Az előttünk álló évtizedben az államilag szponzorált kiberkémek és az anyagilag motivált kiberbűnözők is egyre nagyobb intenzitással fogják támadni a kormányzati és gazdasági szervezetek, pénzügyi szolgáltatók és közművállalatok, valamint a lakosság kommunikációs hálózatait és számítógépes rendszereit, figyelmeztet a szakértők többsége, akiket a Pew Research Center kérdezett a kiberbiztonság kilátásairól.

Sokan közülük azonban a védelmet adó technológiai megoldások fejlődésére, néhányan pedig arra is felhívják a figyelmet, hogy a kiberfegyvereiket próbálgató hatalmak a kölcsönös elrettentés elvén a hidegháborús időket idéző egyensúlyt teremtenek a hadviselés legújabb frontján, ezért a veszély nem olyan nagy, mint amekkorának azt egyesek – nyilván üzleti érdekből – előszeretettel láttatják.

A Pew Research Center az Egyesült Államok és a világ jövőjét formáló trendeket és nézeteket kutatja számos területen felmérések, médiatartalom-elemzés útján, valamint a társadalomtudományok terén alkalmazott, egyéb módszerekkel. Itt idézett tanulmánya (Digital Life in 2025: Cyber Attacks Likely to Increase) egy sorozat részeként készült, amellyel a központ tavaly a világháló feltalálásának 25. évfordulóját ünnepelte.

Az észak-karolinai Elon Egyetem internetkutató központjával karöltve a Pew Research Center több ezer szakembert – az internet fejlődésében aktívan közreműködő fejlesztőt, kutatót, cégvezetőt, törvényalkotót és elemzőt – kérdezett arról, hogy véleménye szerint 2025-ig bekövetkezhet-e olyan kibertámadás, amely súlyos emberáldozatot követelve vagy több tíz milliárd dolláros anyagi kárt okozva aláássa valamely nemzet biztonságát és önvédelmi képességét.

Nem hagyományos értelemben vett felmérés készült, a válaszadóknak maguknak kellett kifejteniük, miért tartanak valószínűnek, vagy esélytelennek egy ilyen kibercsapást a következő tíz évben. Végül 1642 szakember ezt meg is tette: 61 százalékuk szerint a kiberháborúzás ilyen pusztító méreteket ölthet 2025-ig, 39 százalékuk viszont nem tart ettől.

Digitális harcmezők

Az internet a gazdaság és általában a társadalom működésének szerves részévé vált, ami nemcsak előnyökkel, hanem kockázatokkal is jár: a vállalatok, a kormányzatok és a magánszemélyek is mind gyakrabban válnak kibertámdások célpontjává. A Pew Research Center és az Elon Egyetem internetkutató központja 2004-ben készítette első felmérését a nemzetbiztonsági szintű veszélyt hordozó internetes fenyegetések megítéléséről, és az azóta eltelt, több mint tíz évben elég sok minden történt ezen a fronton.

2005-ben hozták nyilvánosságra az amerikaiak, hogy a Titáneső néven ismert, éveken át tartó támadássorozat, amely az Egyesült Államok védelmi minisztériumának beszállítóit, közöttük a NASA, a Lockheed Martin és a Sandia National Laboratories rendszereit célozta, feltehetően Kínából ered, de ezt egyértelműen bizonyítani akkor nem tudták.

Célkeresztben a közművek és a hálózatok

Nemzetközi téren az Észtország infrastruktúráját 2007-től ért kibertámadások hívták fel a figyelmet a hálózatbiztonság és a modern hadviselés közötti, szoros összefüggésre. Az észt parlament, számos minisztérium, bank és médiavállalat weboldalát lebénító, DDoS (elosztott szolgáltatásmegtagadás) típusú támadások miatt Oroszországra terelődött a gyanú. Bár az állami szponzoráció ezúttal sem nyert bizonyítást, egy évvel később letartóztattak és elítéltek egy orosz nemzetiségű észt állampolgárt, a NATO pedig kibervédelmi szakértői központot (Cooperative Cyber Defence Centre of Excellence) nyitott Tallinban.

Ugyancsak 2008-ban hasonló támadások érték Grúzia hivatalos weboldalait is a katonai konfliktusok idején, amelyek hónapokkal később az orosz megszálláshoz vezettek. Ekkor történt robbanás a Baku-Tbiliszi-Ceyhan olajvezetéken is, amelyről közvetett bizonyítékok alapján feltételezik, hogy az irányító- és biztonsági rendszerek ellen indított, szofisztikált kibertámadással idézték elő a detonációba torkolló nyomásnövekedést.

A következő két évben pedig már arról szóltak a szalagcímek, hogy az iráni atomprogramban urándúsításra használt centrifugákat egy soha nem látott technológiai színvonalon megvalósított kiberfegyver, a Stuxnet számítógépes féreg tette működésképtelenné, amelyet – ismét csak meg nem nevezett forrásokból származó információk, szakértői vélemények és feltételezések alapján – az Egyesült Államok és Izrael fejlesztett ki.

Folytathatjuk a felsorolást a Pew Research Center és az Elon Egyetem második felmérésének közzététele óta bekövetkezett incidensekkel is. A nyár elején az Egyesült Államok hadseregének személyzeti osztályát érte hackertámadás, melynek során az állomány több millió tagjának – közöttük titkosügynökök – adatai kerültek illetéktelen kezekbe. Vélhetően ehhez a támadáshoz is egy másik állam által szponzorált hackercsoportra lehetett szükség, mint ahogyan az iráni atomtárgyalások résztvevőire kémkedő és a Kaspersky Lab informatikai biztonsági cég rendszereibe is beférkőző Duqu 2 számítógépes féreg is minden bizonnyal állami megbízásból lendült akcióba.

Novemberben, a párizsi merényletsorozat után az Anonymous hackercsoport kiberháborút hirdetett az Iszlám Állam ellen, és útmutatókat tett közzé, amelyekben leírja, miként törhetők fel a terrorista szervezet weboldalai, valamint a közösségi hálókon létrehozott fiókjai. Miközben e sorokat írom, az Associated Press arról számol be, hogy az elmúlt tíz évben külünböző államok támogatásával működő hackercsoportok mintegy 12 alkalommal szereztek magas szintű hozzáférést az Egyesült Államok energiaelosztó hálózatát irányító (SCADA) rendszerekhez, a Wall Street Journal pedig arról cikkez, hogy iráni hackerek 2013-ban feltörték egy New Yorkhoz közeli víztározó gátjának számítógépes környezetét.

Kényes egyensúly

Korántsem teljes a lista, de a fenyegetés néhány példából ítélve már jelenleg is elég intenzívnek tűnik. A Pew Research Center és az Elon Egyetem által megkérdezett szakértők is egyetértettek abban, hogy az internet – elterjedtsége és jelentősége folytán – egyre nagyobb és újabb veszélyeknek teszi ki a lakosságot, a vállalatokat és a kormányzatokat egyaránt. A vélemények csak abban tértek el, hogy ezek a fenyegetések milyen károkat okozhatnak a következő tíz évben.

Joel Brenner, az Egyesült Államok lehallgatási botrányairól elhíresült nemzetbiztonsági hivatala, az NSA volt tanácsadója például kifejtette, az internetet alapvetően nem azért építettük, hogy biztonságos legyen, mára mégis rá alapozzuk a  gazdasági és a kormányzati szektor működését éppúgy, mint a kommunikáció egészét. A mindent átható hálózat óriási előrelépést hozott a hatékonyság terén, és rengeteg öröm forrása, de hasonló mértékben sérülékennyé tett mindannyiunkat. Szinte mindennapossá vált, hogy személyes adatok tömegével kerülnek illetéktelen kezekbe, és ijesztő ütemben nő a szellemi tulajdont, valamint a kritikus infrastruktúrát érő támadások száma.

Tavaly nyár elején az Egyesült Államok hadseregének személyzeti osztályát érte hackertámadás

Egyetértett a megkérdezett szakértők többsége abban is, hogy a magánemberek – személyes adataikat és digitális azonosítóikat tartalmazó felhasználói fiókjaik – még kiszolgáltatottabbá válnak a kiberbűnözőkkel szemben, a vállalatok pedig kitartó, fejlett és folyamatos (angol rövidítéssel APT) támadások célkeresztjébe kerülnek. Sok válaszadó szerint a közműhálózatok, a társadalmak működése szempontjából kulcsfontosságú infrastruktúrák jelenleg a legsérülékenyebbek is egyben, mivel tervezésük és kiépítésük idején még egyáltalán nem kellett olyan kibertámadásokkal számolni, amilyenek ma fenyegetik őket. A következő években az adatlopások olyan, eddig nem látott méreteket fognak ölteni sok szakértő szerint, hogy előbb-utóbb zavarokat idéznek elő a gazdasági életben.

Megoszlanak ugyanakkor a vélemények azt illetően, hogy nemzetbiztonsági szinten a kibertámadások milyen mértékű kárt vagy zavart okozhatnak. Sok szakértő rámutatott, hogy – amint azt a cikkünkben idézett példák is illusztrálják – az  állami szponzoráció mellett működő hackercsoportok bevetésétől, legyen szó kiberkémkedésről vagy kibercsapásokról, a kormányok eddig sem idegenkedtek.

A gyakorlat, legalábbis az eddigiekben, mégsem vezetett nyílt konfliktushoz, sokkal inkább egyfajta kényes egyensúlyt, a hidegháborút idéző állapotot teremtett, amelyben a versengő felek a kölcsönös elrettentés módszerével tartják féken egymást. Várható ugyanakkor a továbbiakban, hogy a kiberfegyverkezési verseny a mostaninál nagyobb lendületet vesz, ahogyan a nemzetállamok mellett más szervezetek és magánszemélyek is mind kifinomultabb eszközökkel és módszerekkel próbálják megkerülni a biztonsági intézkedéseket.

Egyes szakértők szerint a politikai status quo ellenzői a világ számos térségében kibertámadások útján is igyekeznek majd megingatni a hatalmon lévő kormányokat, bejáratott intézményrendszereket. Dave Kissoondoyal, a KMP Global vezérigazgatója úgy fogalmazott, nem hinné, hogy 2025-ig bekövetkezhet olyan kibertámadás, amely súlyos emberáldozatot követelve vagy több tíz milliárd dolláros anyagi kárt okozva aláássa valamely nemzet biztonságát és önvédelmi képességét, de ennek kockázatával számolnunk kell. Tíz év távlatában ugyanis széles körben elterjed a kiberterrorizmus, ezért a nemzetállamoknak sokat kell majd költeniük kiberbiztonsági megoldásokra.

Szemlélet és szabályozás kérdése

Rámutattak egyes szakértők arra is, hogy az internet további terjeszkedése a meglévő sérülékenységeket megsokszorozza, és újabb biztonsági réseket nyit. A dolgok internete (angolul Internet of Things, IoT) a szemünk előtt bontakozik ki, piacelemzői előrejelzések szerint 2020-ra a számítógépeken és okostelefonokon felül már több mint 24 milliárd szenzor és más, az állapotáról adatokat továbbító dolog csatlakozik majd rá a világon mindenütt, a családi otthonokban éppúgy, mint az irodaházakban, ipari létesítményekben, a járművekben és a közlekedési infrastruktúrában. Más szóval a közeljövőben a kibertámadások nemcsak a digitális, hanem a fizikai valóságra is közvetlenül kihatással lesznek.

Akadt olyan válaszadó is, aki felvetette a kérdést, hogy a kibertámadásokról szóló vitákban rendre felbukkanó katasztrófa-forgatókönyvek eltúlozzák a veszélyt, vagy sem. Komoly problémákkal nézünk szembe, ehhez nem fér kétség, de az már kevésbé világos, hogy egyes hangadók – mint például az IT-biztonsági cégek – a tényleges problémákra és megoldásokra összpontosítanak, vagy saját üzleti érdekeik is befolyásolják érvelésüket.

Az internet további terjeszkedése a meglévő sérülékenységeket megsokszorozza, és újabb biztonsági réseket nyit

A kaliforniai Stanford Egyetemről a hetvenes években levált, független és non-profit kutatóintézet, az SRI International vezető számítógéptudósa, Jeremy Epstein azonban komoly aggodalmának adott hangot. Dollármilliárdokban mérhető károkat okoznak majd a kibertámadások a gyártóipar és a közműszolgáltatások területén, de ezek a veszteségek nem egycsapásra, hanem kisebb incidensek nyomán következnek be, ezért a szervezetek elfogadják őket, mint újabb költségtételt, amelyet a kormánytól kért újjáépítési és környezet-rehabilitációs támogatás formájában áthárítanak az adófizetőkre. A gazdasági szereplőket így semmi sem ösztönzi majd arra, hogy megvédjék magukat.

A kormányokat pedig a politikai pártok egymásnak feszülése és a bürokrácia tehetetlenségi ereje akadályozza abban, hogy megvédjék magukat, még akkor is, ha egyébként tudnák, hogy ehhez mit kellene tenniük. Epstein szerint a Pew Research Center kérdésében felvetett probléma ezért elsősorban nem technológiai jellegű – bár ezen a téren is mindig lesz hová fejlődni –, azt a szabályozás, a politikai akaraterő és a gazdasági motiváció hiánya súlyosbítja.