Tanulságok a CyberCon26 konferencia kapcsán

1. Nemzetközi együttműködés egy különösen érzékeny területen

A CyberCon26 egyik legfontosabb tanulsága kívülállók számára talán az, hogy a nukleáris kiberbiztonság világában az együttműködésnek egészen más súlya van, mint sok más iparágban. Egy atomerőmű biztonsága soha nem kizárólag egy vállalat vagy egy ország belügye. Egy komolyabb incidens hatása átlépheti az országhatárokat, érintheti az energiaellátást, a környezetbiztonságot, a lakossági bizalmat és a nemzetközi kapcsolatokat is.

Ezért különösen fontos, hogy a konferenciát az IAEA, vagyis a Nemzetközi Atomenergia Ügynökség szervezte. Az IAEA az ENSZ rendszeréhez kapcsolódó globális szakmai fórum, amelynek tagállami köre egyedülálló lehetőséget ad arra, hogy különböző országok hatóságai, üzemeltetői, kutatói és ipari szereplői közös nyelvet alakítsanak ki. A kiberbiztonságban ez különösen nehéz, mert minden ország más technológiával, szabályozási hagyománnyal és fenyegetési környezettel dolgozik.

A közelmúlt eseményei is megmutatták, miért fontos ez. Az ukrajnai Zaporizzsjai Atomerőmű körüli incidensek, a dróntevékenységek és a háborús környezet rávilágítottak arra, hogy a nukleáris létesítmények biztonsága már nem értelmezhető kizárólag műszaki kérdésként. Rafael Mariano Grossi, az IAEA főigazgatója többször hangsúlyozta, hogy a nukleáris létesítmények közelében minden kockázatos katonai vagy technológiai tevékenység elfogadhatatlan. Ez a gondolat a kibertérre is igaz: a nukleáris biztonság nemzetközi felelősség.

2. Kutatók és egyetemek nélkül nincs valódi előrelépés

A CyberCon26 másik erős üzenete az volt, hogy a nukleáris kiberbiztonságban különösen nagy szükség van kutatókra, egyetemekre és független szakmai műhelyekre. A konferencián több száz szakértő vett részt, köztük hatósági szereplők, üzemeltetők, kutatóintézetek, egyetemi kutatók és ipari partnerek. Ez kívülről talán szokatlannak tűnhet, de ezen a területen a tudományos háttérnek gyakorlati jelentősége van.

Az atomerőművekben használt rendszerek hosszú élettartamúak, szigorúan szabályozottak, és sokszor évtizedeken keresztül működnek. Közben a digitális technológiák, a mesterséges intelligencia, a távoli diagnosztika, az ipari vezérlőrendszerek és a beszállítói láncok kockázatai gyorsan változnak. A kutatók feladata éppen az, hogy ezeket a változásokat úgy építsék be a működésbe, hogy közben nem lehet hibázni és csak a működésben nagyon jártas szakemberek tervezhetnek rendszereket. Erre szinte csak egyetemeken kutató-, vagy azokkal szorosan együtt dolgozó évtizedes gyakorlattal bíró szakembereknek van esélye.

Jó példa erre Szlovénia, amely a konferencián hatósági és üzemeltetői tapasztalatokat is bemutatott. Egy kisebb ország számára a nemzetközi tudásmegosztás különösen értékes, mert így a saját tapasztalatok mellé hozzáférést kap más államok módszereihez és tanulságaihoz is. A kutatói részvétel tehát itt nem csak elméleti kérdés, a nukleáris kiberbiztonságban ez az egyetlen út, hogy a védekezés lépést tudjon tartani a fenyegetésekkel.

3. Miért ilyen fontosak a modellek és szimulációk?

Egy kívülálló számára meglepő lehet, hogy a nukleáris kiberbiztonságban milyen nagy szerepet kapnak az elméleti modellek. Más szektorokban sokszor gyors tesztekkel, próbaüzemekkel vagy éles rendszerekben végzett mérésekkel lehet tanulni. Egy atomerőmű esetében a mozgástér jóval szűkebb. A biztonságkritikus rendszereken nem lehet egyszerűen „kipróbálni”, mi történik egy súlyosabb hibánál vagy támadásnál.

Ezért kerülnek elő olyan fogalmak, mint a digital twin, a determinisztikus és valószínűségi biztonsági elemzés, a hibafa- és eseményfa-elemzés. Ezek elsőre távolinak hangzanak, de a lényeg egyszerű: a szakemberek előre próbálják megérteni, milyen eseménylánc vezethet problémához, milyen védelmi rétegek állnak rendelkezésre, és mely pontokon lehet megszakítani a folyamatot.

A determinisztikus elemzés azt vizsgálja, hogy egy adott feltételezett esemény esetén a biztonsági rendszerek képesek-e ellátni a feladatukat. A valószínűségi elemzés ehhez hozzáteszi, hogy egyes események mekkora eséllyel következhetnek be, és milyen következményekkel járhatnak. A kiberbiztonságban ezek a módszerek azért fontosak, mert egy támadás ritkán egyetlen hibából áll. Gyakran apró gyengeségek, emberi döntések, beszállítói kockázatok és technikai sérülékenységek kapcsolódnak össze. A modellezés segít abban, hogy ezeket ne utólag, hanem még időben felismerjük.

4. A nyilvánosság korlátai: miért beszél mindenki óvatosan?

A nukleáris kiberbiztonságról szóló beszélgetésekben gyakran feltűnő az óvatos, általánosító nyelvezet. Ennek jó oka van. A túl részletes információk segíthetik a támadókat, ugyanakkor a túl kevés információ nehezíti a tanulást és a szakmai párbeszédet. Ez a kettősség végig jelen volt a CyberCon26-on is: a konferencia nyitott szakmai fórumként működött, miközben minden résztvevőnek figyelembe kellett vennie az érzékeny nukleáris biztonsági információk védelmét.

Kívülállóként ez néha frusztráló lehet. Egy-egy előadásban vagy jelentésben gyakran csak annyit látunk, hogy „beszállítói lánc kockázata”, „jogosultságkezelési probléma” vagy „incidenskezelési tanulság”. Ezek mögött nagyon különböző valós helyzetek állhatnak: hibás szoftverfrissítés, nem megfelelő távoli hozzáférés, túl széles jogosultság, kompromittált mérnöki munkaállomás vagy hiányos naplózás.

A brit Sellafield esete jól mutatja ezt a nehéz egyensúlyt. Az Egyesült Királyság nukleáris szabályozó hatósága 2024-ben 332 500 fontos bírságot szabott ki kiberbiztonsági hiányosságok miatt. A nyilvános kommunikációban a konkrét technikai részletek korlátozottan jelentek meg, miközben az üzenet egyértelmű volt: a kiberbiztonsági hiányosságokat a nukleáris szektorban akkor is komolyan kell venni, ha nem vezetnek közvetlen balesethez.

5. Miért lassabb a gyakorlati eredmények beépítése?

A konferencia egyik fontos, kívülállók számára is tanulságos üzenete, hogy a nukleáris iparban a változás természeténél fogva lassabb. Ez nem egyszerűen szervezeti óvatosság vagy technológiai konzervativizmus. Egy atomerőműben minden módosítás hatással lehet az engedélyezésre, az üzemeltetési eljárásokra, a karbantartásra, a képzésre és a biztonsági elemzésekre. Egy új kiberbiztonsági megoldás bevezetése ezért jóval több kérdést vet fel, mint egy irodai informatikai rendszerben.

A „security by design”, vagyis a biztonság beépítése már a tervezés korai szakaszában, ezért kapott kiemelt figyelmet a CyberCon26-on. A fejlett reaktorok, az új digitális rendszerek és a modern üzemeltetési modellek esetében már nem elegendő utólag védelmi rétegeket hozzáadni. A biztonságot a tervezés, az engedélyezés és az üzemeltetés részévé kell tenni.

Ez különösen fontos azokban az országokban, amelyek új atomerőművi kapacitásokban gondolkodnak, például Lengyelországban vagy az Egyesült Arab Emírségekben. A friss beruházások lehetőséget adnak arra, hogy a kiberbiztonsági szempontok már a kezdetektől beépüljenek. A régebbi erőműveknél a feladat nehezebb: ott meglévő rendszereket kell biztonságosabbá tenni úgy, hogy közben az üzembiztonság és a nukleáris biztonság elsőbbsége megmaradjon.

6. A szakemberhiány itt is mindennapi kihívás

A kiberbiztonsági szakemberhiány világszerte ismert probléma, de a nukleáris területen különösen élesen jelentkezik. Itt nem elég általános informatikai vagy kiberbiztonsági tudással rendelkezni. A szakembernek értenie kell az ipari vezérlőrendszerekhez, az üzemeltetési technológiához, a nukleáris biztonsági kultúrához, a szabályozási környezethez és az incidenskezeléshez is. Kevés olyan ember van, aki mindezt egyszerre átlátja.

Közben a feladatok száma folyamatosan nő. A szakembereknek foglalkozniuk kell a régi rendszerek védelmével, az új digitális megoldások értékelésével, a beszállítói lánc ellenőrzésével, auditokkal, képzésekkel, incidensgyakorlatokkal és a mindennapi üzemeltetés támogatásával. Ez sok szervezetben túlterheltséghez vezet.

A CyberCon26 ezért nagy hangsúlyt helyezett a kapacitásépítésre és a tudásmegosztásra. Yosuke Naoi japán társelnök egyik fontos gondolata szerint a kibertámadások fenyegetése méretében és komplexitásában is fejlődik, miközben sokszor láthatatlan marad. Ez a láthatatlanság megnehezíti, hogy a döntéshozók és a szélesebb közönség megértse a probléma sürgősségét. A tanulság egyszerű: a nukleáris kiberbiztonság hosszú távon csak akkor lesz fenntartható, ha a technológia mellett az emberek képzésébe és megtartásába is következetesen beruházunk.

7. Gyakorlatok, szimulációk és CTF-ek: tanulás biztonságos környezetben

A konferencia látványos és hasznos elemei voltak a különféle gyakorlatok: szimulációk, tabletop feladatok, capture the flag versenyek, cyber range jellegű környezetek és interaktív demonstrációk. Ezek kívülről játékosnak tűnhetnek, de a nukleáris kiberbiztonságban nagyon komoly szerepük van.

Mivel az éles rendszereken csak korlátozottan lehet tesztelni, a szakembereknek olyan környezetekre van szükségük, ahol kockázat nélkül gyakorolhatnak. Egy tabletop gyakorlat során például a résztvevők végig veszik, ki mit tenne egy feltételezett incidens esetén: mikor kell riasztani a vezetést, hogyan kell bevonni a hatóságot, milyen információkat lehet megosztani, hogyan kell kommunikálni a nyilvánosság felé. Egy CTF verseny technikai oldalról fejleszti ugyanezt a gondolkodást: nyomokat kell keresni, rendszereket kell megérteni, összefüggéseket kell felismerni.

Az ilyen gyakorlatok egyik legnagyobb értéke, hogy feltárják a szervezeti hiányosságokat is. Kiderülhet, hogy egy folyamat papíron működik, de a gyakorlatban túl lassú; hogy nem egyértelműek a felelősségi körök; vagy hogy a technikai csapat és a vezetés más nyelvet beszél. Ezeket sokkal jobb egy szimulációban felismerni, mint egy valódi incidens közben.

8. Milyen is volt akkor ez a bécsi konferencia?

A CyberCon26 legfontosabb üzenete kívülállók számára az, hogy a nukleáris kiberbiztonság egyszerre rendkívül összetett és nagyon emberi terület. A technológia, a szabályozás, a modellezés és a nemzetközi együttműködés mind nélkülözhetetlen, de végső soron emberek készülnek fel váratlan helyzetekre, emberek döntenek nyomás alatt, és emberek tanulnak egymás tapasztalataiból.

A konferencia azt is megmutatta, hogy ezen a területen van ok a bizakodásra. A nemzetközi közösség aktív, a kutatói háttér erősödik, a gyakorlatok egyre valószerűbbek, és a fiatalabb szakemberek számára is vonzóbbá válik a nukleáris kiberbiztonság világa. Külön öröm, hogy a magyar kollégák jól szerepeltek a CTF-en, ami azt jelzi, hogy a hazai szakmai tudás nemzetközi környezetben is versenyképes.

A komoly témák mellett a konferenciának volt könnyedebb oldala is. A szabadulószoba jó móka volt, miközben pontosan azt tanította, amire ezen a területen szükség van: együttműködést, gyors helyzetértékelést, kreatív problémamegoldást és figyelmet az apró részletekre.