Berta Sándor
A cégek még mindig nem veszik komolyan a kiberbiztonságot
Jobban ellenőrizné, de nem tiltaná be a virtuális pénzeket az Europol vezetője.
"A pénzügyi szektort egyre erősebben érintik a kibertámadások és úgy tűnik, hogy az ágazat a szervezett kiberbűnözés kiemelt célpontjává válik. Az idén több nagyon különleges és hosszasan megtervezett akciót fedeztek fel, amelyek belső banki hálózatok ellen irányultak. Az egyik esetben a támadók több mint négy hónap alatt a legérzékenyebb és a legjobban biztosított belső banki rendszerekig jutottak el. Egy ilyen támadás gyakran egy egyszerű e-maillel kezdődik, amelyet a személyzeti vagy a PR-részlegnek küldenek el. Ez a levelek tartalmaznak egy kártevőt. Ezután az elkövetők megfigyelik a dolgokat és megtervezik a következő lépéseiket, akár a rendszergazda számítógépét vagy a bankautomaták hálózatát is feltörik" - jelentette ki Rob Wainwright, az Europol első embere.
A szervezet vezetője hozzátette, hogy tartja magát az általa korábban mondottakhoz, miszerint a májusi WannaCry ügy minden idők legnagyobb kibertámadása volt, hiszen a zsarolóvírus több mint 150 országban több százezer számítógépet fertőzött meg. Ez a szoftver reprezentálja a zsarolóvírusok egy új, veszélyes továbbfejlesztését, amely már önállóan terjedt el. Mindez megmutatja, hogy a tettesek mennyire gyorsan reagálnak, az innovációs rátájuk pedig elképesztő.
"Az eset megmutatta azt is, hogy a vállalatok és a közintézmények még a kiberbiztonság alapvető szabványait sem tartják be teljesen. Az új, kifinomult és nagy erőfeszítésekkel személyre szabott támadási módszerek ellen még a saját biztonsági részleggel rendelkező multinacionális óriáscégeknek is alig van esélyük. De sok esetben már a legegyszerűbb intézkedések is segítettek, például ha rendszeresen telepítették az elérhető frissítéseket. Mindegyik vállalatnak számolnia kell ilyen támadásokkal és fel kell készülnie arra a napra, amikor egy ilyen akció bekövetkezik. Ebben a kérdésben változnia kell a hozzáállásnak és várhatóan változni is fog."
"Még mindig gyakori, hogy a támadásokat és adateltűnéseket megpróbálják a szőnyeg alá söpörni. Szerencsére hamarosan hatályba lép az Európai Unió adatvédelmi irányelve, amely kötelezi a vállalkozásokat az ilyen akciók jelentésére. Amelyik piaci szereplő ezt elmulasztja, az komoly büntetést kaphat, amelynek összege akár a teljes éves bevétel 4 százalékát is kiteheti. Ez lehet, hogy nem tetszik majd az egyik vagy másik cégvezetőnek, de tanulni fognak az esetekből és jobban reagálnak majd azokra. Az Amerikai Egyesült Államok lehet a viszonyítási alap, ott már létezik a jelentési kötelezettség és négyszer-ötször magasabb a jelentett kiberakciók száma" - jegyezte meg az Rob Wainwright.
Az Europol első embere ezután kitért a virtuális pénzekre. Véleménye szerint a bitcoinnal való visszaélések szárnyakat adnak az online bűnözésnek és elsősorban a zsarolóvírusos támadásoknak. A virtuális fizetőeszközöknek köszönhetően a bűnözők először tudnak elegánsan, névtelenül és minden fizikai kapcsolat nélkül hozzájutni a kizsarolt összegekhez. A nem szabályozott pénzügyi piac e pénzek tisztára mosásához is ideális. A politikának ez ellen sürgősen tennie kell valamit.
Rob Wainwright nem a virtuális fizetőeszközök betiltását szeretné, de az elmúlt években keményen dolgoztak azon, hogy a bankokat arra kényszerítsék, hogy pontosabban nézzék meg az ügyfeleiket, mert így lehetett a terrorszervezetek finanszírozásának és a pénzmosásnak a nyomára jutni. Vannak olyan szabályok, amelyeket a pénzügyi szektornak be kell tartania. Az nem működik, hogy emellett létezzen a bitcoinnal és a többi virtuális pénzzel egy olyan nagy szürke terület, amely egyszerűen kivonja magát az ellenőrzések alól. Olyan szabályokra van szükség, amelyek követhetővé teszik a virtuális fizetőeszközökkel való visszaéléseket.
A szervezet vezetője hangsúlyozta, hogy alapvetően nincs a titkosítás ellen, mert anélkül nem létezne megbízható online kereskedelem sem. De minden nyomozó számára frusztráló és érthetetlen, hogy amíg a telefonbeszélgetések lehallgatására van egy demokratikusan legitimált és jogilag szabályozott eljárás, addig ugyanez a megoldás például a WhatsApp esetében használhatatlan. Hiába kapnak bírói engedélyt egy WhatsApp-beszélgetés lehallgatására, a titkosítás miatt nem tudnak mit tenni. Éppen ezért sürgősen szükségük van egy olyan lehetőségre, amellyel célzottan belehallgathatnak bizonyos kommunikációs csatornákba, még akkor is, ha azok titkosítottak. Minderre természetesen szigorú jogi felügyelet mellett kerülne sor. A fenyegetettségi helyzet miatt egyébként nincsen más választás, mint digitálisan felvértezni a biztonságunkat garantáló hivatalokat.
"Az európai rendőrségek jobbak lettek, ez részben az erősödő nemzetközi együttműködésnek is köszönhető. De sok még a tennivaló, például a hivatalok és az IT-cégek közös nyomozóegységeket hozhatnának létre. Mindkét oldalról a legjobb szakemberek kerülnének be ezekbe a csapatokba. Fokozni kell az adatelemzéseket és erősíteni a digitális kriminalisztikát. Az adatok jelentik a kulcsot és a legfontosabb nyersanyagokat nem csupán az Amazon és a Google számára, hanem a digitális bűnüldözésben is" - szögezte le végül Rob Wainwright.
"A pénzügyi szektort egyre erősebben érintik a kibertámadások és úgy tűnik, hogy az ágazat a szervezett kiberbűnözés kiemelt célpontjává válik. Az idén több nagyon különleges és hosszasan megtervezett akciót fedeztek fel, amelyek belső banki hálózatok ellen irányultak. Az egyik esetben a támadók több mint négy hónap alatt a legérzékenyebb és a legjobban biztosított belső banki rendszerekig jutottak el. Egy ilyen támadás gyakran egy egyszerű e-maillel kezdődik, amelyet a személyzeti vagy a PR-részlegnek küldenek el. Ez a levelek tartalmaznak egy kártevőt. Ezután az elkövetők megfigyelik a dolgokat és megtervezik a következő lépéseiket, akár a rendszergazda számítógépét vagy a bankautomaták hálózatát is feltörik" - jelentette ki Rob Wainwright, az Europol első embere.
A szervezet vezetője hozzátette, hogy tartja magát az általa korábban mondottakhoz, miszerint a májusi WannaCry ügy minden idők legnagyobb kibertámadása volt, hiszen a zsarolóvírus több mint 150 országban több százezer számítógépet fertőzött meg. Ez a szoftver reprezentálja a zsarolóvírusok egy új, veszélyes továbbfejlesztését, amely már önállóan terjedt el. Mindez megmutatja, hogy a tettesek mennyire gyorsan reagálnak, az innovációs rátájuk pedig elképesztő.
"Az eset megmutatta azt is, hogy a vállalatok és a közintézmények még a kiberbiztonság alapvető szabványait sem tartják be teljesen. Az új, kifinomult és nagy erőfeszítésekkel személyre szabott támadási módszerek ellen még a saját biztonsági részleggel rendelkező multinacionális óriáscégeknek is alig van esélyük. De sok esetben már a legegyszerűbb intézkedések is segítettek, például ha rendszeresen telepítették az elérhető frissítéseket. Mindegyik vállalatnak számolnia kell ilyen támadásokkal és fel kell készülnie arra a napra, amikor egy ilyen akció bekövetkezik. Ebben a kérdésben változnia kell a hozzáállásnak és várhatóan változni is fog."
"Még mindig gyakori, hogy a támadásokat és adateltűnéseket megpróbálják a szőnyeg alá söpörni. Szerencsére hamarosan hatályba lép az Európai Unió adatvédelmi irányelve, amely kötelezi a vállalkozásokat az ilyen akciók jelentésére. Amelyik piaci szereplő ezt elmulasztja, az komoly büntetést kaphat, amelynek összege akár a teljes éves bevétel 4 százalékát is kiteheti. Ez lehet, hogy nem tetszik majd az egyik vagy másik cégvezetőnek, de tanulni fognak az esetekből és jobban reagálnak majd azokra. Az Amerikai Egyesült Államok lehet a viszonyítási alap, ott már létezik a jelentési kötelezettség és négyszer-ötször magasabb a jelentett kiberakciók száma" - jegyezte meg az Rob Wainwright.
Az Europol első embere ezután kitért a virtuális pénzekre. Véleménye szerint a bitcoinnal való visszaélések szárnyakat adnak az online bűnözésnek és elsősorban a zsarolóvírusos támadásoknak. A virtuális fizetőeszközöknek köszönhetően a bűnözők először tudnak elegánsan, névtelenül és minden fizikai kapcsolat nélkül hozzájutni a kizsarolt összegekhez. A nem szabályozott pénzügyi piac e pénzek tisztára mosásához is ideális. A politikának ez ellen sürgősen tennie kell valamit.
Rob Wainwright nem a virtuális fizetőeszközök betiltását szeretné, de az elmúlt években keményen dolgoztak azon, hogy a bankokat arra kényszerítsék, hogy pontosabban nézzék meg az ügyfeleiket, mert így lehetett a terrorszervezetek finanszírozásának és a pénzmosásnak a nyomára jutni. Vannak olyan szabályok, amelyeket a pénzügyi szektornak be kell tartania. Az nem működik, hogy emellett létezzen a bitcoinnal és a többi virtuális pénzzel egy olyan nagy szürke terület, amely egyszerűen kivonja magát az ellenőrzések alól. Olyan szabályokra van szükség, amelyek követhetővé teszik a virtuális fizetőeszközökkel való visszaéléseket.
A szervezet vezetője hangsúlyozta, hogy alapvetően nincs a titkosítás ellen, mert anélkül nem létezne megbízható online kereskedelem sem. De minden nyomozó számára frusztráló és érthetetlen, hogy amíg a telefonbeszélgetések lehallgatására van egy demokratikusan legitimált és jogilag szabályozott eljárás, addig ugyanez a megoldás például a WhatsApp esetében használhatatlan. Hiába kapnak bírói engedélyt egy WhatsApp-beszélgetés lehallgatására, a titkosítás miatt nem tudnak mit tenni. Éppen ezért sürgősen szükségük van egy olyan lehetőségre, amellyel célzottan belehallgathatnak bizonyos kommunikációs csatornákba, még akkor is, ha azok titkosítottak. Minderre természetesen szigorú jogi felügyelet mellett kerülne sor. A fenyegetettségi helyzet miatt egyébként nincsen más választás, mint digitálisan felvértezni a biztonságunkat garantáló hivatalokat.
"Az európai rendőrségek jobbak lettek, ez részben az erősödő nemzetközi együttműködésnek is köszönhető. De sok még a tennivaló, például a hivatalok és az IT-cégek közös nyomozóegységeket hozhatnának létre. Mindkét oldalról a legjobb szakemberek kerülnének be ezekbe a csapatokba. Fokozni kell az adatelemzéseket és erősíteni a digitális kriminalisztikát. Az adatok jelentik a kulcsot és a legfontosabb nyersanyagokat nem csupán az Amazon és a Google számára, hanem a digitális bűnüldözésben is" - szögezte le végül Rob Wainwright.