► Oroszország 2022. február 24-én teljes körű inváziót indított Ukrajna ellen. Milyen előzményei voltak a háborúnak a digitális térben?
A szakértők már 2014-re visszavezetik a konfliktus kezdetét, amikor a nemzetközi jogot megszegve Oroszország annektálta a Krím félszigetet, és a digitális térben is megszaporodtak a kibertámadások. 2015-ben és 2016-ban Ukrajnát két nagyobb, feltételezhetően orosz kötődésű csoportok által indított és végrehajtott kibertámadás érte, amelyek változó mértékű áramszünetet okoztak az országban. Ezek a támadások hosszútávon arra ösztönözték Ukrajnát, hogy megerősítse kibervédelmi képességeit, ez is hatással van napjainkra. A megfigyelések alapján már február 24. előtt az internet hálózati működését monitorozó Netblocks adatai alapján, valamilyen beavatkozást, zavart figyelhettünk meg, melyek kezdetben kisebb hálózati anomáliákat okoztak.
► Milyen kiberképességekkel rendelkezik Oroszország és Ukrajna?
Ezt nehéz pontosan meghatározni, főleg az ismert támadásokból tudunk a képességek milyenségére következtetni. Célszerű lehet elválasztani a kibertámadási és kibervédelmi képességeket is. Ettől függetlenül fontos tényezőként szolgálhatnak a nem konkrétan állami támogatáshoz kötött úgynevezett kiber szabadcsapatok mindkét oldalon, akik felvállalják, hogy Oroszország vagy Ukrajna mellett állnak és egyik vagy másik fél támogatására kezdeményeznek különböző kiberműveleteket, de az adott állam felkérése és erőforrásbeli támogatása nélkül.
A résztvevők másik csoportját a független személyek alkotják, akik egyszemélyben állami támogatás nélkül tevékenykednek és jelen vannak azok is, akik a háborús helyzetet kihasználva a zavarosban halásznak és különböző kiberműveletekkel, elsősorban anyagi haszonszerzésre használják a helyzetet. Érdemes még megemlíteni az úgynevezett „IT Ukraine Army”-t, amely hadsereget egy Telegram-csatornán keresztül önkéntességi alapon szerveznek. Amit látni kell az az, hogy az emberek tekintetében komplex a helyzet, ugyanis változó tényező az, hogy egy adott személy mikor és milyen minőségben végez különböző kiberműveleteket, tehát egy személyt, csoportot több „helyre” is be lehet sorolni.
Kiss Adrienn, a Nemzeti Közszolgálati Egyetem Katonai Műszaki Doktori Iskola doktorandusza
Oroszország hatékonyságát gyengítheti (a háború első évének tekintetében) az egyes támadásoknál érzékelhető, teljességében átgondolt stratégia hiánya, a rendelkezésre álló képességek szétszórtsága – vagyis, hogy nem pusztán egy országra koncentrálódnak a támadási műveletek, továbbá a szintén helyenként érzékelhető módon lebonyolított támadások esetében, az opportunista jelleg.
Fontos tényező lehet akár az is, hogy a háború kirobbanása után Oroszországot részben bojkottálták azok a nyugati vállalatok, amelyek technológiai hátteret biztosíthatnának egy eredményes kibertámadáshoz vagy kibervédelemhez. Ez a tényező nem vizsgálható 100%-ban, azonban a feltételezések fennálása esetén ez is hátráltatja Oroszország kiberképességeinek kibontakozását támadás és védelem esetében is.
Amennyiben egymás mellé tesszük az ismertté vált kibertámadásokat, akkor az látható, hogy a háború kezdetén kezdeményezett támadásokhoz képest – melyek erőteljesebbnek nevezhetőek eredményesség szempontjából - ahogy haladunk az időben, ezek a kibertámadások egyre kisebbek és opportunistább jelleget öltöttek, kapkodók, különösebb stratégiai megfontolások nélkül indítottak, vagyis számos támadást kezdeményeztek mindenféle koncepció vagy elképzelés nélkül. Ezen felül az Ukrajnát támogató csoportok ereje is megoszlik, hiszen a támadóerő több helyre koncentrálódik.
Azonban azt látni kell, hogy ezek csak a számunkra ismert tényezők alapján és a háború kicsit több, mint első évéből leszűrt következtetések alapján lehet mondani. Tehát nem ismerünk minden tényezőt és sajnos egyre kevesebb információ jut el hozzánk, hiába követjük az eseményeket. Nem egyszerű következtetéseket levonni a tényezők teljes ismerete nélkül, viszont feltételeznünk, következtetnünk azért muszáj, mert valahogyan tanulnunk kell a jelenlegi helyzetből.
Az elhangzottakon felül fontos, hogy nemcsak Ukrajnát, hanem az ország támogatóit is célba veszik a támadók az egyes kiberműveletekkel. Például 2022 áprilisában egy amerikai elektromos és gázipari létesítmény ellen indítottak kibertámadást, feltételezhetően szintén orosz kötődésű a csoport. A támadók elvileg bejutottak a rendszerbe, de arról már nincs ismeretünk, hogy milyen műveleteket hajtottak végre. Kibervédelmi képességekre vonatkozóan, Ukrajna 2015 óta igyekezett képességeit fejleszteni. Magáncégek, mint például a Microsoft, az ESET, és más nagy kibervédelmi vállalatok összefogtak a háború kezdetén, hogy Ukrajnát támogassák.
Ennek ellenére Ukrajnában is bekövetkezhetett volna egy nagyobb áramszünetet kiváltó kibertámadás szintén 2022 áprilisában, azonban a védelmi oldal gyors reagálásának és az Ukrajna mellett álló magáncégek technológiai felkészültségének köszönhetően sikerült elkerülni a súlyos, nagy áramszünetekkel járó támadást, mint amilyen Nyugat-Ukrajnában a 2015. december 23-i Black Energy támadás volt, amikor többszázezer háztartás maradt áram nélkül. Az egyértelmű, hogy Ukrajna sokat tanult a korábbi támadásokból, az orosz oldal pedig valamilyen szinten megosztja erejét, és valószínűsíthetően már nincs is akkora technológiai erőforrás mögöttük, mint a támadás megindításakor.
►A független kiberbiztonsági szakértők képesek pontosan nyomon követni az egyes műveleteket?
A szakértőket egyfajta információs köd veszi körül. Kezdetben a harcban megjelenő felek még részletesebben és rendszeresebben publikálták a különféle támadásokat és az eredményeiket, így követni tudtuk az eseményeket. Nagyszámú a hivatalosan regisztrált támadások száma, de az utóbbi időben már főleg csak a nagyobb támadásokat teszik közzé, és egyik fél sem számol be – vagy nem tudhatjuk mennyire hitelesen – a sikeres támadások lezajlásáról. A végrehajtás módját is igyekeznek titkolni, amiből a másik tanulhat, hiszen többek között ilyen formában is folyik az információs hadviselés is. A külső szakértők kizárólag nyílt adatokból tudnak értékelni, amennyiben hozzáférnének minősített adatokhoz, azokról akkor sem tudnának nyilatkozni és csak a nyílt információkat vehetik alapul.
► Az elérhető információk alapján kirajzolódik valamilyen új támadási forma, ami az orosz-ukrán kiberháború számlájára írható?
Ebből a szempontból ez a háború szerintem nem hozott újdonságot, de ez személyes véleményem. Amit esetleg érdemes lehet megemlíteni az a korábbiakban megemlített „IT Ukraine Army”, vagyis az önkéntesekből összeálló kiberhadsereg, ami a kiberműveletek emberi oldalának összetételében jelent újdonságot, ez hatással van a támadási módszerekre is.
Visszatérve a konkrét támadási formákra, persze fejlesztik a már ismert káros programokat, mint például, hogy megjelent a 2016-ban ismertté vált Industroyer második verziója is, amely 2022 áprilisában jelent meg először, de az eddig ismert támadások alapján újat nem, vagy csak kevésbé fedezhetünk fel.
Inkább az alkalmazás módja jelent újdonságot, mint például az, hogy Oroszország részéről az összehangolt fizikai- és kibertámadások egyre nagyobb szerepet játszanak. Egyszerre támadják a célpontokat kiberműveleti eszközökkel, és hagyományos, fizikai fegyverekkel is: miközben bombázzák az adott települést, például leterhelik a kormányzati szervereket. Az összehangolt támadás az, ami stratégiai eredményeket a leginkább hozott az eddigi tapasztalatok alapján, de a bevetett eszközökben én nem látok igazán újdonságot.
► A kiberháborúban részt vesznek civil szereplők, akár az üzleti világban működő vállalatok, vagy nevezhetnénk őket digitális Wagner csoportoknak is?
A nyugat-európai vagy egyesült államokbeli technológiai cégek egy része az orosz piac elhagyásával közvetetten támogatták Ukrajnát vagy vállaltak szolidaritást, míg más cégek konkrét technológiát, emberi erőforrást, vagyis szaktudást adnak Ukrajnának. Ettől függetlenül szerintem nem lehet ezeket a vállalatokat így felcímkézni. Azt is nehéz megmondani, hogy az egyes vállalatok pontosan milyen technológiával illetve milyen erőforrásokkal támogatják Ukrajnát a kiberháborúban, sok az ismeretlen tényező.
► A kiberháború a földrajzi értelembe vett határok nélküli digitális térben zajlik. Meghatározható, hogy milyen kiterjedésű az orosz-ukrán kiberháború?
Én úgy gondolom, hogy gyakorlatilag világszintű konfliktusról van szó a kiberműveletek tekintetében, noha a konkrét kiberműveletek egy jó részét rendkívül nehéz visszakövetni, hogy honnan indult ki pontosan. Szerintem ma már joggal beszélhetünk világszintű, globális méretű kiberműveletekről a háború tekintetében. A már korábban említett önkéntesek részvétele is világméretűvé teszik a műveleteket, nem is beszélve arról, hogy milyen hatással lesz a világra a jelenlegi kiberháború.
► A célpontot továbbra is a kritikus infrastruktúrák jelentik?
Első körben a kritikus infrastruktúrákat fizikai támadással igyekeztek működésképtelenné tenni és csak később váltak nagyobb mértékben a kibertámadások célpontjává is. Ebben a háborúban mindenki és minden célpontnak számít. Egy háború során sajnos nagyon sokat lehet nyerni azzal, ha az átlagembereket támadják, mert annál nincs is rosszabb, ha az állampolgár nem bízhat az állam védelmében. Egy támadó például ezért is szorgalmazhatja a különféle dezinformációs műveleteket, mert tudják, hogy az állampolgárokat is meg kell félemlíteni. Ha a kritikus infrastruktúrák nem is minősülnek számosságban gyakori célpontnak, amikorra a célkeresztbe kerülnek, nagyon súlyos károkat szenvednek.
Amikor háborúról beszélünk próbálunk bizakodóan tekinteni a jövőbe, de a realitás az, hogy a támadónak mindig is könnyebb dolga lesz. A biztonsági szakembereknek részben az a feladatuk, hogy próbálják a védelmi képességeiket fejleszteni, de sajnos nincs párhuzamban a támadói oldalnál és a védekezői oldalnál megjelenő két fejlődési ütem. Ugyan sokszor a támadók mögött járunk, de nem lehetetlen fellépni a támadásokkal szemben. Ezért fontos például az a kiberegyüttműködés, amit most Ukrajna kapcsán látunk.
Ezt az összefogást kellene a napi folyamatainkba is beépíteni. A legfontosabb tanulság talán az, hogy amikor összefogtak Ukrajnáért az egymással amúgy konkuráló vállalatok, akkor a különféle támadásokat gyorsan és jól ki lehet védeni. Ha a biztonsági szakemberek valahogy folyamatosan megosztanák egymással a tudásukat - hiszen mindenki máshoz ért a legjobban ezen a szakterületen - akkor sokkal nagyobb eredményt érhetnénk el, nagyobb védelmet tudnánk kiépíteni a rendszereink körül és akár éveket is behozhatnánk az előbb említett lemaradásból.
► Üzlet a kiberháború?
Természetesen lehet üzletnek nevezni a kiberháborút is. Korábban említettem, hogy a nyugati vállalatok kivonulása Oroszországból valamilyen szinten akár üzleti döntés eredménye is lehetett, hiszen például számos magáncéget azért bélyegeztek meg, mert nem hagyta el az országot. Az is pontosan követhető a tőzsdei cégek esetében, hogy a részvények árfolyama hogyan és merre mozgott, a döntéseik függvényében, tehát ilyen értelemben persze lehet nevezni üzletnek. A kibertámadások tekintetében összességében nehezebb felmérni, hogy egy háború során milyen üzleti érdekek kapcsolódhatnak egy-egy digitális térben lezajlódó eseményhez.
► Felmérhető, hogy az orosz-ukrán kiberháborúnak milyen adatbiztonsági vonatkozásai lehetnek a civil és üzleti felhasználókra?
Még nehéz megítélni, hogy milyen konkrét hatást gyakorol az említett területre, de nem véletlen, hogy a kiberbiztonsággal, adatvédelemmel kapcsolatos kérdések sok helyen erősen előtérbe kerültek. Ha a kérdés emberi oldalát nézem, akkor az látható, hogy felértékelődik a biztonságtudatosság szerepe. Sok vállalatvezető a cégét még most sem tekinti célpontnak, mert úgy gondolja, hogy ők annyira kicsinek minősülő piaci szereplők, hogy nincs mit tőlük elvenni, pedig mindenkinek van valami féltenivalója, ezért bizony célpont lehet.
Az iparban, a felhasználók előnyben fogják részesíteni azokat az eszközöket, amelyek valamilyen biztonsági tanúsítvánnyal rendelkeznek, és képesek legalább az alap szintű támadások kivédésére, illetve a nagyobb támadásokat legalább megnehezítik vagy ezeket is akadályozzák. Egyre inkább elvárás lesz például a gyártók felé, hogy az eszközeiket adott biztonsági szempontok szerint akkreditálják. Emellett a vállalati sérülékenységek vizsgálatára Magyarországon is nagy igény lehet a jövőben.
Már most is elvárás jó pár szervezetnél a „zero trust” stratégia – például a vállalati erőforrások tekintetében még a belsős munkavállalók sem automatikusan férnek hozzá az erőforrásokhoz, hanem egy bizonyos fokú autentikációt követően – de érdemes megemlíteni a biztonság érzelmi oldalát is. Azt látom, hogy a mindennapi életben is egyre kisebb az egymás közötti bizalom. Mondhatjuk erre, hogy ez másodlagos, mint tényező, de szerintem a bizalom kérdésének nagy hatása lesz a jövőben az emberekre és a mindennapi munkavégzésre.
Létezik béke a digitális térben?
Azért nehéz ebben a kérdésben optimistán nyilatkozni, mert többnyire anonim módon zajlanak a kiberműveletek, így nehéz visszakövetni a digitális térben őket és egy támadó szempontjából nagy motivációnak minősülhet az, hogy nem tudják leleplezni. Eleve már a háború kirobbanása előtt egyfajta digitális hidegháború volt. Még ha látszólag csökkenni fog a kibertámadások száma, mert például néhány ország megegyezik abban, hogy nem fogja egymást nyíltan támadni kibertéri műveletekkel, ez vajmi keveset fog számítani a digitális térben azoknak a kiber szabadcsapatoknak, akik nem feltétlenül hagyják, hogy egy harmadik fél befolyásolja a működésüket. Összességében úgy vélem, hogy nem létezik.
| A képek illusztrációk | Forrás: Adobe Stock