Amíg nem hal meg kellő mennyiségű ember kiberincidens kapcsán, addig nem lesz igazi változás
– mondta Frész Ferenc, az állami kibervédelem egyik korábbi irányítója, a Cyber Services alapító-vezetője egy csütörtök esti beszélgetésen. A Lesznek-e határok a kibertérben? című eseményt a Hetvenkét Tanítvány Mozgalom és a Háló Egyesület szervezte, és a meghívottak között volt kiberbiztonsági szakértő, közösségimédia-marketinges és szociológus-startuptanácsadó is. Ennek megfelelően a Feledy Botond politológus, a Társadalmi Reflexió Intézet vezetője által moderált beszélgetés is elég szerteágazó volt, de azért körvonalazódott három fő csapásirány: az adataink, a gyerekeink és a magyar kibertér védelme.
Fücsök Ákos, a közösségimédia-marketinggel foglalkozó BeSocial tartalomigazgatója egy általuk készített (nem reprezentatív) felmérést ismertetett, amelyben a virtuális világról kérdeztek fiatalokat, és az eredmény a szokásaik mellett az őket fenyegető veszélyekbe is bepillantást nyújt. Több mint 10 ezren válaszoltak, és 23 százalékuk 14 év alatti, 65 százalékuk pedig 14-18 éves, azaz túlnyomó többségében gyerekek vettek részt. Néhány érdekesebb szám:
Frész Ferenc szerint komoly változás, hogy a Facebook előtti generációnak még fontos volt a privacy, azaz a magánszféra védelme, ma viszont
a fiatalok többsége úgy használja ezeket a platformokat, hogy fogalmuk sincs, mi az a magánszféra, és nem is különösebben érdekli őket.
Ezért nehéz megértetni velük, hogy "ami ingyen van, ott valójában te vagy az áru, a saját adataiddal fizetsz". (A fiatalok privacy iránti fogékonyságáról egyébként vannak ennek ellentmondó felmérések.)
A hekkerek is ebből élnek: abból építenek fel profilokat, amit mások megosztanak magukról. Frész szerint ez nemcsak magánemberekre igaz, intézmények, sőt országok is rengeteg adatot osztanak meg magukról, amivel kompromittálhatóvá teszik saját magukat, mert ezekkel az adatokkal könnyen vissza lehet élni. A fiatalokat jellemző online sérülékenység is abból fakad szerinte, hogy egyre nagyobb a digitális lábnyomuk, az "adattestük folyamatosan dagad", vagyis egyre csak növekszik az az adathalmaz, amely a még meg nem született magzatról már épülni kezd, és még az ember halálával se szűnik meg.
Ezeknek az adatoknak a megvédése pedig nagyon nehéz. Sokan hiszik azt Frész szerint, hogy pont az ő adatai úgyse érdekelnek senkit, és csak akkor szembesülnek a helyzet komolyságával, amikor valaki visszaél a bankkártyájuk adataival vagy megzsarolja őket.
Az adatokat nem ellopni szokták, hanem lemásolni, hogyha ellopnák, mindenkinek fájna.
Ezért nehéz szerinte felfogni a veszély valódi súlyát. Az információra úgy tekintünk, mint a levegőre, mert sok van belőle és könnyen hozzáférhető, ezért értéktelennek tekintjük, és ezért nem vigyázunk rá eléggé.
Kodaj Katalin, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) volt elnökhelyettese, jelenleg szintén a Cyber Services munkatársa szerint nem is maguk az adataink az érdekesek, hanem az azokból felépíthető profilok, ezekkel lehet igazán visszaélni és manipulálni az embereket. Ez ellen pedig leginkább csak oktatással, figyelemfelhívással lehet védekezni.
A gyerekek esetében akkor van az oktatásnak a legnagyobb hatása szerinte, ha a szülőket is be lehet vonni. Viszont gyakori, hogy a szülők nincsenek is fent azokon az oldalakon, ahol a gyerekük, ilyenkor meg kell kérni őket, hogy regisztráljanak és legyenek a gyerekeik ismerősei. Fücsök Ákos szerint sokszor hallani szülőktől, hogy nekik nincs kedvük megtanulni egy-egy platform használatát, és ez az, amin talán a legkönnyebb lenne változtatni, és kellene is, hiszen a gyereknek akkor van kihez fordulni, kitől segítséget kérni, ha a szülő érti, hogy miről beszél, mivel van problémája.
Hasonló a helyzet az okoseszközökkel: Kodaj szerint az a tendencia, hogy alsóban még nem kapnak kütyüket a gyerekek, de felsőben, ahogy elkezdenek egyedül hazajárni az iskolából, már ott van a kezükben, viszont senki nem tanítja meg nekik a használatát, egymástól tanulnak, és a rossz gyakorlatokat is egymástól lesik el.
Frész Ferenc szerint az állam vállalhatna nagyobb szerepet a digitális felvilágosításban, és lenne is honnan példát venni, mert a skandináv országokban ez elég jól működik: államilag mentorált, cégek által szponzorált kampányok futnak reklámidőben, az információbiztonságnak még saját arca, sőt rajongótábora is van, egy színész, aki járja az országot. Ez azért is jó irány szerinte, mert ha a kiber- és a fizikai világot összekötjük, van a kibertérnek kivetülése a fizikai térben, azt az emberek jobban szokták érteni.
A szülő kezében nem sok eszköz van ezen kívül. Elérhetők szülői felügyeleti appok, amelyekkel valamennyire szűrhető, hogy mihez fér hozzá a gyerek, de Kodaj Katalin szerint fölösleges ilyen programot használni, amíg a szülő nem magyarázza el a gyerekének, hogy mitől akarja megvédeni.
Bár Frész Ferenc szerint lehet értelmük az ilyen appoknak a negatív hatások csillapításában, pusztán a technológia szerinte se elég. A nagy techcégek amúgy is abból élnek, hogy kizárják a szülőt, mert az az érdekük, hogy minél több felhasználójuk legyen minél korábban. A szülő egy dolgot tehet szerinte: példát mutathat. Ez jelentheti azt is, hogy akkor tudja hitelesen képviselni, hogy a gyerek ne csak a kütyüit nyomogassa egész nap, ha tőle se ezt látja viszont. De az is jó példa, ha a szülő megkérdezi a gyerekét, ha fel akar tölteni egy olyan képet Facebookra, amelyek ő is rajta van, hogy hozzájárul-e. Így lehet legjobban átadni, hogy végig kell gondolni, mit osztunk meg magunkról, és hogy a személyes adatainkra oda kell figyelnünk.
Ez csak oktatással megy. Ha elkezdünk tiltani, akkor felneveljük a saját hekkereinket.
Borbély Viktor, a Start it@K&H inkubátor tanácsadója arról beszélt, hogy a mai gyerekek szocializációjában kulcsszerepe van a kibertérnek, mert az nekik már ugyanolyan valóságos közeg, mint az óvoda vagy az iskola, ezért azok a hatások, amelyek ott érik őket, komoly hatással lehetnek a személyiségfejlődésükre. Borbély szerint manapság egyre több a szociopata és a nárcisztikus ember, amihez a kibertérben tapasztalható zaklatások és nyilvános megszégyenítések is hozzájárulhatnak, és félő, hogy ha tartósan ilyen közegben vannak a fiatalok, ez a hatás felerősödhet, és elindul egy öngerjesztő folyamat.
Felmerült, hogy a másik oldalról, azaz a közösségi platformok szigorúbb szabályozása felől is meg lehetne fogni a kérdést. Elvileg megoldás lehetne valamiféle önszabályozás is, de Fücsök Ákos szerint legutóbb a Birdbox Challenge is megmutatta, hogy ez nem működik: a Youtube igyekezett fellépni a filmet másolva bekötött szemmel veszélyes dolgokat művelők videói ellen, de hiába a 18-as karika vagy a letiltás, ezek nem valdi megoldások, csak látszatlépések. Szerint az a fő probléma, hogy a digitális kultúránk lassabban fejlődik,mint a digitális technológia, egyre nagyobb a szakadék a kettő között. Ha a szülők, tanárok nem követik az új platformokat, lemaradnak, a platformoknak pedig nem érdekük lépni.
A digitális kultúránknak kellene fejlődnie, hogy legyen fogalmunk, miről beszél a másik.
Kodaj Katalin szerint az új uniós adatvédelmi szabályozás, a GDPR megjelenésének tényleg lehetnek pozitív hatásai az adatvédelemben. A rendelet felsorolja, milyen jogai vannak az egyénnek a saját adatai kapcsán, a szolgáltatók pedig óriási bírságokra számíthatnak, ha nem felelnek meg ennek. Ha ez működni fog, az Kodaj szerint valamennyire megrendszabályozhatja ezeket a platformokat. Az első igazán nagy, 50 millió eurós büntetést egyébként épp a héten szabták ki a a Google-re.
A beszélgetésen sok szó esett arról is, hogy fontos Magyarország kiberterének a védelme.
Kodaj Katalin szerint mivel az EU elvárja minden tagországtól, hogy legyen kiberbiztonsági stratégiája, ez Magyarországon is megszületett, de körülbelül tíz mondat (legalábbis az érdemi része), és leginkább alibinek tekinthető.
Az a védelem, ami 2011 és 2013 között fel lett építve a magyar állami szektorban, 2015-ben szét is lett verve, tehát onnantól kezdve az állami szektor védelme nem igazán biztosított
– mondta.
Kodaj szerint az államon kívüli területekre, mint a lakosság, a gyerekek vagy az ipari szektor, nem készült semmilyen szabályozás. Senki nem tudja például, kihez lehetne fordulni, ha zaklatás érné a neten vagy feltörnék valamilyen eszközét.
Az Informatikai Vállalkozások Szövetsége (IVSZ) működtet egy kiberbiztonsági munkacsoportot, amely más szakértőkkel (többek között Kodaj Katalinnal és Frész Ferenccel) közösen tavaly elkészített egy új stratégiai háttéranyagot, ez több olyan területet is belevett a lehetséges új magyar stratégiába, amelyek külföldön már az EU majdnem minden tagországában jól működik Kodaj szerint. Ilyen például azoknak a központoknak a felállítása, ahol bármilyen lakossági bejelentésre ki tudnak vizsgálni kiberbiztonsági eseményeket, illetve védelmet vagy védelmi információ tudnak nyújtani egyes szektoroknak vagy társadalmi csoportoknak.
"Nagyjából ötven olyan intézkedést sorol fel a háttéranyag, ami kifejezetten Magyarország kiberterének a védelmét irányozza elő, együttműködve a kormányzati kibervédelemmel." Mint mondta, reményre ad okot, hogy még december végén megjelent a Magyar Közlönyben egy kormányhatározat a "Magyarország hálózati és információs rendszerek biztonságára vonatkozó Stratégiájáról". (És egyébként ez alapján január elején a kormány honlapján felbukkant maga a stratégia [pdf] is.)
Minden állam szereti azt mondani, h van saját kibertere, de valójában nincs – mondta Frész Ferenc. Valójában nem igazán vannak éles határok. Geolokációk meg infrastruktúrák vannak, de például magyar tulajdonú netszolgáltató nem létezik, a fő infrastruktúránk nemzetközi, a szoftvergyártók, amelyeknek a szoftvereit használjuk, nagy része szintén nemzetközi, ráadásul többségük egy nemzetállamhoz az Egyesült Államokhoz köthető. Magyarországnak gyakorlatilag nincs saját szoftver- és hardvergyártása – mondta. Mások megoldásait vagyunk kénytelenek használni, így az azokban felgyülemlő személyes adatok nagy részét is külföldi cégek dolgozzák fel.
Magyarország kompország, ahol a kiberkonfliktusok nem Magyarország ellen, hanem Magyarország területén zajlanak, ezeken az infrastruktúrákon, más nemzetállamok között. Ezért is nehéz kérdés, hogy lehet ez ellen védekezni, pedig Magyarország autonómiáját a kibertérben is biztosítani kellene.
"Az információbiztonságban mindenki hazudik" – mondta Frész, arra utalva, hogy mindenki azt állítja, minden lehetséges lépést megtett, hogy elkerüljön egy esetleges biztonsági incidenst vagy adatvesztést, de a valóságban ez gyakran nem igaz, mert még mindig sokan nem veszik komolyan a kiberhadviselés veszélyeit.
Frész a repülésbiztonsághoz és az atomenergia-biztonsághoz hasonlította a helyzetet. Ezeken a területeken is akkor kezdett el fejlődni a szabályozás, amikor az utasszállítók elkezdtek lehuzanni, illetve az erőművekben balesetek történtek.
El kell érni a kritikus tömeget. Amíg milliók adatai kerülhetnek ki úgy, hogy az nem éri el a döntéshozók ingerküszöbét, és ez na mint nap megtörténik, addig nem lesz semmi változás. Kiberfizikai következményeknek kell történniük, hogy az állam beleálljon komolyabb szabályozásba
– mondta.
(Borítókép: A legokocka grafikus megjelenítését programozza két diák a közösségi házban működő Játékvarázs Tanodában, Kállósemjénben 2016. december 12-én. Fotó: Balázs Attila / MTI)