Aligha példaszerű, hogy nem egy arra illetékes szövetségi szerv, hanem egy magáncég hozta nyilvánosságra először az USA története egyik legnagyobb kibertámadásának részleteit.
A Solarwinds-ügy tanulságai címmel rendez Teams-en követhető kerekasztal-beszélgetést februát 24-én az NKE Kiberbiztonsági Kutatóintézete. Cikkünk a résztvevők segítségével még az online beszélgetés előtt igyekszik összefoglalni az ügy alapvető tudnivalóit.
A kerekasztal-beszélgetés meghívója
Mint arról hírt adtunk, a FireEye december közepén hozta nyilvánosságra, hogy támadás érte informatikai rendszerét. Azóta a Microsoft is bejelentette, hogy érintett a Solarwinds-ügyben. Mint az amerikai állam egyik legfontosabb informatikai szolgáltatója, nyilván érdekében is áll ez a nyíltság – teszi hozzá Krasznay Csaba, az NKE EJKK Kiberbiztonsági Kutatóintézetének intézetvezetője. Ugyanakkor ez a közlemény arra is kitér, hogy a Solarwinds szoftverében „kill switch” volt, azaz egy olyan kapcsoló, amely úgymond a lebukástól félve megállította a kód futását a Microsoft belső hálózatán. A Microsoft szerint az sem jelent problémát, hogy a támadók ránézhettek termékeik forráskódjára – hiszen a cégen belül alkalmazott gyakorlat szerint szoftvereik biztonsága szempontjából nem támaszkodnak a forráskód titkosságára. A Microsoft tehát próbál pozitív eredménnyel kijönni a támadásból, ezt a narratívát az is erősíti, hogy időközben nyilvánosságra hozták, hogy a Solarwinds ügyvezetőjét szintén célzott kibertámadás érte a Microsoft által szolgáltatott levelezőrendszerén keresztül. A FireEye-on és a Microsofton túl viszont a többi cég inkább a hallgatást választotta, egyelőre nyilván mind azon dolgoznak, hogy kiderítsék „milyen mély a nyúl ürege” – mondja Krasznay Csaba.
A mindig óvatos EU
Nyilvánvalóan óvatosnak kell lennie minden cégnek, illetve minden államnak, amikor kijelenti, hogy bármilyen másik államhoz kötődő, rosszindulatú kibertámadás érte rendszerét. Ehhez ugyanis nagyon meggyőző bizonyítékokra van szükség, amelyek beszerzéséhez sokszor akár évek is szükségesek. Európa éppen ezért jóval óvatosabban ad ki elítélő közleményeket vagy cselekszik ilyen esetekben – bármennyire is győzködi majd a Biden-adminisztráció az uniós tisztviselőket. Az USA-ban szinte biztos, hogy téma lesz a kiberbiztonság ügye, Biden elnök legutóbb például 2 milliárd dollárt irányított át a vírusjárvánnyal kapcsolatos kiberbiztonsági védelemre. Krasznay Csaba az óvatossággal kapcsolatos érdekességként említi, hogy az EU a 2019-ben megalkotott Cyber Diplomacy Toolbox alapján először 2020-ban alkalmazott valódi szankciót – egy 2016-ban történt támadás alapján. Az NKE intézetvezetője mindehhez még hozzáteszi: Magyarország diplomáciai téren minden bizonnyal követni fogja az Európai Uniót, műszaki téren pedig azt kell megvizsgálni, hogyan lehet hatékonyan tovább növelni a hazai rendszerek védelmét.
A még bénább kacsa helyzet
Sok gondra világít rá, hogy december közepén nem az Egyesült Államok Kiber Parancsnoksága, hanem egy tőzsdei cég, a FireEye hozta nyilvánosságra a kibertámadás tényét – mondja Mártonffy Balázs, az NKE Amerikai Tanulmányok Kutatóintézet intézetvezetője. Ez ugyanis nagyon komoly hatékonysági és képességbeli kérdéseket vet fel a szövetségi intézményekkel kapcsolatban. Ugyanakkor a FireEye bejelentése egy olyan pillanatban történt, ami eddig példátlan az USA modernkori történelmében.
Az elnökválasztások után bekövetkező, béna kacsának nevezett helyzet ugyanis azt feltételezi, hogy a korábbi elnök elfogadja a választások eredményét, majd a megválasztott elnök stábjával közösen megkezdik az átmenetet. Tavaly novemberben viszont legitimációs átmeneti válság volt az USA-ban – magyarázza Mártonffy Balázs. Senki nem tudta, mi lesz az elnöki tranzíció menete, így a jogi kérdésekre sokkal több figyelem jutott, mint a bonyolult kiberügyek megértésére. Valószínűleg az sem segített a témának, hogy Biden stábja sokáig csak korlátozottan fért hozzá az elnöknek és a megválasztott elnöknek járó napi hírszerzési jelentésekhez, melyek a tranzíció nemzeti biztonsági sikerességét kellene, hogy szavatolják.
A kibertámadások során ráadásul mindig előjön az attribúciós probléma is: a politika komoly nyomást kap, hogy azonnal, technikai részletek nélkül, azaz egyértelműen fogalmazzon, de jelentős bizonyítékokat gyűjteni gyakran hónapokig, akár évekig is tart. A volt amerikai külügyminiszter rá is mutatott az oroszokra a FireEye bejelentése után, azonban Trump Twitterén a saját, Kína-ellenes narratívájába helyezte el az ügyet – nem feltétlenül a szakértői anyagok alapján.
Mártonffy Balázs szerint az új szövetségi kiberstratégiát a most készülő Nemzetbiztonsági Stratégia alapján készítik majd el. Sejthető már, hogy orosz vonalon nem lesz külpolitikai „reset”, teljes újragondolás, ugyanakkor fontos lesz látni, mit gondol a Biden-adminisztráció Kína helyzetéről. A legutóbbi orosz témájú közlemény például bár konfrontatívabb volt, mégis azzal kezdődött, hogy az USA – szemet hunyva a korábbi orosz szerződésszegések fölött – megújította a két ország közötti stratégiai fegyverzetcsökkentő egyezményt.
Különösen türelmes elkövetők
A támadás nemzetállami titkosszolgálati jellegét – a technikai nyomok mellett – tovább erősíti, hogy az elkövetők különösen türelmesek voltak – mondja Nemes Dániel, a FireEye magyarországi képviseletét ellátó biztributor elnöke. Azok közül a potenciális áldozatok közül, akikhez az első nagy rés hozzáférést biztosított számukra, nagyon szelektáltan, az eddigi adatok szerint csak töredék részben nyúltak hozzá, mivel minden egyes behatolás potenciális lebukási kockázat. A támadók profizmusára jellemző azonban, hogy hónapokon keresztül még az igen magas felkészültségű áldozatok sem vettek észre semmit a támadásból, ide értve a kormányzati intézményeken és stratégiai cégeken túl az informatikai infrastruktúrát, sőt információbiztonsági rendszereket szolgáltató cégeket is. Ráadásul, miután a támadók – vesztükre – a FireEye-t vették célba, és lebuktak, körülbelül már lehetett tudni, milyen támadást kell keresni. Ennek ellenére több célpont, köztük neves informatikai biztonsági cégek a mai napig nem találták meg a rendszereikben a támadókat, viszont külső adatokból az érintettségük kikövetkeztethető. Ilyen támadásokat egyéni hackerek vagy privát hackercsoportok nem tudnak végrehajtani, mert nem rendelkeznek a szükséges szakmai és anyagi erőforrásokkal, és általában nincs ennyi idejük sem – teszi hozzá Nemes. Éppen ezért érdemes a támadás politikai, katonai és informatikai vetületét együtt vizsgálni, privát cégek esetében az üzletihez hasonlóan.
Ha még többet szeretne megtudni a Biden-adminisztráció által várható kiberstratégiájáról, valamint a Solarwinds-ügy további tanulságairól és következményeiről, csatlakozzon Ön is a február 24-i kerekasztal-beszélgetéshez.