intézmény csak több hetes várakozás után, vagy egyáltalán nem válaszolt informatikai biztonsággal kapcsolatos kérdéseinkre.
Bár itthon még nem láttunk komolyabbat néhány túlterheléses támadásnál és egy viszonylag egyszerű, az adatbázisok hibáját kihasználó behatolásnál, a fenyegetettséget mégis komolyan kell venni, hiszen az elmúlt hónapokban kiderült, hogy a nemzetközi Anonymous akár ipari létesítményekbe is bejuthatna, sőt elméletileg az egész internetet is megbéníthatná (szerencsére csak elméletileg).
Az Index által megkérdezett kormányzati, állami szervek többsége szerint igazából nincs mitől félni, mindenki felkészült, a problémát azonban nem szabad bagatelizálni. Magyarországon – az Európai Unió előírásainak megfelelően – külön jogszabály foglalkozik az úgynevezett kritikus infrastruktúrával, melyeknek védelme kiemelt feladat, hiszen kiesésük érzékenyen érintheti, vagy akár meg is béníthatja az országot.
A kritikus infrastruktúrába persze nem csak informatikai rendszerek tartoznak, ahogy az Anonymous Magyarország és a többi hekkercsoport fenyegetése sem az elsőszámú veszély – bár pár hete éppen az derült ki egy felmérésből, hogy a politikai, ideológiai okokból akciózó hekkerek több kárt okoznak, mint kifejezetten pénzért felbérelt társaik. Ráadásul manapság nagy divat terroristákhoz hasonlítani a lazán szerveződő, a komoly biztonsági szakemberek mellett valószínűsíthetően sokszor unatkozó tinikből álló hekkercsoportokat.
Bár a rendszergazdák és biztonsági szakértők eltérően vélekednek a támadások súlyosságáról, annyi biztos, hogy az elmúlt hónapokban jelentősen megnőtt a Magyarországon politikai okokból elkövetett hekkertámadások száma. Ugyan ezek többsége túl sok informatikai tudást nem igénylő, úgynevezett elosztott-túlterheléses támadás volt, arra bőven alkalmasak voltak, hogy a sajtó, a politika és nem utolsó sorban a rendőrség figyelmét magukra vonják.
Míg a nemzetközi Anonymous – és a nemrég újjáéledt LulzSec csoport – általában behatol a rendszerekbe, adatokat lop és tesz közzé, valamint akár napokra is képes megbénítani az oldalakat, a magyar Anon eddigi legkomolyabb akciója az alaptörvény átírása volt az Alkotmánybíróság honlapján. Az már csak a támadást elszenvedő hivatalt jellemzi, hogy emiatt hetekig állt a honlap és a biztonsági rés gyors befoltozása helyett inkább indítottak egy ideiglenes oldalt. Mentségükre legyen mondva, a hekkerek presztízsveszteségen kívül valójában semmilyen komolyabb kárt nem okozhattak volna az ország kritikus infrastruktúrájában, ráadásul az AB honlapja nem része a kormányzati gerinchálózatnak sem.
Azt, hogy mi számít kritikus informatikai infrastruktúrának Magyarországon, jelenleg a 2080/2008 sorszámú kormányhatározat szabályozza, azonban már folyik egy új jogszabály előkészítése. A törvényről egyelőre nem sokat tudni, de az biztos, hogy fokozatosan lép majd életbe. A jogszabály alapján a kormány kijelöl majd egy hatóságot, amely nevesíti, hogy mi tartozik bele a kiemelten védendő infrastruktúrába, majd ezt határozatban közlik az adott rész üzemeltetőjével.
Az üzemeltetőnek ki kell majd jelölnie egy, a cég és a hatóság közti biztonsági összekötő személyt, akinek át kell mennie a legmagasabb szintű (C típusú) nemzetbiztonsági ellenőrzésen. A hatóság emellett üzemeltetői biztonsági tervet készíttet az üzemeltetővel. A készülő törvény szerint a biztonsági üzemeltető bére, továbbá a védelem költsége az üzemeltetőt terheli.
Az Európai Unió törekvéseivel összhangban a kormány 2008-ban elfogadott egy határozatot a „kritikus infrastruktúra védelmi tevékenységek közös keretrendszerbe foglalásáról”. Ekkor elrendelték „az Európai Unió létfontosságú infrastruktúrák figyelmeztető és információs hálózatához (Critical Infrastructure Warning Information Network, CIWIN) való kapcsolódás lehetőségeinek vizsgálatát is.
A jogszabály elkészítése előtt a kormány egy úynevezett Zöld Könyvben foglalta össze a leglényegesebb tudnivalókat. Ebben az áll, hogy a modern társadalmak nagy mértékben függenek a technikai és informatikai rendszerektől, például az energiaellátás, ivóvízellátás, informatikai hálózatok, ráadásul ezek még egymástól is függenek. Amennyiben ezek közül bármelyik meghibásodik, az komoly hatással van mindennapi életünkre is. Ezeket védeni kell terrorcselekményekkel, természeti katasztrófákkal és balesetekkel szemben is.
„A közelmúltban bekövetkezett terrortámadások (USA, Madrid, London), természeti katasztrófák (ázsiai szökőár, földrengések) és technikai kihívások (kétezredik évi dátumváltás, nagykiterjedésű áramkimaradások, cyber támadások) felhívták a figyelmet az infrastruktúrák sebezhetőségére, valamint az infrastruktúrák, a társadalom és kormányzati működés kölcsönös egymásrautaltságára” – írja a könyv. A jogszabály nem nevesít konkrét intézményeket, viszont rengeteg ágazatot felsorol az energiaszektortól az infokumminikációs technológiákon át a pénzügyi szektorig.
Sereg András, az Alkotmánybíróság szóvivője korábban az Indexnek elmondta, hogy az Ab honlapjának felügyelete a főtitkár feladata, és a karbantartást is maga a hivatal végzi. Sereg szerint jelenleg sem jogszabályi kötelezettségük, sem forrásuk sincs arra, hogy 24 órán át ellenőrizzék a weblapot. Mivel az incidens vasárnap délelőtt történt, aznap nem is néztek rá a honlapra, amíg az Index nem szólt. A szóvivő azt is hozzátette, hogy „őszintén szólva ez már máskor is előfordult”.
Akkor azt a választ kaptuk, hogy még nem tudják, milyen módszerrel hatoltak be a honlapra a hekkerek, a vizsgálattal pedig egy független céget bíztak meg. A Buhera blog azonban közvetlenül a támadás után kiderítette, hogy a hekkereknek elég egyszerű dolguk volt, rengeteg érzékeny információt elérhettek néhány google kereséssel.
A Nemzeti Hálózatbiztonsági Központ az Index kérdésre elmondta, hogy az alkotmánybíróság weboldala nem része az úgynevezett kormányzati gerinchálózatnak, amely speciális védelmi rendszerrel van ellátva, így nem élvezheti annak biztonsági előnyeit sem. Dr. Angyal Zoltán, a központ vezetője, szerint a Magyar Anonymous tevékenysége megnövekedett kockázatot jelent, a csoport fellépését valós vagy vélt politikai okok indukálják.
A Nemzeti Hálózatbiztonsági Központ egyik fő feladata a kormányzati CERT tevékenység ellátása. A CERT egy mozaikszó, amely egy angol szóösszetételnek a „Computer Emergency Response Teamnek" a rövidítése. Ez egy olyan csapat, amelyik megfelelő technikai háttérrel rendelkezik ahhoz, hogy időben reagáljon és kezeljen minden hálózatbiztonságra és kritikus információs infrastruktúrára veszélyes internetes eseményt. Röviden a CERT egy Számítástechnikai Sürgősségi Reagáló Egység.
Az Alkotmánybíróság honlapját ért támadáson kívül az elmúlt időszakban voltak más sikeres támadások is, ezek közül több viszonylag nagy médiafigyelmet kapott. Ezzel egyidőben egyre több támadás éri a teljes kormányzati infrastruktúrát is. Angyal Zoltán szerint a Magyarországon elkövetett informatikai támadások legjellemzőbb célpontjai a politikai okokból előtérbe került rendszerek, valamint a pénzintézeti honlapok, hiszen itt jelentős mennyiségű pénzhez juthanak a támadók egy sikeres akcióval.
Ebbe a képbe illeszkedik, hogy az AB honlapján kívül a másik célpont Hoffman Rózsa oktatási államtitkár weboldal volt, ezt konkrétan megnevezte a Nemzeti Hálózatbiztonsági Központ vezetője is, sőt magára vállalta a túlterheléses támadást a magyar Anonymous is.
Ezzel szemben a honlapot hostingoló cég szerint az sem egyértelmű, hogy volt egyáltalán támadás. „Azt nem állíthatom, hogy nem volt támadás, de gyakorlatilag jelentéktelen lehetett. A statisztika szerint nem volt DoS, azaz túlterheléses támadás. Egy DoS támadás több, mint feltűnő, és feszülten figyeltük. Nem Hoffmann Rózsa miatt, hanem azért mert úgy véltük, egy ügyfelünket, illetve hálózatunkat komoly veszély fenyegeti” – fogalmazott a cég munkatársa.
A Nemzeti Hálózatbiztonsági Központ hálózatbiztonsággal foglalkozik és nem az egyes intézményi alkalmazói rendszerek védelmével. Ez azt jelenti, hogy nincs olyan központi szerv, amely biztonsági feladatokat lát el minden egyes kritikus informatikai infrastruktúrát üzemeltető intézményben.
Ez persze nem jelenti azt, hogy az intézmények ne lennének kapcsolatban egymással. A Nemzeti Hálózatbiztonsági központ kérdésünkre annyit elárult, hogy az Anonymous-csoport Magyarországot érintő fenyegetőzései, támadásai miatt megemelt biztonsági riasztás van érvényben, részleteket azonban nem közöltek.
Sőt, a kormányzati szerv a rájuk vonatkozó jogszabály alapján jelzik az incideneseket Országos Informatikai és Hírközlés Főügyelet (OIHF) és Informatikai Biztonsági Felügyelő (IBF) felé. A rendszeres napi, heti, negyedéves jelentéseken kívül minden kritikus incidenseknél rendkivüli jelentést is tesznek.
Ahogy arra a 2008-as kormányhatározat is kitért, a kritikus infrastruktúra védelembe az is beletartozik, hogy a védelemmel kapcsolatos informácikókat bizalmasan kezelik, ezért a legtöbb esetben csak általános válaszokat kaptunk a megkeresett szervezetektől, így az Nemzeti Adó- és Vámhivataltól is.
A NAV saját informatikai rendszerei biztonságát önállóan, belső erőforrások felhasználásával védi. A cég szerint Magyarországon ők rendelkeznek az egyik legnagyobb informatikai infrastruktúrával, valamint Európában is az egyik legnagyobb összefüggő informatikai rendszerrel, amelyhez ráadásul hatalmas adatbázis is társul. Az infrastruktúra védelme többszintű, a hardveres védelemtől a humánerős védelemig többféle módszerrel, eszközzel és eljárással valósul meg. Mindez ráadásul több, egymástól elkülönített szervezeti egység feladata.
A NAV rendszeresen ellenőrzi informatikai infrastruktúránk védelmének. Általában félévente szerveznek olyan auditot, amikor külsős cégek szakemberei nézik át a hálózatbiztonsági megoldásokat. Emellett tartanak belső gyakorlatokat is, a következő témákban: katasztrófa helyzet kezelése, adatbázis-helyreállítás, áramellátási zavar kezelése, fizikai behatolás észlelés, kiürítési gyakorlat. A hivatal sajtó osztálya szerint „az ún. anonymus-os támadások miatt a szokásosnál nagyobb készültséget nem voltunk kénytelenek elrendelni, hiszen a Hivatal rendszerei amúgy is az érdeklődés középpontjában állnak ilyen szempontból".
A bűnüldözőknél kicsit már más a helyzet az informatikai védelem tekintetében. Bár semmilyen konkrétumot nem tudtunk meg, annyit azért elárultak az Indexnek, hogy a „rendőrségi informatikai infrastruktúra védelmét alapvetően a Rendőrség látja el", viszont, ellentétben a NAV-val, ahol ez teljes egészében házon belül megvalósított feladat, itt „a kormányzati hálózatban elfoglalt pozíció révén ezt szoros együttműködésben teszi a többi informatikai üzemeltető és biztonsági szervezettel".
Elsőre azt hihetnénk, a hivatkozottak közül logikusan legalább az egyik a Nemzeti Hálózatbiztonsági Központ, de nem az: „a rendőrség informatikai üzemeltetése rendszeresen követi a CERT által kiadott jelentéseket, konkrétan azonban nem veszi igénybe szolgáltatásait". Szóval valamilyen más, eddig homályban marad biztonsági szervezetről lehet szó.
A rendőrség szerint rendszereik ellen az elmúlt években sikeres támadást nem hajtottak végre. Beszédes azonban, hogy az eddigi legnagyobb incidenst firtató kérdésre biztonsági okokból nem kívántak reagálni. Érdekesség, hogy náluk nemcsak a belső rend szerint van jelentési kötelezettség az incidensekről, hanem hivatalos jelentést kell tenniük a szervezetet irányító Belügyminisztérium felé is.
Az informatikai védelem ellátása a MÁV Csoportnál saját feladat. A vasúttársaságnál egy külön osztály foglalkozik ezzel, akik nemcsak konkrétan a MÁV Zrt. informatikai védelemmel kapcsolatos feladatait látják el, hanem a cégcsoport több tucatnyi leányvállalatáért is felelősek.
A cégnél elkülönítettek egy magasabb fokon szabályozott, üzemirányítással kapcsolatos rendszert, és egy irodait. Ez azt jelenti, hogy mondjuk egy titkárnő gépének megfertőzésével nem lehet átvenni az irányítást a váltók felett. Az üzemeltetéshez 0-24 órás figyelőszolgálat is tartozik.
A MÁV-nál évente tartanak informatikai infrastruktúra-védelmi gyakorlatokat. A vasúttársaság kapott egy közelebbről meg nem nevezett kormányzati szervtől jelzést az Anonymous tevékenységére vonatkozóan, a csoport tevékenysége miatt „fokozott figyelemmel végzik a munkát a kollégák".
Természetesen nem csak a fent megszólaltatott intézményeket kerestük meg, azonban többen egyszerűen nem válaszoltak az informatikai biztonsággal kapcsolatos megkereséseinkre. Az Alkotmányvédelmi Hivatal minden kérdésünkre azt válaszolta, hogy a Belügyminisztérium az illetékes, a Nemzeti Bankot és a Államadósság Kezelő Központot pedig többszöri próbálkozásra sem értük utol.
A hekkerek, főleg az új, politikai töltetű mozgalmárok jelentette veszélyt itthon még nagyon kevesen tapasztalták a saját bőrükön, közülük is legtöbben csak az amatőrök által is könnyedén végrehajtható túlterheléses támadásokat tapasztalták, pedig az igazi szakemberek ennél sokkal komolyabb dolgokra képesek.