Hogyan néz ki belülről egy kibertámadás? Hogyan jutottak be a támadók?

Az arra vonatkozó kérdésre, hogy egy sikeres – a példában egy 8 milliárd forintos árbevételt bonyolító autókereskedés szerepelt –, azonban kritikus infrastruktúrát nem üzemeltető vállalkozásnak miért kellene foglalkoznia a kiberbiztonság kérdéskörével, Szabó Lajos, a Nemzeti Kiberbiztonsági Intézet igazgatója elmondta, ez egy olyan kérdés, amellyel gyakran szembesül. Hozzátette, az NKI vezetőjeként évek óta lát testközelből különféle kibertámadásokat és azok hatásait, és nagyon sok esetben az a tapasztalat, hogy a felkészültségi fok rendkívül alacsony, ráadásul ezek egy részét elég jól, és viszonylag egyszerű módszerekkel, nem is nagy pénzügyi ráfordítással ki is lehet védeni. Szabó Lajos itt visszautalt Bor Olivér kiberbiztonsági szakértő előadására, aki kijelentette, hogy kétféle cég van, amelyiket még nem ért kibertámadás, illetve amelyiket fog.

Véleménye szerint ugyanakkor az igazi kérdés az, hogy a cégek mennyire vannak felkészülve a kibertámadásra, mivel minél inkább készen állnak, ez annál kevesebb pénzügyi, illetve egyéb reputációs veszteséget fog okozni. Hozzátette, erre jó a NIS2-szabályozás is, mivel lehet, hogy most egyes szervezetek azt mondják, nem akarnak költeni a területre, viszont, ha beüt a kibertámadás, sokkal többet kell majd fordítaniuk erre, mint amennyit egyébként kellett volna.

Milyen típusok léteznek?

A moderátor azon felvetésére, hogy mégis milyen tippeket tudna adni a cégeknek, Szabó elmondta, hogy nagyon sokféle támadástípus létezik, ezek nagy része valamilyen pszichológiai manipuláción alapuló adathalászattal kezdődik.

Vannak olyanok, amelyeknek kimondottan ez a fő célja, hogy megszerezzenek érzékeny adatokat, például banki, pénzügyi információkat, leürítsék a céges a bankkártyát, bankszámlát – tehát elvegyék a pénzt. Itt sokféle csoportosulásról beszélhetünk, de a fókuszban elsősorban azok vannak, akiknek az a célja, hogy pénzt szerezzenek, hiszen nem véletlen, hogy óriási, több ezer milliárd dolláros a pénzügyi haszon, amelyet a kiberbűnözők elérnek – tette hozzá.

Szintén a cégeket érintő tipikus ilyen forma a ransomware típusú támadás, azaz a zsarolóvírusok, amelyek mostanra a hackerek egyik legkedveltebb eszközévé váltak. Hozzátette, a különféle adatlopó malware-ek és a DDOS-támadások, tehát a céges szolgáltatásokat elérhetetlenné tevő támadások, mind-mind összefüggnek, és a kiberbűnözői csoportok általában mindegyiket alkalmazzák.

Szabó Lajos elmondta, a támadáshoz vezető utat úgy kell elképzelni, mint egy üzleti vállalkozást, az ezzel foglalkozó kiberbűnözői csoportok előre felkészülnek, és szépen leprofilozzák az adott potenciális célpontot, felmérik, hogy mekkora energiabefektetéssel mekkora haszon valószínűsíthető akkor, hogyha ténylegesen megtámadják azt az adott szervezetet – itt nemcsak több száz fős, hatalmas árbevételt generáló vállalkozásokról lehet szó, hanem a kisebbekről is.

Ha találnak egy ilyen céget, amelyiknek már rendes árbevétele van, és elég jól működik, akkor ezt is leprofilozzák, megnézik, hogy milyen publikus rendszerei vannak a külvilág felé. Elkezdik scamfishingelni őket, felmérik a vállalatnál dolgozókat, megpróbálnak kezdeti hozzáférést szerezni. Ha ez megvan, és még nincsenek megfelelő detekciós képességek, akkor tovább profilozzák az illetőt, úgy kell elképzelni az ilyen csoportok működését,  mint egy egy professzionális multinacionális nagyvállalatot, mindenkinek megvan benne a megfelelő szerepe.

Hangsúlyozta, a kiberbűnözői csoportok a hagyományos bűnszervezetekkel is erőteljesen összekapcsolódnak, mert az éves szinten akár több százmillió dolláros bevételt tisztára is kell mosni, ezekhez pedig szükség van ezen szervezetekre is. Kiemelte, nem védettek a cégek az ilyen támadások ellen, a kisebbek is veszélyben vannak, erre a leginkább akkor döbbennek rá, amikor megtörténik a baj.

Egy kibertámadás titkos élete

Zombori Antal, az UNIX ügyvezető-tulajdonosa személyes tapasztalatokkal rendelkezik arról, hogy milyen az, amikor a kiberbűnözők elkezdenek ostromolni egy céget, hiszen a vállalkozás átélte ezt a folyamatot. Mint mondta, magát a támadás tényét nagyon egyszerű észrevenni, mert minden megáll, és megjelennek a monitoron az üzenetek, hogy szíveskedjünk ide, meg ide ennyi, annyi kriptót fizetni, olyan fenyegetésekkel kiegészítve, hogyha nem fizet a cég, akkor öt napon belül duplájára emelkedik az összeg.

Tapasztalatáról beszámolva elmondta, valóban nagyon profi cégekről van szó, telefonos ügyfélszolgálatuk van, telefonszámot is adnak, ahol segítséget nyújtanak a helyreállításban. Küldik a dekódolót, linkeket adnak, amelyekkel azt akarják igazolni, hogy amikor ők támadtak, akkor bizony, aki fizetett, annak sikerült helyreállítani, fontos számukra a reputációjuk bizonyítása is. Zombori Antal ezután a támadás konkrét részleteiről beszélt. Mint mondta,

nem feltétlenül profiloznak előre, hanem például egy megbízhatónak tűnő, már feltört levelezőrendszerről küldenek leveleket a címlistának, ezzel is további célpontokat keresve – ez az UNIX esetében is megtörtént, megszerezték az ilyen adatokat, majd megpróbálták megtámadni az ügyfeleket és a beszállítókat is.

Elárulta, a vállalat esetében úgy jutottak be a támadók, hogy az egyik mérnöknek küldtek egy olyan levelet, hogy banki problémák léptek fel, ő ennek bedőlt, megadta a kért adatokat – ezzel megszerezték a hozzáférést. A bűnözők ezután két hónapig építkeztek, mielőtt teljesen lerohanták volna a céget.

Kiemelte, a támadás legfontosabb tanulsága nemcsak az, hogy költeni kell az informatikára, hanem mielőtt ez megtörténik, rendbe kell rakni a céges kultúrát, mert ha a hacker nem jut be, akkor ő csak egy próbálkozó hacker, a legnagyobb ellenségünk a saját embereink felelőtlensége – ne forduljon elő, hogy egy jelszó például UNIX01, mert ezt percek alatt törték fel egy robottal. A jelszó protokoll kulcskérdés, a kétfaktoros hitelesítés szintén. Hangsúlyozta, úgy gondolja, hogy kell költeni, kellenek a szoftverek, kellenek a tűzfalak, kell minden, de az első és legfontosabb, hogy a fejekben és főleg az informatikusok fejében rakjunk rendet.

Nem lehet eleget beszélni a témáról

Szabó Péter, a Microsoft Magyarország ügyvezető igazgatója megemlítette, mostanában mindig a mesterséges intelligenciáról beszélt, így ezért is örült a jelenlegi felkérésnek, ugyanis úgy véli, a kibervédelemről nem lehet beszélni. Hozzátette, teljesen meg tudja erősíteni Zombori Antal kijelentéseit, kisvállalat, nagyvállalat, középvállalat, akármilyen vállalatnál, 99 százalékban mindig emberi hibáról van szó.

Kiemelte, rengetegszer előfordul, hogy a legalapvetőbb védekezési módszerek hiányoznak, nincsen bekapcsolva a kétfaktoros belépés, vagy a mesterjelszó egy papírfecnire van felírva – itt példaként egy több mint millió dolláros veszteséget szenvedő cég esetét említette. A szakember szerint az eszközök menedzselése is kulcsfontosságú, mert például a statisztikából az derült ki, hogy a támadások 80-90 százaléka olyan, nem menedzselt eszközökön keresztül zajlott, amelyekről nem is tudott a központi IT – így pedig nehéz védelmet biztosítani. Ismételten kiemelte, a kulcskérdés az emberek képzése, még akkor is, ha az informatikusok egy része kemény dió. Hozzátette, van, aki a Linuxban hisz, van, aki a Microsoft-termékekben – ő maga ez utóbbit és a felhőt hirdeti.

Véleménye szerint azoknak a vállalatoknak, akik abból élnek, hogy felhőinfrastruktúrát szolgáltatnak, elemi érdekük, hogy a legrobosztusabb kiberbiztonsági módszereket használják, és ráerőszakolják gyakorlatilag ezeket az ügyfeleikre is. Megindokolta, ezért hirdeti azt, hogy a felhő irányába érdemes menni, ez önmagában sok problémát meg tud oldani.

Az arra vonatkozó kérdésre, hogy van-e olyan csapata a Microsoft Magyarországnak, vagy hogyan tud segíteni a cég a bajba került ügyfeleknek, Szabó Péter elmondta, a különböző cégek szegmentálódnak. Elmondta, azt tudja javasolni, hogy a kis és közepes ügyfelek jól teszik, ha választanak maguknak egy olyan szakértő partnert, aki kiberbiztonsági szakértő, vagy menedzselt security operationst visz, amivel egy az egyben leveszi gyakorlatilag az ügyfél válláról a problémákat, ilyen partnereket ők is tudnak ajánlani.

Hozzátette, a nagyobb cégeknek általában szerződésük van, terméktámogatást közvetlenül tudnak kérni a Microsofttól is, de jellemzően nincsen olyan ügyfél, aki ne dolgozna valamilyen, például rendszerintegrációs vagy kiberbiztonsági partnerrel. Végül emlékeztetett, a Microsoft rendelkezik a világ egyik legnagyobb kibervédelemmel foglalkozó csapatával.

Változnak az idők

Szabó Lajos emlékeztetett arra az alapvető változásra, amelyet a NIS2 hatályba lépése jelent majd, hiszen eddig csupán a kritikus infrastruktúrát vagy létfontosságú rendszereket üzemeltető cégek tartoztak az NKI hatáskörébe, a szabályozás bevezetése után azonban lényegesen megnő majd azon cégek száma, akik a Nemzeti Kibervédelmi Intézet ügyfélkörébe tartoznak majd. Innentől kezdve be kell jelenteniük a kiberbiztonsági incidenseket, amelyek kivizsgálásában az NKI segítséget nyújt majd. Hangsúlyozta, az intézet biztonsági elemzőkkel, különleges eszközökkel, malware elemzőkkel, és pentesterekkel (ők a sérülékenységet tesztelő szakemberek) is rendelkezik.

Hozzátette, ezeket nyújtják majd az összes NIS2-ügyfélnek is, korábban a szolgáltatások csak az állami központi közigazgatás, önkormányzatok, és a kritikus infrastruktúrát üzemeltetők számára volt elérhető, ez azonban változni fog. Az NKI igazgatója végül hangsúlyozta, a megelőzésnek óriási szerepe van. a felkészültség, az üzemeltetők felkészültsége és az eszközök menedzselése kulcsfontosságú, hiszen önmagában a drága eszközök megvásárlása önmagában nem lesz elegendő.

Az eseményről készült teljes videót, köztük a panelbeszélgetést is itt tekintheti meg: