Tavaly több mint kétmillió internetes támadási kísérletet detektáltak a HungaroControl IT biztonsági szakértői, akiknek munkájáról Gélák Róberttel, a magyar légi navigációs szolgáltató kibervédelmi és információbiztonsági csoportvezetőjével beszélgettünk.
A légiforgalmi irányító szolgálatoknál miért kerül egyre jobban fókuszba az információbiztonság?
A polgári légi közlekedésre jellemző a nagyon magas szintű kockázatmenedzsment-kultúra, az egész iparágban mára érett folyamatokat alakítottak ki. A magas biztonsági sztenderdek ellenére azonban ma már sajnos polgári légi közlekedés szereplői is a kiberfenyegetések és a kiberterrorizmus célpontjaivá váltak.
Az elmúlt években a hazai, az uniós és a nemzetközi szabályozásban is egyre nagyobb hangsúlyt kap a stratégiai fontosságú infrastruktúrák biztonsága és azok védelme. Egyebek mellett ennek köszönhetően iparági szinten egyre inkább fókuszba kerültek a kiberbiztonsági kezdeményezések.
Amellett, hogy immár jogszabályban előírt kötelezettségünk is, hogy a kiberbiztonsággal foglalkozzunk, a légiforgalmi szolgáltatók és az ATM-iparág (air traffic management – a szerk.) szereplői közösen, nemzetközi szinten is törekednek arra, hogy a speciális, nagyon szűk körben alkalmazott rendszereiket még biztonságosabbá tegyék.
A légiforgalmi irányításban a repülésbiztonság az elsődleges szempont, de a technológiai környezet sajátosságai miatt kimondható, hogy ma már kiberbiztonság nélkül a repülésbiztonság nem vagy csak nagyon korlátozott mértékben biztosítható.
Mi változott az elmúlt években, évtizedekben ezen a területen?
Gélák Róbert kibervédelmi és információbiztonsági csoportvezető, több mint 15 éve foglalkozik információbiztonsággal.
Korábban a T-Systemsnél és elődszervezeteinél IT-biztonsági tanácsadóként szerzett tapasztalatot. A szakember 2013-ban került a HungaroControl Zrt.-hez IT biztonsági szakértőként. Jelenleg a 2017-től önálló csoporttá alakult kibervédelmi területet vezeti.
Az iparágban technológiai szempontból erős kettősség figyelhető meg, mert egyszerre vannak jelen a hosszú életciklusú, úgynevezett legacy-rendszerek és a legkorszerűbb, state-of-the-art technológiák.
Előbbiek lehetnek akár 15 éve telepítettek, amelyek fejlesztésekor a mai kiberbiztonsági fenyegetések még nem is léteztek. Ezért amikor információbiztonságról beszélünk ebben az iparágban, ezt a kevert infrastruktúrát és technológiát kell elsődlegesen figyelembe vennünk.
A másik fontos változás, hogy húsz évvel ezelőtt a légi navigációs szolgálatok elszigetelt, monolitikus ATM-rendszerekkel dolgoztak, amelyek külső kommunikációt nem is nagyon végeztek. Azaz fizikai hozzáférés nélkül a hekkereknek esélyük sem volt a behatolásra, károkozásra.
Ebben azonban változás állt be az ezredfordulón.
A légiforgalmi szolgáltató iparágon belül és a kapcsolódó üzleti funkciók szempontjából is ma már egyre nagyobb az igény arra, hogy a rendszerek kommunikáljanak egymással, adatot szolgáltassanak akár a publikusan elérhető, internetes alkalmazások – például a HungaroControlnál is működő Netbriefing vagy Mydronespace – számára.
Az internet felé nyitott szolgáltatások pedig nagyságrendekkel megnövelik a kitettséget. Ma egy internetre csatlakoztatott bármilyen eszközt gyakorlatilag másodpercenként ér valamilyen támadási kísérlet.
A mindennapokban és az új fejlesztéseknél hogyan lehet e hatalmas kihívásnak megfelelni?
Az új rendszerek bevezetését nagyon komoly tervezési és tesztelési folyamat előzi meg. Az ötlet felmerülésétől kezdve a specifikációs fázison át egészen az élesítésig fontos szerepe van a kibervédelmi csapatnak. A specifikáció során meg kell határoznunk azokat a követelményeket, amelyek teljesülése elengedhetetlen a biztonságos üzemelés érdekében.
A tesztelési fázisban a hekkerek fejével kell gondolkodnunk, tehát eljátsszuk, hogy mi vagyunk a támadók, megpróbáljuk a ma ismert és használt összes eszközzel, illetve módszerrel feltörni a saját rendszerünket, így megbizonyosodva arról, hogy az kellően biztonságos.
A meglévő és élesben futó rendszereket pedig biztonsági szempontból monitorozzuk. Folyamatosan elemezzük azokat a támadási kísérleteket, amelyeket a különböző, például a behatolásdetektáló eszközeink mutatnak a számunkra.
Milyen típusú támadások a jellemzők, és milyen nagyságrendben fordulnak elő?
A támadásokat két fő csoportra osztjuk, az elsőt nevezzük véletlenszerű támadási kísérleteknek, amikor hekkerek, bűnözői csoportok kifejlesztenek vagy vásárolnak egy kiberfegyvert, amit ráeresztenek az internetre. Ennek segítségével pedig bármilyen értékes adathoz vagy hozzáféréshez megpróbálnak eljutni, amelyből hasznot tudnak húzni.
A második kategória az, amikor a támadók előre meghatározott szándékkal, egy konkrét célpontot szemelnek ki vagy egy kitűzött célt akarnak elérni.
Az első kategóriába sorolt kísérletek tömegesnek mondhatók, a másodikból szerencsére kevesebb akad. Utóbbiakat viszont sokkal nehezebb észlelni és védekezni ellenük.
Tavaly a kollégáink több mint kétmillió konkrét támadási kísérletet észleltek és vizsgáltak meg.
Ha bármi ilyesmi történik, akkor a válaszlépések meghatározása a csoportunk koordinációjában történik. Az infrastruktúrát, a védelmi képességeket és a folyamatokat úgy alakítottuk ki, hogy egy esetleges incidens vagy támadási kísérlet esetén az intézkedések minél inkább előre meghatározottak és automatizáltak legyenek. Nagyon ritkán fordul elő olyan eset, amikor ezek mentén egy helyzet nem kezelhető és operatívan közbe kell avatkoznia a csapatunknak.
Mekkora csapat látja el ezt a munkát a HungaroControlnál?
A kibervédelmi és információbiztonsági csoport a HungaroControl technológiai igazgatóságán belül működik. A csapatban négy szakember dolgozik, napi 8 órás munkaidőben, de rugalmas munkarendben.
Szorosan együttműködünk a különböző IT-fejlesztő, infrastruktúra- és hálózatüzemeltető területekkel. Mondhatjuk úgy is, hogy feléjük „kinyújtott karunk” van, segítségükkel tudjuk hatékonyan és viszonylag kis létszámmal elvégezni a feladatainkat.
A funkcióink vertikuma nagyon széles. Csakúgy, mint a légiforgalmi irányításban, itt sincs két egyforma nap. A csapatunk felel a technológiai szintű védelmi eszközök tervezéséért, azok implementálásáért, beleértve például a vírusvédelmet, a végpontvédelmet, a tűzfalakat és a hálózati behatolásjelző eszközöket is.
A HungaroControl ezeken a területeken a legmodernebb technológiákat használja, ma már gépi tanulással, mesterséges intelligenciával támogatott biztonsági eszközök is a fegyvertárunk részét képezik.
Emellett folyamatokat és szabályzatokat alkotunk, valamint a csoportunkhoz tartozik a kollégák információbiztonsági képzése, a vállalaton belüli biztonságtudatossági oktatás és programok szervezése is.
Ahogy sokasodnak a feladatok, bővül a csapat is?
A csoportot a közeljövőben bővíteni szeretnénk, párhuzamosan a folyamatosan növekvő feladatokkal. Egy medior, a technikai feladatokhoz közel álló szakember felvételét tervezzük, aki információbiztonsági területen, nagyvállalati környezetben megszerzett néhány éves tapasztalattal rendelkezik.
A bekerülésnek nem feltétele semmilyen légi közlekedéssel kapcsolatos tudás, csak nagyon erős IT biztonsági tapasztalat szükséges. Előnyt jelent, ha a jelentkező foglalkozott speciális ipari rendszerek biztonságával, akár az energia- vagy a gyártási szektorban.
Természetesen fontos, hogy a leendő kolléga érdeklődjön a légi közlekedés iránt, motivált legyen ennek a speciális területnek a megismerésére. A munkánk folyamatos tanulással jár, támogatjuk a kollégák szakmai fejlődését és előrelépését.
A jelenlegi munkatársaink között is vannak olyanok, akinknek nem volt közük a légi közlekedéshez, amikor idekerültek, de az itt töltött évek alatt szoros kapcsolatba kerültek a repüléssel. Én is itt kedveltem meg ezt, olyannyira, hogy ma már én is hobbipilóta vagyok.
A HungaroControl sportegyesületének repülési szakosztályában két Falke motoros vitorlázógép áll rendelkezésünkre. Erre a típusra megszereztem a szakszolgálati engedélyt, amelyben egy tapasztalt repüléstájékoztató, oktató kollégám segített.
