Kiberbiztonsági gyakorlat az Invitech aktív szerepvállalásával

Az akció keretében egy kitalált és szimulált incidens-sorozatot kellett elhárítani

Június elején Cyber Europe 2018 néven 30 országot érintő két napos gyakorlatot szervezett az ENISA, az EU kibervédelmi ügynöksége. Ennek történetét úgy tervezték meg, hogy az a krízis minden lehetséges szintjét elérje, így szervezeti, helyi, nemzeti és európai szintet is érintett. Az Invitech sikerrel vette az akadályt, sőt aktív kezdeményezésével nagyban hozzájárult az eredményes hazai szerepléshez.

Ahogy egy korábbi posztunkban is megírtuk, az IT biztonság folyamatos harckészültséget kíván, és a professzionális védekezés egyre inkább egy folyamatosan vívott háborúhoz hasonlít. Az IT rendszerek védelme ma már nem csak a személyes és vállalati adatok biztonsága miatt fontos, hanem azért is, mert a digitalizáció következtében számos kritikus infrastruktúra is támadhatóvá vált. Kiberbűnözők átmenetileg akár egy város vagy egy ország működése szempontjából létfontosságú szolgáltatásokat is megbéníthatnak.

Egy ilyen krízishelyzettel sokkal szerencsésebb egy szimuláció formájában találkozni, mintsem a való életben – ez motiválta az ENISA kiberbiztonsági gyakorlatát. Idén immár az ötödik alkalommal került sor ilyen akcióra, az európai ügynökség már 2010, 2012, 2014 és 2016 során is rendezett hasonlót. Az Invitech eddig két nemzetközi és egy nemzeti gyakorlaton állt hely eddig.

Szimulált vészhelyzet

Az ENISA Athénból irányította az eseményeket, a résztvevő játékosok pedig a saját munkahelyükről „játszottak”dolgoztak.  Az Invitech saját „főhadiszállását” a DC-10-es adatközpontnak és a társaság biztonsági műveleti központjának (SOC) is helyet adó létesítményében állította fel, hiszen a valóságban is itt összpontosul a társaság műszaki infrastruktúrájának és szakértőgárdájának jelentős része.

Az athéni központ Kiber Gyakorlati Platformja (CEP) egyfajta szimulált világot, pontosabban integrált környezetet biztosított, beleértve az incidensekre vonatkozó adatokat, virtuális profi hírportálokat, a közösségi média csatornáit, vállalati weboldalakat és biztonsággal foglalkozó blogokat.

A kerettörténetet a való élet inspirálta. A forgatókönyv egyaránt tartalmazott technikai és nem technikai incidenseket, amelyek megoldásához hálózati, malware elemzés, forensic és sztegonográfiai és incides kezelő képesség szükségeltetett.

A játékban 30 országból mintegy 300 szervezet vett részt, több mint 900 kiberbiztonsági szakember bevetésével. Hazánkat számos államigazgatási szereplő mellett az Invitech, a Telekom és a Telenor képviselte távközlési szolgáltatóként. Az akció során több mint 23 ezer incidensre, illetve támadásra (úgynevezett „inject”-re) került sor.

Egy átlagosnak induló nap a reptéren

A szimulált esemény egy egész Európára kiterjedő, elsősorban a légiközlekedést érintő támadás-sorozatról szólt, ennek behatárolása és kezelése volt a fő feladat. Minden játékos a valóságos szerepkörének megfelelő módon kellett, hogy reagáljon, szigorú eljárásrend szerint.

A nehéz nap azzal kezdődött, hogy a  reptéri automatikus bejelentkező terminálok váratlanul rendszerhibát jeleztek, majd az okostelefonok utazási applikációi álltak le, és a személyzet sem tudta használni számítógépeit a bejelentkező pultoknál. Mindezek következtében az utasok nem tudták feladni a csomagjaikat, valamint a biztonsági ellenőrzésen sem tudtak átjutni. Rövid időn belül mindenhol hatalmas sorok alakultak ki. Az utasok csak annyit tudtak, hogy az összes járatot törölték, továbbá ismeretlen okokból a poggyász kiadás sem működik, és a járatok több mint a felének a földön kell maradnia.

Az első jelentések szerint egy radikális csoport digitális és hibrid támadások alkalmazásával átvette az irányítást a kritikus reptéri rendszerek felett. A terrorcsoport magára vállalta a felelősséget, és akciójával a saját propagandájára, ideológiájára kívánja felhívni a világ figyelmét.

Sikerült helyt állni

Kemendi Zsolt, az Invitech műszaki főigazgatója szerint az Invitech rendkívül komolyan vette a részvételt, hiszen szolgáltatásainak is nagyon fontos eleme a biztonság, ráadásul jelentős ügyfélkörrel rendelkezik a légiközlekedési szektor szereplőinél, beszállítóinál. A főigazgató úgy véli, sokat lehet tanulni egy ilyen gyakorlatból, amit aztán tapasztalatként, éles helyzetben mind az ügyfelek javára lehet fordítani.

Kemendi Zsolt elmondta: az Invitech a gyakorlat során számos technikai incidenst és sajtómegkeresést is kezelt, nemzeti és nemzetközi szinten egyaránt. A mintegy tucatnyi szakértőből álló Invitech-csapatnak több technikai kihívással sikerült megbirkózni és a cég folyamatai szerint kezelni, továbbá riportolni a fő szervező ENISA felé. A kétnapos gyakorlat során szimulált sajtómegkereséseket is kezelni kellett, amelyekre az érintett többi játékossal egyeztetve időben reagált a cég, emellett még egy összegző, értékelő közleményt is kiadtunk az Invitech intézkedéseiről. A főigazgató megítélése szerint az Invitech-csapat mindvégig kiváló együttműködésben, magas színvonalon dolgozott, ami nagyban segítette, hogy Virág Zsolt, az Invitech-team vezetője a koordináció rendkívül összetett feladatát zökkenőmentesen láthatta el házon belül, illetve a többi szereplő, és a játék szervezői felé egyaránt.

Fórum a nemzeti koordinációra

A kétnapos nemzetközi gyakorlatot a hazai szereplők a Nemzeti Kibervédelmi Intézet koordinálásában értékelték ki.  Ennek keretében a szervezők és a hazai játékosok is pozitív visszajelzésekkel szolgáltak az Invitech által kezdeményezett online fórumról, mely megítélésük szerint nagyban hozzájárult a magyar résztvevők sikeres szerepléséhez.

Az Invitech a korábbi gyakorlat tanulságai alapján egy olyan online fórum létrehozását és működtetését javasolta, ami lehetővé teszi, hogy a résztvevők egyeztessék álláspontjaikat a beérkező támadások és incidensek előzetes felmérése és értékelése kapcsán, továbbá kikérjék egymás véleményét, illetve a szabályok keretei között egyeztessék tervezett intézkedéseiket.

A „nemzeti chat”-nek elkeresztelt platform a gyakorlat közben bebizonyította létjogosultságát: elsősorban a sajtókommunikáció előzetes összehangolásában jelentett komoly segítséget a résztvevő játékosoknak. Az akció ebből a szempontból is hűen szimulálta a valóságot, ahol hasonló szituációkban szintén rendszeres az érintettek lépéseinek informális összehangolása.

Szabályozás is erősíti a védelmet

Nem kapott olyan nagy visszhangot, mint a GDPR, pedig szintén 2016-ban fogadták el, és 2018 májusától érvényes a NIS, vagyis a hálózati és információs rendszerek biztonságáról szóló európai irányelv.

Ez egyrészt a digitális szolgáltatók, másrészt a kritikus infrastruktúra védelmét tereli jogi keretek közé, vagyis éppen a kiberbiztonsági gyakorlatban is szimulált incidensek elleni védekezést erősíti. A NIS menetrendje szerint 2018 novemberéig kell meghatározni, mely szolgáltatók tartoznak a törvény által érintett kritikus körbe.