A kiberbiztonság még sosem volt ilyen fontos

A szomszédban hónapok óta dúl a háború, a koronavírus-járvány hatására rohamtempóban digitalizálódó lakosság pedig nincs felkészülve az online térben rá váró veszélyekre. Alighanem ez az egy mondat is elég lenne, hogy érzékeltessük, a kiberbiztonság napjainkban kiemelt figyelmet érdemlő terület. Ennél sokkal többet szentelt ugyanakkor a témának a Balasys, amely egy sajtóreggeli keretein belül hívta össze a területen jártas szakértőket. 

A május 19-i esemény Cseledi Sándor, a Balasys vezérigazgatójának előadásával indult. Cseledi kitért az IT-biztonsági szoftvergyártó cég több, mint 20 éves múltjára, valamint elmondta, valóban sorsdöntő időszak következik. A statisztikák is növekvő problémára utalnak, 2021-ben például 281,5 millió embernek lopták el valamilyen személyes adatát az interneten. A vállalati szektor is látja az ebben rejlő veszélyeket, 69 százalékuk erősítésre készül az IT-biztonság területén.

Égető kihívások, kínálkozó lehetőségek

A vállalatvezető előadásában kitért a jelen legnagyobb kihívásaira, majd röviden be is mutatta azokat. Terítékre kerültek a pénzügyi szolgáltatók, akik fokozott veszélynek vannak kitéve a rengeteg támadás és a sokszor nem megfelelő védekezés miatt. Cseledi szerint a jogosultságkezelési rendszerek fontossága is növekszik, a hatékony védekezéshez elengedhetetlen lesz a jól definiált, támadási pontot nem hagyó fellépés. 

A beszállítók ellen indított támadások is folyamatosan fokozódnak, emiatt felkészült beszállítókra és a teljes ellátási lánc védelmére lesz szükség. A vállalatvezető két további problémaként említette a kiberbűnözők módszereinek folyamatos szofisztikálódását, valamint a megfelelő felhasználói ismeretek hiányát. Az utóbbit edukációval és tréninggel lehetne javítani, ugyanakkor ehhez mielőbbi cselekvésre van szükség. Cseledi szerint aggasztó például , hogy az emberek 37 százaléka nem ismeri fel az adathalász emaileket. 

Nem érhetett véget az előadás, anélkül, hogy kifejtésre kerültek volna a rendelkezésre álló lehetőségek a kiberbűnözők megfékezésére. Cseledi Sándor szerint az egyik legjobb eszközünk a Zero Trust biztonsági modell. Ennek lényege, hogy senkiben nem kell megbízni a sikeres működéséhez, hanem oly módon kell kialakítani a jogosultságokat, hogy lehetőség se adódjon a rendszerek kompromittálására. A gépi tanulás fejlődése szintén a segítségünkre lehet, hiszen általa felismerhetők a gyanús billentyűleütési minták, így megakadályozhatók a veszteségek. Sokat remélhetünk az IT-biztonság szervezetekben betöltött szerepének növekedésétől, hiszen a téma végre megkaphatja a neki járó figyelmet. 

Válasz egy égető problémára

A folytatásban Romics Attila, a Balasys szolgáltatási üzletágvezetője következett, aki a vállalat új, API-támadásokkal szembeni megközelítését részletezte. Romics elmondta, napjainkban a  hálózati forgalmunk 85 százaléka halad át valamilyen API-n, azaz alkalmazás-programozási felületen. Az API-k segítségével gyorsabban, közvetlenül érhetők el a partnerek, ügyfelek, és szolgáltatók, valamint a szolgáltatások fejlesztése is gyorsabbá válik. Az új, biztonságos API-k a szabályozói megfeleléshez és az üzletfejlesztéshez is elengedhetetlenek.

Érthető tehát, hogy népszerűségük markánsan növekedett az elmúlt években, ennek ugyanakkor hátulütői is vannak. A Balasys-nál azt látják, hogy a fejlesztéskor sokszor a funkcionalitáson van a hangsúly a biztonság rovására. Ez azért is aggasztó, mert a tradicionális hálózatvédelmi eszközök alig felét tudják kivédeni az API támadásoknak, erre pedig a kiberbűnözők is rájöttek. Mára az API-alapú kommunikáció targetálása az egyik legelterjedtebb támadási metódus, amire a többség nincs megfelelően felkészülve.

Romics szerint a felkészültséghez folyamatos ellenőrzésre, valamint a legerősebb trendek lereagálására van szükség. Kiemelte az OWASP top tízes listáját, amely az API-kkal szembeni támadási formák legfontosabb trendjeit tartalmazza. A szakember szerint ezek nyomon követése elengedhetetlen a sikeres védekezéshez. További javaslatként említette a Zero Trust elvek szervezeti szintű érvényesítését, valamint a kollégák képzését és a szükséges eszközökkel való ellátását. 

Előadása végén Romics bemutatta a Balasys Proxedo API Lifecycle Platformot, a vállalat saját megoldását a problémára. A bonyolult nevű szolgáltatáscsomag valójában egyszerű elgondolás mentén jött létre: teljes API portfóliót alkotja meg, ami minden a fellépéshez szükség elemet tartalmaz. Ennek megfelelően sok egyéb mellett helyet kapott az API-k kezelése, a csalásmegelőzés és a beszállítói támogatás is. 

Szemléletváltásra van szükség

A sajtóreggeli egy kerekasztal-beszélgetéssel zárult, ahol szó esett az IT-biztonság napjainkban betöltött szerepéről, a “kiberfüggetlenség” fontosságáról, valamint a magyar szoftveripar jelentőségéről és létjogosultságáról. A résztvevők között visszaköszönt néhány név a terület legnagyobb hazai szereplői közül:

  • Dr. Krasznay Csaba, a Nemzeti Közszolgálati Egyetem Kiberbiztonsági Kutatóintézetének igazgatója;
  • Oszkó Péter, az OXO Holdings igazgatóságának elnöke, az OXO Cybersecurity Lab társalapítója;
  • Keleti Arthur, kibertitok jövőkutató, az ITBN alapítója; és
  • Cseledi Sándor, a Balasys vezérigazgatója.

Dr. Krasznay Csaba szerint a kiberbiztonság kiemelt fontossággal bír most, hogy háború zajlik a szomszédban. A mai háborúkban már a kibertér is hatalmas szerepet játszik, erről akkor sem szabad megfeledkezni, ha ezt nem is látjuk a szemünkkel. Krasznay szerint a kibertér ideális közeg a se nem béke, se nem háború helyzet fenntartására, ezért kiemelt figyelmet érdemel majd a háború lezárultával is. A kiberbűnözés a pandémia által felgyorsított digitalizáció miatt is egyre erősebb szempont. A statisztikák azt mutatják, hogy a zsarolóvírusok népszerűsége is emelkedett, ahogy az ellátási láncokat érő kibertámadások gyakorisága is meredeken növekedni kezdett.

Krasznay a Nemzeti Közszolgálati Egyetemen saját szemével látja, hogy az említett tényezők miatt valóban növekszik a téma iránti érdeklődés mértéke. Ennek ellenére sajnálatosnak tartja, hogy a hallgatók többségét nem sikerül a közszolgálatban tartani, a többség inkább a bankszektorban és a tanácsadói szektorban helyezkedik el. Az államhoz kevesebben mennek és nem érdeklődnek annyira a terület iránt, de dolgoznak azon, hogy ez megváltozzon. 

Nem minden innovációra áll készen a piac

Oszkó Péter úgy látja, az aktuális problémák egyik forrása, hogy a pandémia miatt olyan tömegek léptek a digitális térbe kényszerűen, akik erre nem álltak készen. Emiatt is indokolt, hogy a kibertérben zajló bűnözést minden eddiginél nagyobb figyelem kísérje. Befektetői szempontból Oszkó azt tapasztalja, hogy ma még csak az az innováció adható el a piacon, ami a vállalatok által észrevett és priorizált kockázatokra ad választ. Mivel nagyon sok vállalat nincs tisztában azzal, hogy milyen veszélyeket tartogat a kibertér, így jelenleg hétköznapi területeken is jól átadható megoldásokra van szükség. 

Semmiképp nem jó hír, hogy Oszkó egy kezén meg tudja számolni az elmúlt tíz évben nagy sikert elérő kiberbiztonsági startupok számát, de várakozása szerint a következő évtizedben ez a szám tízszeresére növekedhet. Ehhez ugyanakkor társadalmi edukációra van szükség, aminek a jelenleginél szélesebb köröket is el kell érnie. 

Újra kell gondolni a kibervédelem körüli diskurzust

Keleti Arthur egyetértett az előtte szólókkal. A szakember üdvözli a területre kerülő nagyobb fókuszt, ugyanakkor konkrét lépésekre van szükség. A szervezeteknek folyamatos reagálást és védekezést kell megvalósítaniuk, ami a többségnek hatalmas falat lesz. Az adatok azt mutatják, hogy a kisvállalkozások nem érzik ezt a nyomást, pedig minden okuk megvan rá. 

Keleti szerint sokatmondó, hogy az elmúlt években sok olyan kritikus infrastruktúra dőlt össze, amire nem számítottak a szakmában. Ez az egyenlőtlen verseny eredménye, ami egy stratégiai hiba eredményeként alakult ki. A támadók nagyra értékelik az ellopott adatokat, mert tudják, hogy azok milyen értékesek, míg az áldozatul eső vállalatok nincsenek tisztában azzal, hogy mit is veszíthetnek, egészen addig, amíg mindez meg nem történik. 

Továbbá hiányzik a kiszervezésre való hajlandóság, ami hatékonyságcsökkenéshez vezet és veszélyforrást jelent. Keleti szerint súlyos probléma, hogy a vállalatok többsége egy terhes szabályozói kötelezettségként tekint a kiberbiztonságra, amit le kell tudni. Sokan nem értik, hogy nem egy periférián lévő, száraz területről van szó, hanem egy olyan kérdésről, ami a nem megfelelő kezelés esetén veszélyt jelent a core tevékenységre. Keleti elmondta, sürgős szemléletváltás kell, mert fenntarthatlan, hogy az áldozattá válást még mindig titkolni kell, ez is akadályozza a sikeres fellépést.

Cseledi Sándor megerősítette a panel többi tagjának szavait. Meg tudta erősiteni aggodalmukat, és ő is elmondta, fontos, hogy a diskurzus a megoldáskeresés irányába mozduljon el. Cseledi szerint is látványos, hogy sok vállalat kötelező, gyorsan letudandó elemként tekint a kiberbiztonsági területre. Azt azonban meg kell érteniük, hiába működnek a kötelező elemek, azok valójában nem nyújtanak védelmet számos támadással szemben. A vállalatvezető szerint nem kérdés, hogy a szervezeteknek nagyobb hangsúlyt kell fektetniük a biztonság-tudatosságra. A Balasys négy év alatt 25-ről 75 főre növelte csapatának méretét, ami jelzi, hogy a közeg kezd ráébredni a helyzet súlyosságára.

Bátorfi Botond