Franklin projekt: civil hackerek a frontvonalban
A Benjamin Franklinről elnevezett kezdeményezés lényege, hogy tapasztalt informatikusok és MI-szakértők teljesen önkéntesen, térítésmentesen dolgoznak kisvárosi vízközműveknél. Már 350 vállalkozó kedvű résztvevő jelentkezett, ezért kellett időlegesen leállítani a jelentkezést, mert a jelentkezők száma kezelhetetlenné vált. Lényeges hangsúlyozni, hogy ezeknek a szakembereknek a munkája életbevágóan fontos: a legtöbb helyen csak egy általános informatikus dolgozik, kibervédelmi szakember pedig egy sem, az informatikus pedig gyakran egyben az üzemeltetési vezető is.
Szakértői beavatkozás: hogy működik a mentőakció?
A hackerek először az alapvető problémákat küszöbölték ki: megváltoztatták az alapértelmezett jelszavakat, bekapcsolták a kétfaktoros azonosítást, segítettek a hálózatok feltérképezésében, eszközleltárt készítettek, biztonsági vizsgálatokat végeztek. Ennek ellenére sok helyen meg kellett győzniük a döntéshozókat arról, hogy a kisvárosok és falvak rendszerei is célpontok lehetnek. Gyakori ellenérv volt, hogy „kit érdekel egy indiana-i vagy vermonti vízmű?” – de kiderült, hogy kínai és iráni kiberbűnözők még a legkisebb hálózatokat is próbálják feltörni, részben azért, mert ezek gyakran katonai bázisokat vagy fontos kórházakat szolgálnak ki.
Háttér: miért ilyen sérülékenyek a rendszerek?
A közelmúltban kínai kormányzati hackercsoportok – például a Volt Typhoon –, valamint iráni kibercsapatok több amerikai vízrendszert is kompromittáltak, sokszor észrevétlenül. A támadók célja gyakran az, hogy vészhelyzet idején készen álljanak a hálózatok elleni további támadásokra, vagy hogy az eszközöket ugródeszkaként használják más célpontok eléréséhez.
A helyzet súlyosságát fokozza, hogy az amerikai vízhálózatok jelentős része krónikusan alulfinanszírozott, és mivel a lakossági díjemelés rendkívül népszerűtlen, nincs fedezet kibervédelmi fejlesztésekre. Hosszú időn keresztül a támadások kezelését szinte teljes egészében önkéntesek végezték.
Gyorsítás: ezrekhez juthat el a segítség
A DEF CON hackerei több más szervezettel (például National Rural Water Association, Aspen Digital) összefogva úgy döntöttek, villámgyorsan bővítik a projektet. A szponzorok – például a Craig Newmark Philanthropies – hozzájárulása, illetve olyan cégek támogatása, mint a Dragos, lehetővé teszi, hogy a technológia és a szoftverek továbbra is teljesen ingyenesek maradjanak azoknak a víz- és energiaszolgáltatóknak, amelyek éves árbevétele nem haladja meg a kb. 36 milliárd forintot. A cél, hogy rövid idő alatt szabványosított, könnyen bevezethető kiberbiztonsági eszköztárat állítsanak össze, és országos szinten elindíthassák a védelmet.
Már látszik az eredmény
Előfordult, hogy egy vízügyi menedzser felismerte a kifinomult adathalász e-mailt, és csak azért nem kattintott rá, mert korábban épp erről képezték ki az önkéntes szakértők. Ennek alapján megállapítható, hogy már néhány órányi önkéntes segítség is rendkívül sokat jelenthet. Az amúgy minimális erőforrásokkal működő, gyakran eladósodott helyi közművek számára jelenleg vagy az önkéntes hackerek segítenek, vagy teljesen kiszolgáltatottá válnak – más választásuk nincs.
