A Cyber Europe 2010 nevű szimulációval kapcsolatban november 3-án vitázott az Európai Parlament, ahol többek között szóba került az Észtországot célzó, 2007-es online invázió, illetve a transzatlanti kommunikációs kábelek 2008-ban történt megszakadása, amely heteken át érezhető hatással volt az internetes adatforgalomra.

„Mindannyian emlékszünk, mi történt Észtországban, illetve Grúziában és tisztában vagyunk vele, hogy milyen fontos kérdésről van szó” – figyelmeztetett a digitális hadviselés veszélyeire Krzysztof Lisek lengyel EP-képviselő, az Európai Bizottság alelnöke.

„Az informatikai támadásokkal szembeni felkészültséget vizsgáló gyakorlat fontos első lépés afelé, hogy együttműködjünk az alapvető infrastruktúrák elleni potenciális online fenyegetésekkel szemben” – fogalmazott Neelie Kroes, az Európai Bizottság digitális menetrendért felelős alelnöke, aki a szimulációs gyakorlat során meglátogatta az Egyesült Királyság informatikai biztonsági központját. „Ez szavatolhatja, hogy a polgárok és vállalkozások nagyobb biztonságban érezzék magukat az interneten.”

Az EU számára kulcsfontosságú a megfelelő felkészülés

Végel Dániel

Az Európai Bizottságnak az Európai Parlamenthez írt kommünikéjében leszögezi, hogy az élet egyre több területén alkalmazott információs és kommunikációs technológiák (ICT) létfontosságú részét képezik az európai gazdaságnak és társadalomnak. Ezeknek a kritikus információs infrastruktúráknak (CII) a támadása beláthatatlan következményekkel járhat. A Világgazdasági Fórum 2008-as előrejelzésében 10-20 százalék közé tette annak az esélyét, hogy az előttünk álló évtizedben olyan, CII-ket érintő katasztrófa következik be, amely akár 250 milliárd dollárnyi kárt is okozhat, akár globálisan is.

Az Európai Bizottság már 2005-ben felhívta a figyelmet, hogy szükség van megfelelően koordinált védekezésre, amelyben az elektronikus kommunikációs szolgáltatásokat nyújtó cégek is érintettek. Az EB ennek érdekében 2006-ban elfogadta az információs társadalom védelmét célzó stratégiai irányelveket, amelyben megerősítették az Európai Hálózat és Információbiztonsági Ügynökség (ENISA) szerepkörét. 2008-ban az ENISA mandátumát 2012-ig kiterjesztették, felhatalmazva a szervezetet a tagállamok közti koordinációra és cyber-hadgyakorlatok megrendezésére.

A Cyber Europe 2010 volt az első ilyen a sorban, amely a gyakorlatban résztvevő tagállamok reakcióképességét hivatott tesztelni egy átfogó kibertámadás ellen. A szimuláció során a résztvevő országok internetes összeköttetése jelentősen lelassult, vagy megszűnt, ennek eredményeként az állampolgároknak, cégeknek és közintézményeknek is jelentős problémái adódtak az alapvető online szolgáltatások hozzáférésével.

A gyakorlatot dr. Udo Helmbrecht, az ENISA ügyvezető igazgatója sikeresnek minősítette. Az első tapasztalatok szerint szorosabb együttműködésre és a szerepkörök tisztázására van főként szükség a tagállamok között. A kormányzatok mellett pedig a magáncégeknek is fontos szerepe lehet az összehangolt támadások elleni védekezésben.

„A Cyber Europe 2010 gyakorlat sikeresen tesztelte az európai országok reakcióképességét egy összehangolt kibertámadással szemben” – összegezte a gyakorlat első tapasztalatait Helmbrecht. „Sikeresen feltérképeztük a polgárok, kormányzatok és vállalatok által használt kritikus infrastruktúrákat célzó fenyegetéseket. Szorosan együttműködünk majd a tagállamokkal, hogy azonosítsuk és gyakorlatban alkalmazzuk a tapasztalatainkat. Emellett arra bátorítjuk a tagállamokat, hogy nemzeti és páneurópai szinten is folytassák a gyakorlatozást.”

A hadgyakorlat logója

ENISA

Az elsődleges tapasztalatok szerint a Cyber Europe 2010 technikai és kommunikációs szempontból is kiegyensúlyozott, sikeres gyakorlat volt, amelyben 30 európai ország vett részt, 22 aktív résztvevőként, 8 megfigyelőként. A szimulált támadás során több mint 70 közszférában tevékenykedő intézményt ért több mint 320 támadás. A gyakorlat központjául szolgáló athéni vezérlőteremben 50 IT-biztonsági szakember tevékenykedett, miközben további 80 kollégájukkal tartották a kapcsolatot a kontinensen.

Az Informatika a Társadalomért Egyesület értesülései szerint hazánkat az érvényben lévő kormányrendelet alapján a Puskás Tivadar Közalapítvány által működtetett Nemzeti Hálózatbiztonsági Központ  (CERT-Hungary) képviselte, szimulálva az éles helyzet esetén szükséges magyarországi intézmények, hatóságok közötti kommunikációt és eljárásmódot. A gyakorlatot követő első értékelések alapján a magyar szakemberek részvétele és együttműködési képessége - több ország mellett - dicséretet kapott.

A CERT-Hungary szerint a gyakorlat tapasztalatai rámutattak, hogy nemzeti szinten még Magyarországnak (is) bőven van teendője az információbiztonsági incidenskezelés terén. Emellett kulcsfontosságú, a kritikus informatikai infrastruktúrák kormányzati szintű védelmét koordináló szabályok kidolgozása; bizonyos nemzeti információbiztonsági funkciók kialakítása; és ezeken alapulva a felkészülésben, a gyakorlatokon alapuló védelmi képesség fenntartása is.

Az ENISA vezetői azonban arra figyelmeztettek, hogy páneurópai szinten egyelőre nem adott a felkészültség felmérésének lehetősége, mivel több tagállam még nem véglegesítette álláspontját a témával kapcsolatban. Ezzel kapcsolatban az ENISA szorosabb együttműködést és zökkenőmentesebb információáramlást szeretne látni, emellett kulcsfontosságúnak tartja, hogy a magánszektor– főként az informatikával és információs technológiákkal foglalkozó – cégei is részt vegyenek a következő páneurópai hadgyakorlatban.

Emellett a tagállamokban jelentős eltérések mutatkoznak az incidensek kezelését illetően, mivel nincsenek egységes szerep-, és felelősségi körök, illetve az ilyen ügyekkel foglalkozó szervezetek felépítése is jelentősen eltér. Az egyes tagállamok számára sokszor nehezen érthető, hogy más országokban hogyan és milyen módszerekkel kezelik az informatikai támadásokat.

A tagállamok üdvözölték az ENISA gyakorlatát és a jövőben is részt vennének hasonlóban, azonban az egyes országok képviselői szerint több időre és hosszabb tervezési fázisra lenne szükség, hogy a jövőben még hatékonyabb cyber-hadgyakorlatokra kerülhessen sor. A Cyber Europe 2010-et egyébként több mint egy éven keresztül tervezték hét tagország képviselői, az európai Közös Kutatóközpont (JRC), illetve az ENISA megbízottjai.

Az ENISA egyelőre csupán az elsődleges tapasztalatokról számolt be, a teljes jelentés 2011 elejére készül el, a tagországokkal folytatott egyeztetéseket, illetve a gyakorlat során készült jegyzőkönyvek alaposabb elemzését követően.

„Üdvözlendő, hogy létrejött egy olyan szervezet, ami a határokon átívelve igyekszik a biztonsági kérdésekben közvetíteni a tagállamok között” – válaszolta a hvg.hu kérdésére Keleti Arthur, az Informatikai Biztonság Napjának (ITBN) főszervezője. „2009 végén fogadtak el egy európai érvényű direktívát a hírközlési cégeknél fellépő adatvesztések, biztonsági rések bejelentésének kötelezettségét illetően. Ezzel kapcsolatban sikerült elérni, hogy a bejelentésre vonatkozó formátumok tervezésekor az ENISA-t is be kell vonni a közös munkába. Egyelőre azonban még csak idáig jutottunk el, további lépésekre és aktívabb kommunikációra pedig hatalmas szükség lenne Európában.”

A szakember szerint  Magyarországon jól láthatóak a problémák az informatikai biztonsággal kapcsolatban. „Az államigazgatás biztonsági szintje sok esetben hagy kívánnivalót maga után mivel az egyes államigazgatási szervezetek védelme még önmagában sem feltétlenül elégséges és akkor még bele sem gondoltunk, hogy az adott szervezetnek másokkal összehangoltan kellene működnie” – fejtette ki Keleti Arthur. „Amíg az egyes állami intézményeknél nincs egységes infrastruktúra, ráadásul egy ilyen területen tevékenykedő rendszergazda nincs jobban megfizetve, mint a privátszférában dolgozó kollégái, addig gyenge lábakon áll az állami informatikai rendszerek védelme.

Dr. Fellegi Tamás nemzeti fejlesztési miniszter a 2010. november 11-12-én Balatonfüreden tartott Informatika a Társadalomért Konferencián kijelentette, hogy rendezni kell a Nemzeti Hálózat (korábban Nemzeti Digitális Közmű) kérdését úgy, hogy illeszkedjen az Új Széchenyi Tervbe, az államreformmal és a közigazgatási informatika megújításának elképzeléseivel. A tárcavezető hozzátette, hogy konszolidálni kell a kormányzati informatikát - az ehhez szükséges intézményi rendszert és jogszabályokat már megteremtették. A kormány a november 10-i kormányülésen elfogadta és a parlament elé terjeszti a nemzeti adatvagyon védelméről szóló jogszabálycsomagot, amely ágazati szinten fogja biztosítani egyes adatbázisok nemzeti adatvagyonná minősítését és törvényi szabályozás alá helyezését. Fellegi mindezt azzal egészítette ki, hogy a törvény elfogadása mellett megkezdődik a 23 nevesített adatbázis konszolidációja. Leszögezte, hogy a nemzetbiztonsági szempontból érzékeny, az állam működése szempontjából kritikus rendszerek nem lehetnek magáncégek üzemeltetésében. 

Fellegi: elindult a kormányzati informatika rendbetétele

Stiller Ákos

„Ez egy jelentős előrelépés, ahogy azt is biztatónak tartom, hogy nevesítve lettek a védendő adatbázisok. "Azonban egyelőre nem látom, hogy pontosan hogyan garantálhatjuk majd az átfogóbb védelmet” – tette hozzá Keleti Arthur. „Az, hogy nem külső cégek üzemeltetik a szóban forgó rendszereket, még nem jelenti azt, hogy védve lenne az adatszivárgások, hackertámadások, vagy akár vírusok ellen. Megvédeni pedig csak akkor lehet valamit, ha tudjuk, hogy pontosan mit kell megvédeni. Szintén fontosnak tartom, hogy megfelelően megszervezzék a biztonsági szakemberek oktatását és koordinálását. Magyarország – államigazgatási szempontból – nagyon lemaradt ilyen téren, mivel sokszor éppen a biztonsággal kapcsolatos tételeket húzták ki a költségek miatt a különböző fejlesztési projektekből. Erre mondhatjuk: biztonsági öv nélkül is lehet végül is autózni, mert a kocsi megy, csak ha balesetet szenvedünk, semmi sem fog megvédeni minket. Tegyük hozzá, ez a helyzet nem csak Magyarországra igaz. A miniszter bejelentése után lehet bizakodni, valami elindult, így egy-két hónapon belül valamilyen válasz érkezhet ezekre a kérdésekre, akár csak egy irányelv formájában.”

Az EB-alelnöke az állami szerveket érő hackertámadásokkal kapcsolatban megjegyezte: sok esetben kisebb jelentőségű az incidens, mint amilyennek elsőre látszik.

„Amikor feltörték a lengyel elnök weboldalát és a látogatókat egy felnőtteknek szóló oldalra irányították, néhány újságíró úgy fogalmazott: jóval érdekesebb tartalmakat láthattak így, mint az eredeti honlapon” – tette hozzá némi szarkazmussal Krzysztof Lisek.