Van arra adat, hogy Magyarországon évente hány kibertámadás történik?

Csak azokat az adatokat ismerjük, amelyek nyilvánosságra kerülnek. Az esetek száma évente több ezer is lehet, de sok kibertámadást be sem jelentenek a hatóságoknál, pedig 72 órája van erre a cégeknek, személyeknek, hogy az incidenseket jelezzék és azok transzparensek legyenek. Vannak olyan támadások, ahol adatot lopnak el, vagy zsarolóvírust kapnak a szervezetek és vannak olyanok, ahol észre sem veszik, hogy valaki behatolt az informatikai rendszerbe.

Egyes becslések szerint 2025-re elérheti a 10500 milliárd dollárt a kiberbűnözők által okozott kár, ami a jövő évre prognosztizált adathoz képest is 60 százalékos növekedés. A nagyságrendet jelzi, hogy ez már több mint a két és félszerese a 2019-es német GDP-nek.

Hozzáteszem, sokan azért sem tesznek bejelentést, mert kellemetlennek érzik, vagy félnek magukra felhívni a figyelmet. A kiberbűnözés a legjövedelmezőbb bűnözői forma jelenleg , akkora kárt okoznak, mint a legnagyobb gazdaságok teljesítménye.

Milyenek lehetnek ezek a kibertámadások?

Vállalat típusonként eltérők, két évvel ezelőtt öt magyarországi bankot ért DDOS vagyis elosztott túlterheléses támadás. De nem ez a jellemző, a bankok esetében inkább ügyfél információkat lopnak. Politikai szervezeteknél, kormányzatnál a weblap felületének a módosítása, a weboldal leállítása a célja a hekkereknek. Azoknál a cégeknél, ahol pedig nagy mennyiségű ügyféladat van ott az cél, hogy azokat megszerezzék, vagy blokkolják az oldal működését.

Mennyire veszik komolyan a cégek a kiberbűnözést? Költenek a biztonságra?

Ez vállalattípustól és hozzáállástól is függ. Milliárdos árbevétel felett erre már áldoznak a cégek, egyébként pedig ingyenes, vagy nem kellő biztonsági szinttel rendelkező e-mail fiókokat vesznek igénybe, megkeresik, hogy melyik a legolcsóbb szolgáltató. Sokan nem gondolják át, hogy az ilyen típusú levelező rendszerek, túlságosan kitettek a támadásoknak, információ szivárgásnak. Vannak sokkal jobban működő, titkosítható levelezőrendszerek, de ezek persze drágábbak is.

A legfontosabb az kellene legyen a vállalatok esetében, hogy az információbiztonsági vezető az egy asztalnál üljön a board-dal, és egyértelműen figyelembe vegyék a véleményét. A másik, ha lehet akkor ne az IT-igazgató alatt legyen a ranglétrán, mert én még olyat nem láttam, hogy azt lehet ellenőrizni, aki a főnököm.

És egy vállalat stratégiájában a kiberbiztonsági vezetőnek igen is benne kell lennie a vezetői gárdában.

Zala Mihály, EY Magyarország, IT- és technológiai tanácsadásért felelős vezető

Öt éve indult el Magyarországon Elektronikus Egészségügyi Szolgáltatási Tér (EESZT). Korábban nem gyűjtötték a magyar betegek adatait felhőkben. Vonzó lett a magyarok egészségügyi adat a kiberbűnözők számára?

Az EESZT egy stabil, biztonságos rendszer. A rendszereket időnként tesztelni kell, hogy az esetleges réseken ne tudjanak bejutni a bűnözők és ezt meg is teszik. Az EY adatai szerint 2018-ban 1218 exabyte-nyi egészségügyi adat keletkezett világszerte. Ez százszor annyi, mint a 2000-es évekig az egész történelem során előállított adatmennyiség összesen. Előrejelzések szerint 2025-re ez a szám várhatóan 10481 exabyte lesz. Viszonyításképp: 1 exabyte az 1 milliárd gigabyte-nak felel meg.

Hogyan alakulnak a váltságdíjak, egy-egy támadás során, mennyit kérnek azért, hogy az ellopott adatokat ne hozzák nyilvánosságra?

Ha zsarolóvírus jut a rendszerbe, akkor nyilván váltságdíjat kérnek a bűnözők. Vannak magánszemélyeknek szánt vírusok, aminek a legalacsonyabb összege 1300 dollárnak (fél millió forint körüli összeg) megfelelő bitcoin, a legnagyobb pedig egy bitcoin felett volt (jelenleg 6,5 millió forint). A nagyobb váltságdíjak elérhetik a 40 ezer dollárt is (15,6 millió forint). Minden kibertámadás mögött van egy motiváció és legnagyobb valószínűséggel emögött a pénz áll. Sokszor versenytársak rendelik meg a támadást a vetélytárs ellen és ezek az incidensek jelentős reputáció vesztést is okozhatnak. De tudjuk, hogy adatlopást a cégeknél a saját alkalmazottak is elkövethetnek, ha nem elég biztonságos a rendszer.

Ha már kiberbűnözés, akkor mit gondol az igazságszolgáltatás területén vannak képzett szakemberek?

Nagyon kevés informatikai szakjogász van Magyarországon, és nekik kell a bírók számára közérthetően elmagyarázni egy-egy kibertámadás okozta problémát. Ezen a területen van dolgunk még.

Mit tud az e-Kréta elleni támadásról?

Az e-Krétánál az a baj, hogy diákokról és tanárokról beszélünk, akik nem biztos, hogy a digitalizációban jól kiismerik magukat. A rendszer emiatt fokozott kockázatnak van kitéve. Bármikor előfordulhat, hogy egy diák ellopja egy tanár felhasználónév és jelszó párosát. Előfordulhat, hogy egy tanár a klaviatúra alá beragasztja a jelszavát.

Azt akarja mondani, hogy ez egy diákcsíny is lehetett?

Lehetett – volna.

A lakossági felhasználók mennyire óvatosak?

Az emberek zömének fogalma sincs arról, hogy mi a gmail-es, a facebook-os, a linkedIn-es vagy a netbankos jelszava. Bejelentkezve maradnak és folyamatosan úgy használják ezeket a felületeket. Aki egy webáruházas vásárlásnál nem a felkínált biztonságos random jelszót használja, az veszélybe kerülhet. Egy jelszó emlékeztetővel bármikor újat lehet generálni, egy vásárlásnál ez nem jelenthet problémát. A társadalmat edukálni kellene, már az iskolában foglalkozni kellene azzal, hogy a privát adatainkat óvni kell.

Milyen jó tanácsot tud adni? Hogyan találjunk ki egy jó jelszót?

Egyrészt vannak jó offline jelszótároló programok, ha képtelenek vagyunk megjegyezni azokat.

Másrészt egy-egy versrészletből is lehet jó jelszót generálni, vagy az általunk kedvelt dalból is.

A betűket be lehet helyettesíteni számokkal is. Amit fejből nem árt, ha tudunk az a banki, a munkahelyi, és a saját levelezésünk jelszavai, és szerencsés ezeket 2-3 havonta módosítani. A böngészővel pedig nem kell megjegyeztetni azokat.

Van tökéletes biztonság?

Nincs, de nem is ez a lényeg, hanem az, hogy olyan mértékű csillapítások legyenek a cégek IT-rendszerében, amivel a hekkereknek nem éri meg bajlódni.