Védtelenvédelem

A Védelmi Beszerzési Ügynökség Zrt. (VBÜ) nem magáncég, hanem a magyar államé. A tulajdonosi jogokat a Honvédelmi Minisztérium (HM) gyakorolja a védelmi iparért és beszerzésekért felelős helyettes államtitkáron keresztül (jelenleg e posztot Klacsmann Dávid tölti be), a politikai felelős azonban mindenképp maga a miniszter. A cég igazgatóságának elnöke Vidoven Árpád, a HM közigazgatási államtitkára, tehát a megfelelő informatikai védelem alapelvárás lett volna a cég esetében. Ezzel persze tisztában is voltak, hiszen saját biztonsági és informatikai igazgatóságuk van, és rendelkeznek elektronikai információvédelmi szabályzattal is.

A kérdés, hogy a cég a védelmet saját erőből próbálta-e megoldani, vagy beletartoztak az úgynevezett honvédelmi célú elektronikus információs rendszer alanyai közé, azaz a 2013-as információbiztonsági törvény hatálya alá. E szerint a honvédelemért felelős miniszter tulajdonosijog-gyakorlása alá tartozó gazdasági társaságok e körbe tartoznak. Ha ez így van, akkor viszont a cég kibervédelmét a Katonai Nemzetbiztonsági Szolgálatnak (KNBSZ) kellene ellátnia, ugyanis egy 2018-as kormányrendelet szerint a kormány „a honvédelmi célú elektronikus információs rendszereket érintő biztonsági események és fenyegetések kezelésére a Katonai Nemzetbiztonsági Szolgálatot jelöli ki”. Ennek ellenére egy 2023-as honvédelmi miniszteri utasítás csak a honvédségi szervezetekre és a honvédelmi miniszter által alapított szakképző intézetekre terjeszti ki a KNBSZ kibervédelmi hatáskörét. Amennyiben tehát nem a KNBSZ védte a VBÜ-t, akkor annak saját védelemre volt szüksége, s az esett a támadás áldozatául. A HVG információi szerint az állami szerveknek járó kiberbiztonsági védelmet élvező HM szervereihez ilyen módszerrel elméletben nem tudtak volna hozzáférni, tehát a támadás csupán a VBÜ szervereit érintette. Ezzel együtt értesüléseink szerint a fotók publikálását követő hétvégén rendszerkarbantartás volt a HM-nél, és kötelező jelszócserét írtak elő az ott dolgozó kormánytisztviselőknek.

A támadást elkövető közepes méretű zsarolócsoport, az Inc Ransom 2023 óta tevékenykedik ezen a néven. A nem állami és országhoz nem köthető nemzetközi csapat tulajdonképpen egy keretszervezet, aminek az infrastruktúráját több hacker is használja. (Ennek ellenére semmi nem garantálja, hogy a lenyúlt adatokat nem adják el, küldik tovább valamely állami szereplőnek.) A történetet felfedő Frész Ferenc az erről szóló elemzésében úgy fogalmaz, hogy a csoport kettős zsarolási módszert alkalmaz: nemcsak titkosítják az adatokat, hanem az eredeti fájlokat le is másolják, majd az áldozatokat megzsarolják, és a megszerzett információk nyilvánosságra hozatalával fenyegetik meg, amennyiben nem fizetnek időben.

Az Inc Ransom csoport fő célpontjai az egészségügyi, ipari és oktatási szektorból kerülnek ki. A csoport eddig 183 áldozatot nevezett meg, ám ennél biztosan többen estek áldozatul zsarolásuknak, hiszen a hackerek „szégyenfalára” azok kerülnek fel, akik nem fizették ki időben a váltságdíjat. A csoport dark webes felületén a VBÜ mellett több más szervezet is szerepel külön fülön, dokumentumok és a követelt összeg kíséretében. Az Inc Ransom publikus áldozatainak 70 százaléka az Egyesült Államokból kerül ki, a többiek túlnyomórészt Kanadából és Európából. A pénzszerzés szándékával elkövetett támadások célpontjai elsősorban nem kormányzati szervek – a VBÜ esetében felmerülő politikai és nemzetbiztonsági károkozás tehát csupán járulékos elemnek tűnik.