Na de mit adtak nekünk az amerikaiak? – IVLP Program Beszámoló

IVLP – ’Promote cybersecurity’ projekt beszámoló

2024 őszén lehetőségem volt részt venni egy szakmai programon az Egyesült Államokban. Ez az úgynevezett International Visitor Leadership Program – egy több, mint 60 éves gyakorlat – részeként, a ’Promote cybersecurity’ projektben valósult meg. Összesen 15 európai országból választott ki az USA budapesti nagykövetsége 1-1 szakembert. A 3 hétig tartó úton számos szervezet szakembereivel, vezetőivel találkoztunk, számos hivatali és kulturális programon vettünk részt – miközben a lehető legközelebbről volt alkalmunk követni a választásokat is.
A program célja, hogy az USA-val együttműködésben lévő államok egyes szakterületeinek képviselői megtanulják, megértsék, hogy az adott tevékenység odakint hogyan működik. Azáltal, hogy megismerjük a szervezeteket, azok vezetőit és a módszereket, várhatóan javulni fog az együttműködés és fejlődnek a szakmai, tudományos, gazdasági és kulturális kapcsolatok is.

Négy államban és 5 városban jártunk. A maga módján mindegyik a központja valamilyen szempontól az USA egy-egy államának, körzetének. Mindegyik helyszín esetében a célokat és a levont következtetéseket, megszerzett hasznos ismereteket, kapcsolatokat foglalom össze.
Akit mélyebben érdekel a téma, egy hosszabb cikksorozatban további részleteket is megtudhat, ott igyekszem kapcsolatokat, linkeket is megosztani.

Washington, DC

A fővárosban kezdtük, ahol kettős cél valósult meg: egyrészt bevezettek az ország politikai, jogi és közigazgatási működésébe, másrészt találkoztunk azokkal a szövetségi szervezetekkel, akik a kiberbiztonsági szakmában a legfontosabbak számunkra. Jártunk a Pentagonban (Védelmi minisztérium), a Truman épületben (Külügyminisztérium), illetve találkoztunk a DHS (Department of Homeland Security, a CISA (Cybersecurity and Infrastructure Security Agency), az NIST (National Institute of Standards and Technology) szakértőivel. Ellátogattunk a Georgetown egyetemre és volt egy workshopunk a Nemzeti Védelmi Egyetem professzorával is.

Tanulságok

A szövetségi hatályú törvényhozás az Egyesült Államokban egy nagyon körülményes, nehéz folyamat. Sajnos a legtöbb esetben jelentős hatású törvények nem jutnak végig a két házon, illetve az elnöki és a legfelsőbb bírósági fokokon. Ha megnézzük, hogy az előző elnökök hányszor próbáltak meg például kiberbiztonsággal kapcsolatos jogszabályt sikertelenül elfogadtatni, abból megértjük, hogy ez mennyire nehéz. Emiatt tehát elnöki-, vagy miniszteri rendeletek alapján működnek. Ezek azonban a saját hivatalaik működését határozzák meg, azonban nem csak elvárások, hanem KPI értékek alapján mérik az eredményeket és a hatékonyságot.

Érdekes módon ennek az a következménye, hogy az állami ügynökségek között, valamint a privát szektor szervezetek felé egy célorientált, kooperatív működés alakult ki. Mivel a források a védelmi szervezeteknél európai viszonyokhoz képest jelentősek, és a NIST valamint az egyetemek szinte az egész világot ellátják a legfejlettebb folyamatokkal, módszertannal, tudással, ezért a jól felszerelt ügynökségek valóban a gyakorlati célok elérésére törekszenek. Nyitottak egymás és az ’ügyfelek’ felé, megosztják a tudást és az erőforrásokat.

Fontos kiemelni, hogy a szövetségesek, így Magyarország számára is sokféleképpen igyekeznek segítséget nyújtani. Egyrészt a követségen keresztül, másrészt az FBI, a Külügyminisztérium összekötői és a védelmi minisztérium különböző kiberbiztonsági szervezetei is aktívan támogatják a szövetségeseket a kiberbűnözés elleni harcban, illetve a kibertérben elkövetett állami aktorokkal szemben. Ez a leggyakrabban CTI vagy egyéb információcsere, tudásmegosztás, oktatások, gyakorlatokon való részvétel formájában valósul meg.

Orlando, Florida

Florida az egyik legnépesebb állam, az űrkutatás központja, nagyon eredményes egyetemi kutatások színtere és egyébként is jelentős technológiai központ, mivel például itt vannak a legnagyobb gaming fejlesztő cégek központjai is. Persze a turisztikai élet is jelentős például a Disney és a Universal parkjai miatt.
Itt első sorban a technológiai szektorral, az orlandoi inkubátorral találkoztunk, valamint az UCF egyetemen és a Kennedy űrközpontban jártunk.

Tanulságok

A nagyon jelentős egyetemi élet és a kedvező élettér igen hatékony innovációs központtá fejlesztette a régiót. Megértettük, hogyan működnek együtt az egyetemek és a vállalatok: a vállalatok támogatják a kiberbiztonsági tanszéket, akik pedig jelentős szak-társadalmi hatást kiváltó CTF-eket és fejlesztési programokat valósítanak meg együttműködésben start-upokkal, fiatal kutatókkal. Volt alkalmunk találkozni minden oldallal ebben az értékláncban.

Az egyik legfontosabb új fejlődési tervet jelenleg az áramkörök, beépülő rendszerek, processzorok biztonsága jelenti. Az egyetem bemutatta, mik a legújabb kutatási eredmények, hogyan képzik a szakembereket ezen a területen. Jelentős kihívásnak látják az ilyen alacsony rétegben megvalósuló, esetleg beszállítók kompromittálása révén létrejött kihasznált vagy kikényszerített sérülékenységeket. Ha egy chipről kiderül, hogy adatszivárgást okoz, akkor komplett rendszerek és rájuk épülő szoftverek, sőt komplett üzleti folyamatok állhatnak le hosszú időre, hiszen egy ilyen összetevő kiváltása hónapokba, sőt évekbe is telhet.

Denver és Colorado Springs, Colorado

Denver 1500 m, míg Colorado Springs 2000 m magasan fekszik a Sziklás-hegység keleti lábainál egy száraz fennsíkon. Az állam gyakorlatilag az USA közepén, jól védett helyen található, hűvös, kiszámítható időjárással, így talán érthető, hogy miért olyan jelentős hely ez például a légierő számára, de a kiberbiztonságban is, ugyanakkor jelentős üzleti centrum is a felhőkarcolóival és az utóbbi időben kiemelkedően eredményes sportban is (NBA, NHL, NFL, MLB).

Itt volt lehetőségünk megérteni, személyesen megfigyelni a választás technikai részleteit, valamint találkoztunk a helyettes államügyésszel, a városi-, és megyei CISO-val illetve adatvédelemre szakosodott ügyvédekkel.

Tanulságok

A választás minden államban technikailag más módon zajlik le, és az elnökválasztást szinte mindig kísérik helyi ügyek. A választási névjegyzék nyilvános, sőt azt is bárki ki tudja keresni, hogy egy másik állampolgár adott-e le szavazatot. Ugyanakkor a választás titkos, emiatt egy igen összetett eljárással biztosítják, hogy a szavazatok anonim módon, de követhetőek – mint egy gyártósoron, ahol a termék ’traceability’ elektronikusan követhető. Minden szavazatot szkennelnek is, de papíron is megőrzik.

A kibervédelmi fenyegetések között elsősorban dezinformációs és misinformációs kampányokkal találkoznak, amelyeket inkább kommunikációs eszközökkel kezelnek, ugyanakkor előfordulnak DDoS támadások is. Gyakoriak a spearphishing / smishing támadások ezért egy visszaellenőrzési eljárást dolgoztak ki, amely akár a deepfake támadásokra is megoldást jelent.

Az adatvédelem volt a másik fő téma, amely során megértettük, hogy mennyire más helyzetben van mindenki – ideértve az USA állampolgárait és vállalkozásait – mint mi az EU-ban. Nem létezik ugyanis egységes adatvédelem. Egyes iparágakban van szabályozás (pl. gyerekekre vonatkozó, pénzügy, egészségügyi), de ezek sem teljesek. Az államok jórészében teljesen legálisan lehet személyes, sőt egészségügyi adatokat is eladni, amelyekhez pl. egy weboldal vagy egy alkalmazás birtokosaként jutunk.

Emiatt az ügyvédek, ügyészek elsősorban személyiségi jogi, vagy más törvénysértések ügyén tudnak eljárni, az adatlopás, adatvesztés sok esetben nem ok. A másik oldalról viszont a nemzetközi vállalatoknál nagyon bonyolult ez a kép, hiszen a GDPR mellett más európai, ázsiai vagy amerikai szabályoknak is meg kell felelni.

Seattle, Washington

Ez a város szinte a kanadai határon fekszik, nedves-kellemes időjárással és az itt megtelepült óriási cégek hatására nagyon gazdag negyedekkel és jelentős ipari területekkel is. Számunkra a legérdekesebb a Microsoft jelenléte, volt is alkalmunk a kibervédelmi és a kiberbűnözés elleni központban járni. Ellátogattunk a megye vészhelyzeti irányítóközpontjába, ami nagyon kiber-fizikai esemény esetén is központként szolgál. Egyeztettünk az egyik helyi egyetem, az Everett Community College OT biztonsági tanszékének vezetőivel, végzős és végzett hallgatókkal, valamint gyakorlati tapasztalatokról és az addigra éppen helyben átélt választás eredményének (Trump) lehetséges hatásairól beszélgettünk a nemzetközi ügyvédi iroda K&L Gates kiberbiztonsági ügyekre szakosodott ügyvédjével. Egy workshopon értékeltük a három hetet és persze bejártuk a várost.

Tanulságok

Ami a Microsoftot illeti talán a legérdekesebb változás az, hogy a Ms immár AI vállalatként tekint magára, a belső kommunikációban is minden mondatba bekerül és állításuk szerint az információbiztonsággal foglalkozó összes terület aktívan használja is. Legyen szó detekcióról, viselkedéselemzésről, threat intel elemzésről, kockázatértékelésről, vagy éppen kiberbűnözésről. Amit még tudni lehet, hogy a Ms szakemberei szorosan együtt dolgoznak az FBI-jal és más ügynökségekkel, hiszen az állami-, és a privát infrastruktúrában is jelentős részesedésük van, mindig elsők között észlelik ha új kampány indul és szoros Ms-hatóság együttműködésre van szükség Azure tenantok leállításához vagy azonosításához is.

A King County vészhelyzeti operációs központ működése tanulságos. Szükség is van rá, kb. egy budapestnyi népességet lát el a világ egyik leginkább aktív szeizmikus törésvonalán, ahol az ipari tevékenység is nagyon jelentős (ide tartozik a Microsoft 125 épületből álló, 60 000 főt befogadó redmondi capmusa is). Amit tanulni lehet tőlük az a helyi és országos kooperáció. Ennek nagyon gyakorlatias módszertana van: a helyben működő sheriff hivataltól kezdve az összes ágazat (kommunikáció, városüzemeltetés, útkezelés, stb.) be van vonva a rendszeres gyakorlatokba és a folyamatok kialakításába. A választás miatt például a rendőrség, az önkormányzatok, informatikai és kommunikációs szakemberek voltak ügyeletben, hogy szükség esetén azonnal hatékonyan be tudjanak avatkozni. Az otthonuk pedig egy akár hetekig üzemképes szigetrendszer saját víz-, és áramellátással, rádiós rendszerrel, terepjárókkal.

És akkor mit is adtak?

IT biztonsági szempontból van számos dolog, ami furcsa, időnként akár bosszantó is lehet az USA-ban európai szemmel nézve, ilyen például az elképesztő erőforrások felhasználása sokszor látszólag pazarló módon, vagy egyes szabályozások totális összevisszasága, vagy akár egyszerűen az árak. De összességében a legfontosabb tanulság számomra az volt, hogy ez a számtalan szereplő mindegyike tudja mi a dolga és partnerként segíti a többieket. Nem a szabályozás a legfontosabb, hanem a gyakorlati együttműködés. Ide tartozik az NIST által kiadott standardok, a CISA képzések, vagy a fenyegetések, sérülékenységek egymással való megosztása.

Mindez egy nagyon érett, gyakorlott közösséget alakított ki. Bár társadalmi szinten, kisvállalatoknál bőven van mit tenni, de azért a jó gyakorlatokból sokat lehet még mindig átvenni – sőt, szövetségesként, baráti országként a közvetlen segítségükre is számíthatunk.