Kritikus rendszerek – célkeresztben
Az Egyesült Államokban a fő közművek tulajdonosainak és üzemeltetőinek mintegy 85 százaléka az úgynevezett „sok a célpont, kevés a kibervédelem” kategóriába tartozik: rengeteg értékes funkciót látnak el, miközben nagyon gyenge a kibervédelmük. Különösen kockázatosak a kisebb, vidéki vízszolgáltatók, ahol gyakran sem pénz, sem szakember, sem naprakész technológia nincs – sok helyen még mindig támogatás nélküli, elavult rendszereken futnak a létfontosságú szolgáltatások. A kórházak 2016 óta a kiberbűnözők kedvenc célpontjai, hiszen szolgáltatáskiesésük súlyos következményekkel jár, így zsarolóvírussal könnyű pénzt kicsikarni tőlük.
Az utóbbi években több olyan incidens történt, amikor például egyetlen támadás napokra megbénította több keleti parti állam üzemanyag-ellátását. Észak-Korea, Oroszország, Kína és Irán mind képesek és hajlandók kritikus amerikai közműveket támadni. A kínai kiberhadviselés például kifejezetten arra irányulhat, hogy megakadályozza az Egyesült Államokat abban, hogy beleszóljon tajvani terveibe: szükség esetén készek káoszt okozni amerikai ivóvíz-, áram- vagy egészségügyi rendszerekben. Rengeteg szolgáltató még csak nem is hallott olyan Kína által támogatott csoportokról, mint a Volt Typhoon, pedig ezek már jelen vannak több amerikai infrastruktúrában is, és akár évekig észrevétlenül várhatnak a megfelelő pillanatra.
Különös veszélyek: víz- és egészségügy
A legsúlyosabb fenyegetést a vízrendszerek támadása jelenti. Ha egy kórház elveszíti a víznyomást, négy óra alatt működésképtelenné válik: nincs tűzvédelem, műtéti fertőtlenítés, higiénia vagy ivóvíz. Az okoseszközökkel és szenzorokkal automatizált kritikus infrastruktúra ugyan kényelmes, de kockázatos – ez a digitalizáció ára, amit még nem fizettünk meg.
A támadók néha csak elhelyezik a bejutási pontot, aztán éveken át várnak, mire támadnak. Az infrastruktúrában használt elavult hardverek és szoftverek miatt egy ilyen hátsó ajtó hosszú ideig nyitva maradhat, így a támadó akkor csap le, amikor stratégiai érdeke úgy kívánja.
Egyszerű mérnöki megoldások: a „biztosíték” analógiája
A digitális védelmi rendszerek mellett gyakran analóg módszerekkel lehet hatékonyan tompítani egy támadás következményeit. Egy-egy vízmű például egy nyomásvédelmi kapcsolóval – amely kb. 800 ezer–4 millió forintba kerül – azonnal érzékeli a gyanúsan nagy víznyomás-változást, és leállítja a szivattyúkat, mielőtt szétrepedne a vezeték és ellehetetlenülne az egész ellátás. Ez lényegében ugyanaz, mint az otthoni automata biztosíték: inkább lekapcsol, mielőtt nagyobb kárt okozna. Ezek az analóg, mérnöki eszközök olcsók, ismerősek a személyzet számára, és azonnali védelmet nyújtanak, míg a valódi digitális kiberbiztonság kiépítése hosszabb távon valósulhat meg.
A lényeg: ha csökkenteni akarjuk a támadás valószínűségét, a kibervédelmi intézkedéseket kell erősíteni. Ha a támadás következményeit akarjuk minimalizálni, a mérnöki védelmet kell fejleszteni.
Felelősségátruházás, kockázatos visszalépések
Az amerikai kormány az utóbbi időben több területen decentralizálta a védelmi felelősséget: már nem szövetségi szinten, hanem inkább állami és helyi szinten várja el az ellenálló képesség fenntartását. Ez azonban egybeesik azzal, hogy csökkennek a központi költségvetési és emberi erőforrások – például a nemzeti kritikus infrastruktúra-biztonság koordinátorát sem nevezte ki a Szenátus, a támogatásokat csökkentették –, ami rossz időzítés egy ilyen veszélyhelyzetben.
Mivel egyre nő a támadások száma, és a központi koordináció meggyengült, egyre több feladat hárul az államokra, megyékre, településekre és akár a magánemberekre is. Most minden érintettnek minél gyorsabban kell tanulnia, és támogatást, segítséget kell keresnie, legyen az kormányzati vagy civil oldalról. Már elindultak olyan nonprofit kezdeményezések, önkéntes platformok, ahol szakemberek segítenek a kis vagy vidéki szolgáltatóknak kibervédelmet fejleszteni.
Kivonat: válság vagy esély?
Minden adott ahhoz, hogy az Egyesült Államok kritikus infrastruktúrái célpontjai legyenek egy nagyobb konfliktus, vagy akár zsarolóvírus-hadjárat során. Bár a helyzet válságos, számos gyors, egyszerű és költséghatékony lépés tehető a kockázatok csökkentése érdekében: a kulcs az analóg biztonsági mérnöki megoldások, a helyi szintű felelősségvállalás és az erősebb köz- és magánszféra közötti együttműködés kiépítése. A digitális világunk árnyoldala, hogy időről időre nekünk kell a védelmet megszervezni – most nincs „lovas hadsereg”, csak önsegélyezés, összefogás és tanulás.
