A SECTOR16 (feltehetőleg) orosz hacktivista aktorcsoport meg van elégedve a magyar szakemberek reagálásával. Legalábbis így lehet értelmezni a ma megjelent üzenetüket.

A csoport szemlézte a hazai sajtómegjelenéseket és ezekről össze is gyűjtött egy csokorravalót. De nem csak a sajtó, hanem az NKI figyelmeztetése is olvasható a gyűjteményben, amely a ma délelőtti posztjukban jelent meg.

A csoport úgy tűnik hogy meg van elégedve a hazai szakemberek és a szakma reakciójával, mivel a gyűjtemény alatt a következő szöveg olvasható:

Megfigyeltük, hogy a magyar kormány pozitívan reagált az akciónkra. Ez fontos volt számunkra!

Ez az akció egyszeri jellegű volt, de lehetőséget adott arra, hogy megmutassuk az erőnket. Szerettük volna megmutatni, hogy képesek vagyunk megszervezni magunkat, és követeléseinket építő jelleggel kifejezni.

És akkor ők még nem is láttak bele igazán (legalábbis nagyon remélem!) az elmúlt napokban – a háttérben – lezajlott tevékenységekbe és a szakma háttércsatornáin folyó kommunikációkba, amelyeket nyugodtan nevezhetek zaklatottnak.

Miért vagyunk zaklatottak?

Azért, mert évek óta erről beszéltünk.

Évek óta jövünk a különféle támadásokkal, impaktokkal, kockázatokkal, félelmekkel.

Tudtuk, hogy lesz ilyen, tudtuk, hogy meg fog történni az, hogy hazai példák is megjelennek az OT kiberincidensek között.

Olyanok voltunk, mint az egyszeri ember, aki pletykálva, kissé elborzadva – de a fenyegetést nem magára véve – figyeli, ahogy a kerületben, városban egyre több házba vagy lakásba törnek be. Sajnáltuk az áldozatokat persze, de igazából nem vettük magunkra a történteket, hiszen nem velünk, vagy ismerőseinkkel, szeretteinkkel történtek.

Híradót néztünk, tele szomorú eseményekkel, katasztrófákkal, halállal – de aztán lekapcsoltuk a TV-t, fogat mostunk és lefeküdtünk aludni, elalvás előtt pedig arra gondoltunk, hogy mivel kellene reggel bepácolni a tarját, lesz-e dugó a bevásárlóközpont felé menet, vagy hogy melyik celeb fogát verik ki majd a másnapi Sztárboxban.

Azt gondolom, ennek a magatartásnak itt és most vége kell hogy legyen.

Nem tudom, hogy a SECTOR16 folytatni fogja-e a tevékenységét a hazai rendszerekkel kapcsolatban – a poszt alapján ez talán csak tényleg figyelmeztető üzenet volt. Azt nem kétlem, hogy ha nem is ők, de mások folytatni fogják – mert megtehetik, érdemes és hagyjuk, hogy megtegyék.

Nagyon remélem, hogy a SECTOR16 üzenete tényleg célba ért. Ha nem, a folytatás nem ilyen lesz, hanem sokkal, de sokkal rosszabb.

Mert megtehetik, érdemes és hagyjuk, hogy megtegyék.

Hogyan tovább?

Az iparnak, a gyártásnak és termelésnek, az egészségügynek és minden egyéb OT környezetnek (beleértve a kritikus infrastruktúrát) tempót kell váltania.

A vezetőknek meg kell érteniük, hogy azok a kérdések, hogy „de hát miért támadnának meg bennünket?”, „ugyan, mi kicsik vagyunk, miért velünk foglalkoznának?” nem csak idejét múltak, hanem kifejezetten károsak.

Bárki, bármikor célponttá válik – ha hagyja. Ha nem tesz ellene. Ha nem készül fel.

A hazai törvényi oldal implementálta (így-úgy) az EU rendeleteit, de ha a hazai szervezetek ezt nem veszik komolyan és alibi felkészülések és alibi auditok történnek – akkor csak magunkra vethetünk.

Nem vagyok híve a félelemkultúrának. Nem tartom jónak, ha a kiberbiztonsági fejlesztéseket és az érettségnövelést a félelem motiválja. Mindegy, hogy az SZTFH-tól és a hatósági bírságtól félünk, vagy a SECTOR16-tól és egyéb aktoroktól. Nem a félelemnek kellene motiválnia a szervezeten belüli kiberbiztonsági fejlődést.

A félelem ugyanis idővel elmúlik.

Nagyon jól lehet látni azoknál a vállalatoknál, akiket kibertámadás ért, hogy a kezdeti sokk után érkező szervezeti (és persze vezetői) félelem idővel elmúlik. Ez egy felejtési görbe mentén jól ábrázolható egyébként, akit érdekel, utána tud nézni a mögöttes pszichológiának. Az incidens követő 3. évnél általában már teherré válik a kiberbiztonság, mert a félelem elmúlt, az emberek – főleg a vezetők – cserélődtek és nem történt újabb támadás.

A félelemfüggő finanszírozás ördögi csapda.

Az incidenst követő sokk és a félelem a szervezetekben jellemzően azt váltja ki, hogy elkezdenek költeni a kiberbiztonságra (sokszor sajnos észnélkül). Megteszik, amit eddig nem tettek, bevezetnek, átalakítanak, erősítenek. Ez persze jó. Csak az a probléma, hogy ha  félelem elmúlik, a pénzfolyó előbb mellékfolyóvá, patakká, vékony érré, aztán végül egy békanyálas vizesárokká silányul.  A kiberbiztonság ugyanis nem egy – vagy több - beruházás. Nem egy UTM tűzfal, vagy egy DLP rendszer.

A kiberbiztonság nem egy – vagy több eszköz, amelyet jól eladnak nekünk, betesszük a hálózatba és készen vagyunk.

A kiberbiztonságot nem lehet termékként megvásárolni. „Security is not a product, but a process” – a kiberbiztonság egy folyamat, amelyet nem csak fejleszteni kell, hanem fenn is kell tudni tartani.

A kiberbiztonság nagyon drága, ennél már csak az drágább, amikor nem foglalkoznak vele. A félelem tehát nem jó, vagy nem elég motiváció. A félelem egy indikátor – de sokkal fontosabb lenne másik indikátorként a saját önös érdekre és a felelősségre tekinteni. Az OT-ban a felelősség sokkal nagyobb, mint az IT-ban, mivel a kiberbiztonsági incidensek üzembiztonsági incidenseket okozhatnak, azok pedig a fizikai világban, emberekben, környezetben és berendezésekben okoznak kárt.

A kiberbiztonság első sorban (bármilyen meglepő is ez) nem technológiai, műszaki kérdés. Sőt, sokkal inkább a fejekben kezdődik, mintsem a szerverszobákban, rackekben, hálózatokban vagy végpontokon.

A kiberbiztonsági folyamat nem a tűzfal megvásárlásával kezdődik, hanem a vezetői gondolkodás megváltoztatásával. Ezt – a NIS2 hazai implementációja nagyon helyesen értelmezte, nem véletlen, hogy a kiberincidensek kapcsán törvényileg a vezető személyében felelősségre vonhatóvá vált (azt most hagyjuk, hogy mennyi esélyét látjuk ennek reálisan, azt kell látni, hogy ez megjelent a törvényben, ott van a lehetőség rá).

A kiberbiztonsági folyamat a vezető elkötelezettségéből kell, hogy fakadjon, mert hiába a gondos és elkötelezett szakember, az semmit nem fog tudni csinálni, ha a vezető nem támogatja pénzzel, erőforrással, stratégiával, ellenőrzéssel, stb).

Konklúzió (?)

Én – bevallom – nagyon megijedtem. Mivel kifejezetten ipari kiberbiztonsággal foglalkozom, pontosan tudom milyen állapotban vannak a hazai OT környezetek (beleértve a kritikus infrastruktúrákat). Tudtam, csak nem sejtettem.

Nagyon reális közelségbe kerültek azok az események, amelyeket eddig a MITRE ICS Attack Framework példáiban láttunk leírva. Megijedtem attól, hogy testközelből kell megtapasztalnom, amit eddig csak a híradóban láttam. Azt tudom, hogy mások is megijedtek. Nagy emberek, nagy cégek, nagy menedzsmentek.

De azért valami más is történt.

A háttérben olyan erők mozdultak meg, amelyeket eddig még soha nem láttam így megmozdulni. Szakmai forródrótok, információmegosztás, segítségek felajánlása, szolgáltatói reagálások, és persze a hatóságok (NKI, kössz mindent!) munkája… Ez ad nekem valamennyi bizakodásra okot, azonban már most előre jelezném, hogy ez a két esemény – tényleg csak figyelmeztetés volt. Nem azt mondom, hogy nem komoly események, mert az OT-ban ezek is nagyon komoly dolgoknak számítanak, még akkor is, ha a SECTOR16 nem avatkozott bele a folyamatokba és nem piszkált el semmit (elvileg).

Remélem, a SECTOR16 üzenete célba ért. Remélem ez az ijedelem nem múlik el nyomtalanul belőlünk – és főleg a vezetőkből. Ha elmúlik – hamarosan újra találkozhatunk orosz (vagy más) „barátainkkal” – de akkor már nem figyelmeztetés lesz, hanem totális KO.

 Mert megtehetik, érdemes és hagyjuk, hogy megtegyék.