A magánszféra vállalatainak nagy része nincs tudatában a kritikus információkra irányuló zsarolóvírusos kibertámadások következményeinek – figyelmeztetnek elemzésükben a Cyber Dacians szakemberei.

„A Solar Windsszel kapcsolatos incidens vagy a JBS és Colonial Pipelines amerikai vállalatok elleni zsarolóvírusos támadások közismertek, ám a cégek nagy része nincs tudatában az ilyen támadások stratégiai következményeinek. Az állami és a magánszféra kritikus infrastruktúrájának kitettsége nagyjából azonos a kibertérben, éppen ezért a két szektornak együtt kellene működnie ahhoz, hogy hatékonyan fel tudjanak lépni a fenyegetések ellen. (...) A kritikus infrastruktúrához egészségügyi, élelmiszeripari, mezőgazdasági, vízgazdálkodási, szállítási, kommunikációs rendszerelemek tartoznak, emellett különböző kormányzati és közszolgáltatások, a duzzasztógátak, a létfontosságú ipari létesítmények és akár pénzügyi rendszerek is. A kritikus infrastruktúra a legvédtelenebb ágazat a kiberfenyegetésekkel szemben, mert a legkézenfekvőbb céltáblája az ilyen típusú támadásoknak. Ezek célja a káoszteremtés és a lehető legnagyobb károk okozása (ha nem is emberéletek kioltása, mint a konvencionális katonai műveletek esetében)” – olvasható az elemzésben.

Kiberbiztonsági szakemberek szerint a fenyegetések hátterében bűnözők, terroristák vagy bizonyos államok is állhatnak. Egyes esetekben ezek kombinációi, ami tovább bonyolítja a helyzetet.

„A kritikus infrastruktúrával kapcsolatos kiberbiztonsági incidensek száma nő, tekintettel arra, hogy sem a magán-, sem a kormányzatok által működtetett állami rendszereknek nincs kellő védettségük a támadásokkal szemben. Manapság egymásra épülve és szorosan összekapcsolódva működnek valamennyi szektor rendszerei, így egy korábban könnyen elszigetelhető és kezelhető incidens most már egy egész ágazatot veszélyeztető fenyegetéssé válik, és akár az ellátási láncok megszakításához is vezethet. A kritikusinfrastruktúra-rendszerek megzavarása vagy kiiktatása gyengítheti egy állam védelmi és működőképességét. Emellett megingathatja a lakosság bizalmát ezekben a kormányzati szolgáltatásokban, és csökkentheti az ország gazdasági és katonai erejét. Ez az oka annak, hogy a kiberreziliencia – az állam kibertámadásokkal szembeni ellenálló- és kárminimalizáló képessége – növelése legalább annyira fontos feladat, mint amekkora kihívást jelent” – állapítja meg az elemzés.

A Cyber Dacians szakértői emlékeztetnek arra, hogy Joe Biden amerikai elnök olyan rendeletet bocsátott ki az ország kiberbiztonságának javításáért, amelyik egyenlő arányban osztja meg a felelősséget a kormány és a kritikus szolgáltatások működtetői között, az Európai Unió pedig évekkel ezelőtt kidolgozta a hálózati és információs rendszerek kiberbiztonságára vonatkozó irányelvet (NIS), amely a kritikus infrastruktúrákra kiterjedő hálózati és információs rendszerek biztonságára összpontosít.

A három fő részből álló NIS többek között a tagállamok kiberbiztonsági képességére, a határon átívelő együttműködésre és a kritikus szektorok tagállami szintű felügyeletére tér ki.

„Elfogadásakor ehhez az irányelvhez csatoltak egy úgynevezett NIS-eszközkészletet is, amely ajánlásokat tartalmazott a tagállamok számára a jó gyakorlatok alkalmazására a kiberbiztonság terén. Mindenesetre ezeknek az iránymutatásoknak jogi szempontból kötelező ereje van, szemben azokkal a nem kötelező ajánlásokkal, amelyeket megfogalmazni készül a kibervédelemért felelős amerikai ügynökség (CISA). Az Európai Bizottság egy nemrégiben elvégzett elemzés nyomán úgy döntött, hogy az együttműködés és a direktíva hatásának növelése érdekében az irányelvnek egy tökéletesített változatára (NIS2) van szükség. Az EU és az Egyesült Államok kiberbiztonsági kezdeményezéseinek összehasonlításakor egyértelműen kitűnik: az EU hajlamosabb kötelező érvényű jogszabályok alkotására azért, hogy a piaci szereplőket és a kormányokat az alapszintű kiberbiztonsági előírások tiszteletben tartására késztesse, míg az Egyesült Államok önként vállalt célokra és iránymutatásokra alapoz, nagyobb mozgásteret hagyva a különböző szereplőknek. Az általános adatvédelmi rendelet (GDPR) egy másik példa az EU normatív megközelítésére a jogalkotás terén” – vélik az szakértők.

Ugyanakkor Kína és az Egyesült Államok a stratégiai előnyök megszerzéséért verseng, a kiberbiztonság pedig lényeges része a geopolitikai versenynek.

„Ennek bizonyítéka a világon több mint háromezer szervezetet érintő, Kínának tulajdonított támadás a Microsoft Exchange ellen. Mi több, Kína szeptember elsején bejelentette, hogy olyan törvényt készül elfogadni, ami lehetővé teszi a kormány előzetes értesítését az úgynevezett nulladik napi támadásokon használt sebezhetőségekről, lehetőséget adva a gyors ellenlépésekre vagy akár az információk offenzív jellegű felhasználására. Ezzel a lépéssel Peking hozzáférhet a Kína területén működő vállalatok érzékeny információihoz, beleértve azokat a külföldi cégeket is, amelyek a kritikus infrastruktúra szektoraiban tevékenykedhetnének. A NATO alapjául szolgáló közös értékeket közös cselekvési irányelvekké kellene alakítani a kiberágazatban, beleértve a kiberbiztonság területére vonatkozó nemzeti és nemzetközi jogszabályok közös alapjának kialakítását, a magánkézben lévő és az állami kritikus infrastruktúra közötti hatékony együttműködés keretének megteremtésére fektetve a hangsúlyt” – mutatnak rá a Cyber Dacians szakértői.

A kritikus infrastruktúrákat érintő másik probléma a közbiztonság és a közegészség területén jelentkezik, különösen a koronavírus-járvány idején.

„Nem csak az történt, hogy egyes államok megpróbálták ellopni a vakcinák receptjét, az is előfordult, hogy a kórházak nem tudták megfelelően ellátni a betegeket zsarolóvírusos támadások miatt. Elválik, hogy Biden kiberpolitikája továbbra is ajánlásokon fog alapulni, vagy pedig az európai megközelítést követve az amerikai elnök továbblép, és szövetségi szintű törvényt vezet be. Egy biztos: a kiberbiztonsági fenyegetések egyetemesek, számuk, komplexitásuk és erejük nő. Mivel a kiberfegyverek és -eszközök folyamatosan és gyorsan fejlődnek, létfontosságú az országos politikák kialakítása az infrastruktúra kritikus elemeinek azonosítására és megfigyelés alatt tartására, az ellenük irányuló kibertámadások hatékonyabb kivédésére. Ezen felül a kritikus infrastruktúra létesítményeit gyakran kellene tesztelni "adversarial simulation" típusú gyakorlatokkal a biztonsági infrastruktúra kitartó támadásokkal szembeni reális ellenálló- és reagálóképességének, illetve hatékonyságának ellenőrzésére” – véli a szervezet.

A Cyber Dacians hivatásos romániai kiberbiztonsági és üzleti szakértőkből álló csapat. Víziójuk egy biztonságosabb digitális világ megteremtése, küldetésüknek pedig azt tekintik, hogy bevezessék a kiberbiztonságot előtérbe helyező gondolkodásmódot.

A szervezet több tagja arany- és ezüstérmet szerzett a European Cybersecurity Challenge elnevezésű IT-biztonsági csapatversenyen, illetve részt vett több nemzetközi Zászlórablás (Capture the Flag) versenyen Szingapúrban, Koreában, Kínában és az Egyesült Államokban.