Biztonsági szempontból teljesen lyukas rendszerekből néhány év alatt a központosított magyar kibervédelem olyan erős rendszert, tudásbázist épített, hogy meghatározó szerepünk volt a NATO és a visegrádi négyek kibervédelmi képességei és azok fejlesztése kapcsán is. A politika viszont a sikertörténetből bukást csinált: képességeink pár hónap alatt eltűntek. A korábban a kibervédelmi központot vezető szakember szerint orosz nyomás lehet a háttérben. Gyakorlatilag elvesztettük a kiberháborút, pedig igazán még el sem kezdődött.
Megdöbbentő előadást tartott a nemzetközi és magyar kibervédelmi szakembereknek szánt ITBN-konferencián Frész Ferenc, aki korábban részt vett a magyar kormány egységes kibervédelmi stratégiájának felépítésében, majd a kormányzati kibervédelmi központot vezette
Frész szerint Magyarország az elmúlt években világszinten elismert kibervédelmet épített ki, ezt azonban egyik pillanatról a másikra 2015 áprilisában lerombolták, belső okok mellett vélhetően orosz gazdasági nyomásra (ez utóbbi szálat nem fejtette ki bővebben).
A fenti kérdésre nem adható egyszerű válasz, felfogások versenyeznek egymással, a szakértők meg vitatkoznak. Néha teljesen más nyelvet beszélnek azoknak a területeknek a képviselői, akiket megpróbálnak egy kalap alá venni kibervédelem címszóval (például belső ellenőrök, informatikusok, információbiztonsági szakértők).
A kibervédelmet leegyszerűsítve így lehetne összefoglalni:
Látszik, hogy nem egy kézben megfogható feladatokról van szó. Ráadásul egyszerre kell felkészülni a hekktivisták (politikai, ideológiai okokból hekkelők, például Anonymous), kiberbűnözők (céljuk a pénzszerzés, pl. banki adatokat lopnak), terroristák és ellenséges kormányok támadásaira. Hogy ezek ellen pontosan kinek és mit kellene tennie? Ezek azok a kérdések, amik még az egész világon nincsenek eldöntve. Hivatalok, techcégek, szakértők dobálgatják egymásnak a labdát.
Idén áprilisig az Magyarország volt a NATO kibervédelmi munkacsoportjának elnöke, aktív tagja voltunk az EU információbiztonsági bizottságainak, és volt egy jól működő állami kibervédelmi központunk is a Nemzeti Biztonsági Felügyelet irányításával.
Különböző mérőszámok alapján, amelyek egy ország kiberbiztonsági felkészültségét mérik, Magyarország az elmúlt időszakban a világranglistán a hatodik [PDF] helyre jött fel, Európában pedig harmadikak voltunk. Ehhez kellett egyrészről a jogi szabályozás (az információbiztonsági törvény megalkotása), és a megfelelő szaktudás kialakítása az államon belül. Így már kiváló volt a technikai, szervezeti felkészültségünk, képességfejlesztési lehetőségeink és együttműködési készségünk.
Utóbbi elég sablonosnak hangzik a kibertámadások korában, amikor az országhatárok elmosódnak, de mivel minden fenyegetettség gyakorlatilag világszintű, az a legfontosabb dolog, hogy milyen gyorsan jutunk hozzá valamilyen információhoz, például új sebezhetőségekről. Márpedig ilyen információkat nem adnak ingyen: csak akkor kaphatunk ilyet, ha mi is használható infókat tudtunk adni a partnereinknek. Ez a lehetőség most gyakorlatilag megszűnt, a kormány bezárkózik, izolált nemzeti kibervédelmet próbál építeni. Kérdéses, hogy mekkora sikerrel csinálhatja ezt releváns információmegosztás és partnerek nélkül.
A magyar kibervédelmi piac nem túl nagy, mindössze 90 millió dolláros, ráadásul a határvédelemtől az egész elmozdult a belső védelem felé (ami például a saját felhasználók megfigyelését is jelentheti). Mindemellett a magyar vállalatok nyolcvan százalékának nincs megfelelő információbiztonsági megoldása. Ebből egyértelműen látszik, hogy együttműködésen alapuló kibervédelemre igenis lehetne piaci igény és kormányzati igény is. Ez lehet az oka annak is, hogy 2010-ben a kormány eldöntötte, hogy megszervezi saját kibervédelmét, ezért létrehozták a korábban már említett kibervédelmi központot.
A létjogosultságát jól mutatja, hogy 2012-ben Magyarország a támadó (nem elírás) országok listáján a 10. volt, azaz hazánkból rengeteg hekkertámadás indult külföldi célpontok ellen. Sejthető, és a vizsgálatok is igazolták, hogy nem arról van szó: a magyar hekkerek uralják a világot, hanem az itthoni infrastruktúra elavultsága miatt más hekkerek ugródeszkának használták a magyar számítógépeket a támadásaikhoz – lényegében tranzitország voltunk.
Az egységes kibervédelemmel viszont sikerült az itthonról induló támadásokat visszaszorítani: most csak 37. helyen vagyunk ugyanezen a listán (az Akamai 2014-es jelentésében [PDF] nem is vagyunk a top országok között), mert rengeteg olyan biztonsági rést befoltoztak kormányzati szakemberek, amit korábban kihasználtak a hekkerek. Ráadásul 2013-tól Magyarország lett a NATO kibervédelmi munkacsoportjának vezetője is, ugyanígy a V4-ben, az EU bizottságaiban pedig azon dolgoztunk, hogy az országok harmonizálni tudják a kibervédelmi eljárásaikat, és megosszanak valódi, védelmi célokat szolgáló információt is.
Közben itthon létrejött az információbiztonsági törvény, hogy az állami rendszerek a magyar állam elvárásainak meg tudjanak felelni, és hogy a kormány jó minőségű biztonsági szolgáltatásokat tudjon nyújtani, amellett, ami elérhető a piacon. Létrejött a kiberkoordinációs tanács a kibervédelmi stratégia kialakítására, létrejött egy kibervédelmi ügyekben eljáró hatóság is, a kibervédelmi oktatás pedig ezeknek megfelelő keretrendszert kapott az információbiztonsági vezetők egyetemi képzésében.
Az egészet viszont 2015 áprilisában felszámolták: módosították az információbiztonsági törvényt, a kibervédelem pedig a titkosszolgálatokhoz került – akik feloldhatatlan dilemmával szembesülnek: egyszerre kellene védeni az országot, de nekik támadó szerepük is van (ebben persze semmi meglepő, az összes ország ezt csinálja, nemcsak mi vásároltunk a Hacking Teamtől vagy éppen a Gamma Grouptól), a biztonsági rések foltozása pedig későbbi támadásaikat nehezítheti.
A kibervédelmi központ volt vezetője szerint ma ott tartunk, hogy nemcsak visszacsúsztunk az élbolyból, hanem gyakorlatilag eltűntünk a listáról (a friss felmérés még nem készült el, minden év áprilisában jelenik meg új): egyelőre megfelelő intézmények és szakemberek hiányában megszűntek, nem mérhetőek kibervédelmi képességeink. Frész szerint viszont nemcsak magyarországi jelenségről van szó, a titkosszolgálatok és államok dilemmája az egész világon megfigyelhető. Amint valahol elkezdenek egységes kibervédelmet kiépíteni, sokszor kiderül, hogy igazán senkinek nem érdeke ez.
A szakember szerint egyrészt erről a személyes motivációk tehetnek: az emberek karrierjüket építik fel, a tudásukat viszont már nem fejlesztik hozzá, így kontraszelektált a folyamat. A másik nyomós ok a szétesésben a gazdasági érdek: ki veszi meg a részmegoldásokat nyújtó piaci szolgáltatásokat, ha az államnak van saját, összetett és működő szolgáltatása?
Az eredmény, hogy a belső lobbi hatására megszűnik a kibervédelmi képességünk, a titkosszolgálatok eljutnak odáig, hogy nem saját maguk fejlesztenek, hanem vásárolnak kiberfegyvereket, külföldi magáncégektől. Hogy ez mennyire veszélyes, azt láttuk a Hacking Team példáján: a céget feltörték, ami egyrészt lebuktatott egy magyar titkosszolgálati fedőcéget, pénzmozgásokat, másrészt egyértelműen kiderült, hogy az olaszok programja hazabeszélt, de legalábbis megvolt a lehetősége, hogy belenyúljon a magyar szolgálatok tevékenységébe.
Itthon most mindent behúztak a szolgálatok alá, elkülönült képességközpontok jönnek létre, és bár elvileg van lehetőség arra, hogy a szolgálatok kihalásszák a piacról a szaktudást, megszűntek a kibervédelmi képességeink. Márpedig pár éven belül hétmilliárd internethasználó lesz, és még sokkal több internetre kötött eszköz – aki ezeket koordinálja, valós hatalmat birtokol.
Egy a konferencián elhangzott előadás szerint a magyar kibervédelem sokat romlott, és a nemzetközi listákon valószínűleg rosszabb helyre kerülünk az átszervezések, illetve jogszabályi változtatások miatt. Ennek kapcsán kerestük meg kérdéseinkkel a Belügyminisztériumot.
"Magyarország Kormánya 2013. március 21-én kormányhatározatot fogadott el Magyarország Nemzeti Kiberbiztonsági Stratégiájáról. A stratégia megfogalmazott célja, a kibertér biztonsági környezetének elemzése alapján azon nemzeti célok, stratégiai irányok, feladatok és átfogó kormányzati eszközök meghatározása, amelyek alapján hazánk érvényesíteni tudja nemzeti érdekeit a globális kibertér részét képező magyar kibertérben is" – kezdte levelét a Belügyminisztérium, és arról is írtak, hogy a magyar kibervédelmi szervezetrendszer létrejötte óta az alapvetően pozitív hatások mellett a struktúra bonyolultságára, illetve hiányosságaira is fény derült. Ennek orvoslására módosították idén júliusban az állami és önkormányzati szervezetek elektronikus információbiztonságáról szóló 2013. évi L. törvényt, amelynek értelmében október elsején létrejön a Nemzeti Kibervédelmi Intézet. Hasonló szervezet működik például Németországban, Hollandiában és Csehországban is.
"A hazai állami elektronikus információs rendszerek biztonsága az elmúlt években határozott fejlődésnek indult, azonban a kívánatos (teljes körű) biztonsági szint eléréséhez még sok a tennivaló. A kielégítő kiberbiztonság ugyanis nem teremthető meg pusztán a szervezetrendszer kialakítása és az általa működtetett biztonsági rendszerek fejlesztésével és üzemeltetésével" – írják.