Előnyben a csalók, terjed a deepfake: így venné fel a kesztyűt a KiberPajzs

2022 novemberében öt alapító taggal indult el az internetes csalások, kibertámadások elleni védekezést a zászlójára tűző KiberPajzs kezdeményezés. A program életre hívását három fő tényező indokolta: a technológiai fejlődés, a koronavírus-járvány miatti bezártság, ami nagymértékben növelte a digitális kitettségünket, legerősebb hajtóerőként pedig a kiberbűnözés globális és magyarországi felerősödése – sorolta a legfontosabb érveket Sütő Ágnes, a KiberPajzs társprojektgazdája.

A program mögött álló szervezetek már kezdetben is széles kört fedtek le, a pénzügyi és technológiai szektortól egészen a bűnüldözési jogosítványokkal rendelkező hatósági, intézményi szereplőkig. A KiberPajzs a hároméves fennállása alkalmából tovább bővült, a Digitális Vállalkozások Szövetségének (IVSZ) belépésével a létszáma immár 14-re emelkedett.

„Ezáltal a partnereink hálózatán keresztül már több mint 9 millió embert, lényegében a teljes magyar lakosságot elérjük” – fogalmazott Sütő Ágnes.

A kezdeményezés leginkább képzésekkel, oktató videókkal, tájékoztatókkal és hasznos tanácsokkal segíti a lakosságot a kibertámadási kísérletek beazonosításában és kivédésében. „A KiberPajzs vállalati kiterjesztése azt a célt szolgálja, hogy a megelőzés, a gyors reagálás és az információcsere mindennapossá váljon a hazai üzleti szférában, hogy a kkv-k biztonságosan fejlődhessenek a digitális térben” – tette hozzá.

„Az együttműködésünk teljesen természetes, inkább az a csoda, hogy ennek eddig nem volt hivatalos formája” – mondta el Vinnai Balázs, az IVSZ főtitikára. Majd hozzátette, hogy a KiberPajzs támogatásával is az a céljuk, hogy ne csak egy digitálisan fejlett, hanem egy digitálisan biztonságos Magyarország jöjjön létre.

Az AI-nak inkább a támadók örülhetnek

„A digitális biztonság a XXI. század egyik legnagyobb kihívása” – fogalmazott Csányi Péter, az OTP Bank vezérigazgatója, aki egyben az IVSZ alelnökeként is felszólalt. Egyre gyakoribbak a támadások, amik ma már nem pusztán informatikai vagy technológiai kérdésként jelentkeznek, hanem össztársadalmi kihívásként – tette hozzá.

A kiberbűnözők elsősorban nem a vállalatok technológiai rendszereit, hanem az ügyfeleket, a munkavállalókat célozzák. Lapunk kérdésére Csányi Péter elmondta, hogy a mesterséges intelligencia térnyerésével lépéselőnybe kerültek a kiberbűnözők: bár a védekezést is segíti az AI, a technológia fejlődésével a támadók egyre több eszközt kapnak a kezükbe.

Ezek közül Sütő Ágnes sorolt fel néhányat.

• A mesterséges intelligencia abban segíti a kiberbűnözőket, hogy az adathalász e-mailek, sürgető üzenetek egyre jobban hasonlítanak a feltételezett küldő stílusára, ami megnehezíti a felismerést a megtámadott fél részéről. „Már mi sem a helyesírási hibákra figyelmeztetjük az ügyfeleket” – fogalmazott a szakértő.
•  Új csalási technika az úgynevezett lándzsás adathalászat, amely során a támadók személyre szabott üzenetekkel próbálják tőrbe csalni a potenciális áldozatot. Az AI a nyilvánosan elérhető ügyféladatok alapján segíti a csalókat a minél pontosabb profilozásban.
• Harmadik új eszközként pedig kiemelte a mesterséges intelligencia által generált deepfake videókat, amik főleg a befektetési csalások területén terjednek.

A kibertámadások felismerésének és kivédésének legfontosabb záloga az edukáció, a tudatosság növelése – tette hozzá Csányi Péter. A mesterséges intelligencia persze nem csak a támadókat segíti, az OTP által csatasorba állított gépi modell például már több mint 1000 csalást ismert fel és előzött meg, mielőtt az ügyfél a kísérletet észrevette volna.

A kibervédelmi intézkedéseknek köszönhetően a bankcsoporton belül 1 év alatt 43 százalékkal csökkent a csalásban érintett ügyfelek száma, ezzel több mint 2 milliárd forintnyi kárt sikerült megelőzni – sorolta az eredményeket a vezérigazgató.

A teljes pénzügyi szektor szintjén 46 ezer kártyás visszaélés történt Magyarországon az idei második negyedévben, 1,8 milliárd forint összértékben. Az esetszám az egy évvel korábbihoz képest 1 százalékkal, annak értéke pedig több mint 26 százalékkal csökkent. Általánosságban elmondható, lakossági és vállalati oldalon egyaránt, hogy a bankkártyás tranzakciókhoz kapcsolódó csalások száma visszaszorulóban van, míg az átutalásokéhoz kapcsolódó „próbálkozásoké” nő.

A legkisebbek még szinte a nulláról indulnak

Apropó, vállalatok! Egy érdekes jelenségre hívta fel a figyelmet előadásában Vinnai Balázs. „A mikro és kisvállalatok hajlamosak azt gondolni, hogy ők nem lehetnek célpontok, a biztonság illúziójába ringatják magukat. A védekezésre is kevesebb figyelmet fordítanak, ezért a kárt okozó támadások aránya náluk magasabb, mint a nagyvállalatoknál” – fogalmazott az IVSZ főtitkára.

A cégméret tehát nem számít a támadók szempontjából, de a védekezés kiépítettségét jelentősen meghatározza.

A nagyvállalatok 69 százaléka használ fejlettebb megoldásokat a kiberbűnözés elkerülésére, míg a kis- és középvállalatoknál ez az arány 30 százalékra esik. Ezeken a mutatókon is bőven kellene még javítani, de a mikrovállalatok helyzete egészen siralmasnak mondható. Mindössze 2,9 százalékuk használ fejlett rendszereket a támadások kivédésére.

Vinnai Balázs hozzátette: az a céljuk, hogy Magyarország jelentősen előrelépjen a kkv-k digitalizációját illetően. „Az európai uniós átlag nagyon gyorsan mozog felfelé, mi pedig az utolsók között szerepelünk” – summázta a helyzetet a főtitkár.

Az IVSZ aktív tagja az Európai Digitális Innovációs Központnak (EDIH), amelynek célja, hogy a kis- és középvállalatok 90 százaléka legalább alapfokú digitális kompetenciával rendelkezzen. Emellett szeretnék elérni, hogy az európai cégek 75 százaléka használja a felhőt, a mesterséges intelligenciát és a big data megoldásokat 2030-ra.

Ahogy a lakosságnál, úgy a vállalatoknál is a tanuláson, az edukáción van a hangsúly. Az EDIH keretében elérhető több mint 5700 ingyenes szolgáltatás harmada kiberbiztonsági képzést, tanácsadást takar. Magyarországon is több mint 400 szolgáltatás érhető el, hasonló fókuszokkal.

„A támadások azonosítására és elkerülésére alkalmas szoftverekbe kell a cégeknek beruházniuk, hatékony belső folyamatokat kell kiépíteniük, és folyamatosan képezniük kell a cégek munkatársait” – fűzte hozzá Vinnai Balázs. Ez utóbbi azért fontos, mert a támadók a munkavállalókon keresztül érzik leginkább sebezhetőnek a céget. Ráadásul – a távmunka hatásaként – a belső vállalati rendszerek és a saját elektronikus eszközök egyre jobban összekeverednek, ami újabb támadási felületet kínál.