Nehéz felbecsülni az esetleges hatásokat

Habár a kibertérben nagyon kevés olyan esemény következhet be, amely oly mértékben kiterebélyesedik, hogy a végén globális sokkot okozzon, ennek a lehetőségét sem lehet kizárni. Ha ugyanis kettő vagy annál több, a biztonság egy-egy területét veszélyeztető jelenség együttesen fordul elő, akkor már nagyon veszélyes is lehet a végkifejlet. Többek között erre hívja fel a figyelmet a kiberbiztonsággal foglalkozó, a közelmúltban közzétett OECD-jelentés. Ajánlásokat is megfogalmaz a kormányok számára a biztonság erősítésére.

A kulcsfontosságú kommunikációs objektumokat (műholdakat, celluláris földi állomásokat) fizikailag is megsemmisítő, igen nagy kiterjedésű napkitörés – ezt a példát hozza fel egyebek között az OECD jelentése arra, hogy szélsőséges esetben egyetlen esemény is katasztrófát okozhat világszerte. A két külső szakértő (Peter Sommer, London School of Economics, Ian Brown, Oxford University) által készített, A rendszerszerű kiberbiztonsági kockázatok csökkentése címet viselő tanulmány másik példája egy esetleges sikeres támadás valamelyik internetprotokoll ellen, például az ellen, amely meghatározza az internetszolgáltatók közötti útvonalakat. Ám az ilyen események nagyon ritkák – igyekeznek a szerzők mérsékelni a félelmeket –, arra pedig még kevesebb az esély, hogy egy időben több olyan jelenség fordul elő, amelyek együttesen már komoly globális problémákat okozhatnak. A kémkedés, a bűnözői aktivitás fokozódása, a hackertámadások ugyanis bármennyire bosszantók is, csak helyi hatásúak, s időben sem húzódik el a megszüntetésükre tett intézkedés.

Ezzel együtt is szükséges folyamatosan ellenőrizni a kiberbiztonságot – nem véletlen, hogy a legfejlettebb ipari országokat tömörítő szervezet úgy döntött, a jövőbeni globális riasztások vizsgálatának részeként ezt a területet is górcső alá veszi. A kibervilág hihetetlen fejlődésével, illetve az ennek következtében kialakuló új társadalmi, kulturális és gazdasági struktúrák világában ugyanis időről időre át kell tekinteni a lehetséges veszélyek milyenségét.

Ahhoz, hogy pontosan megérthessük a potenciális problémákat, nem csak azok felismerésére van szükség – hívja fel a figyelmet a jelentés, hozzátéve: szükség van a bűnügy, a támadás vagy a katasztrófa minden egyes elemének vizsgálatára, amellett hogy számba kell venni a megelőzés, a mérséklés, valamint a helyreállítás lehetőségeit is.

A kiberháború kitörésének esélye összességében csekély, mivel a legtöbb kulcsfontosságú számítástechnikai rendszert megfelelően védik, más szóval az újabb és újabb kibertámadások tervezőinek meg kell találniuk a szisztémák gyenge pontjait. Ugyanakkor nehéz felbecsülni az esetleges kibertámadások hatásait. Még ennek tudatában is szükség van arra, hogy a kormányok részletes terveket dolgozzanak ki, felkészülve esetleges támadásokra, háborúkra, katasztrófákra, azaz a véletlenszerű vagy szándékos támadásokra.

A NetAcademia oktatója, Barta Csaba olyan biztonsági rés kiaknázására mutatott valós példát, melyre eddig csak elméleti lehetőségként tekintettek a szakmában. „A kártékony kód hatékonyságát jól mutatja, hogy a tesztek során a vírusirtó programok sem fedezték fel. Ráadásul a legújabb operációs rendszerek, így a Windows 7 és a Windows Server 2008 legfrissebb, naprakész verziói alatt is fut” – mondta Barta Csaba. Sean Lim, az EC-Council alelnöke a tematikabővítés kapcsán azt is jelezte, hogy a kártékony kódot eljuttatták a vírusirtó cégeknek, így már nem felderíthetetlen többé, de mint megoldás, továbbra is nagyon tanulságos.

A NetAcademia oktatója, Barta Csaba olyan biztonsági rés kiaknázására mutatott valós példát, melyre eddig csak elméleti lehetőségként tekintettek a szakmában. „A kártékony kód hatékonyságát jól mutatja, hogy a tesztek során a vírusirtó programok sem fedezték fel. Ráadásul a legújabb operációs rendszerek, így a Windows 7 és a Windows Server 2008 legfrissebb, naprakész verziói alatt is fut” – mondta Barta Csaba. Sean Lim, az EC-Council alelnöke a tematikabővítés kapcsán azt is jelezte, hogy a kártékony kódot eljuttatták a vírusirtó cégeknek, így már nem felderíthetetlen többé, de mint megoldás, továbbra is nagyon tanulságos. Példák nem kívánt jelenségekre Nagy kiterjedésű meghibásodás

- az internet-infrastruktúrában

- a távközlési szolgáltatóknál

- a kritikus hálózatokban (kábel, műholdkapcsolat vagy kapcsolóállomás)

- a pénzügyi szolgáltatások fizikai infrastruktúrájában

- igen nagy erejű napkitörés által okozott

- sikeres ipari kémkedés miatti

- elektromágneses pulzusok okozta

- kiberháborús támadás miatti

Forrás: Reducing Systemic Cybersecurity Risk Ajánlások a kormányok számára - A kiberbiztonsági intézkedések ne csak a kormány, hanem minden állampolgár érdekét vegyék figyelembe

- Ratifikálják és alkalmazzák a kiberbűnözés ellen létrejött konvenciót (CiberCrime Convention)

- Támogassák a számítógépet használók képzését, ez nemcsak az egyedi felhasználók és rendszerek érdekeit szolgálja, hanem egyben csökkenti a nem védett számítógépek számát, amelyeket könnyen túszul ejthetnek és támadásokra használhatnak a bűnözők

- Hassanak oda, hogy a számítástechnikai ipar megfelelően kipróbált, letesztelt hardvert és szoftvert dobjon piacra, ebben pedig használják ki a közbeszerzés, a szabványosítás és a licencelési folyamat által kínált lehetőségeket

- A jelenleginél szélesebb körben fejlesszék a speciális rendőri és törvényszéki számítástechnikai lehetőségeket

- Támogassák a nemzetközi számítástechnikai készenléti gyors reagálású csoportot (Computer Emergency Response Team, CERT) – akár pénzügyi forrásokkal is –, hogy megakadályozhatók legyenek a nagy kiterjedésű internetes problémák

- Forrásokkal is támogassák az olyan kutatásokat, amelyek – többek között – az internetprotokollok erősítését, a kockázatelemzést, az előre nem látott lehetőségekre való felkészülést, a biztonsági közgazdaságtant, a számítástechnikai rendszerek használatának humánelemeit, vagy éppen a katasztrófa elemzésének céljait szolgálják

Forrás: Reducing Systemic Cybersecurity Risk-->