Twitter Keleti Arthur dezinformációs kampányok facebook Kibev kiberbiztonság EP-választás Önkéntes Kibervédelmi Összefogás

Felkészült-e az EU a kibertámadásra?

Három évvel azután, hogy állítólagos orosz dezinformációs kampányok összezavarták a 2016-os amerikai elnökválasztást és valószínűleg befolyásolták a brexitszavazás eredményét is, az európai politikusokat és bürokratákat — no meg a kibervédelmi szakembereket — megint kezdi kiverni a víz a hamarosan élesbe kapcsoló EP-választási rendszer elleni lehetséges támadások miatt.

Mártonffy Attila

2019. 05. 20. 16:21

People watch a board displaying provisional results of the European Parliament election at the EU Parliament in Brussels — Eredményjelző tábla az öt évvel ezelőtti voksolás után. A huszonnyolc tagországon átívelő szavazás miatt több a potenciális beavatkozási pont Fotó: Francois Lenoir Forrás: Reuters

A választási rendszerek védelme speciális ága a kiberbiztonságnak. A választási rendszerekben ugyanis az átláthatóságnak és a biztonságnak együtt kell(ene) megjelennie. Az átláthatóság azért fontos, mert abból ered a választók bizalma, hogy látják, miként működik a rendszer; ugyanakkor e transzparencia a legnagyobb ellensége a kiberbiztonsági szakértőknek – mutat rá az ellentmondásra Keleti Arthur, az Önkéntes Kibervédelmi Összefogás (Kibev) alapító elnöke.

Ilyen körülmények között komoly kihívás valamilyen egyensúlyt, azaz megfelelő biztonságot teremteni. A bizalom viszont nemcsak a technológia iránt nyilvánul meg, hanem attól is függ, hogy az emberek korábban mennyire fogadták el a rendszert és annak fejlesztéseit. Technológiai aspektus viszont, hogy a választási rendszer mennyire sérülékeny, hányszor és milyen formában fordult elő ellene támadás korábban.

Van mitől tartaniuk tehát a néhány nap múlva induló európai parlamenti választások informatikai biztonságáért felelős tisztviselőknek, akik szerint a rendszer „rendkívüli módon sérülékeny”. – 2016 óta nem vagyunk naivak – mondta a Politico brüsszeli hírportálnak Liisa Past, az észt információs rendszereket felügyelő hatóság volt vezető kutatója, aki tavaly a biztonsági előkészületeket koordinálta Európa-szerte.

– Azóta teszteltük a nemzeti rendszereket, ezekről van némi képünk. De a legutóbbi EP-választás 2014-ben volt, s a rendszert nem próbálták ki az új biztonsági környezetben – tette hozzá. A félelmeket tovább szítja Julian King, az EU kiberbiztonságért felelős biztosa.

– Tekintve a választások széttagoltságát és viszonylag hosszú időtartamukat, az esemény igen csábító a hekkerek számára, amiért mindenkinek viselnie kell a felelősséget. A rendszer olyan biztonságos, mint a leggyengébb láncszeme – mondja.

Eredményjelző tábla az öt évvel ezelőtti voksolás után. A huszonnyolc tagországon átívelő szavazás miatt több a potenciális beavatkozási pont
Fotó: Reuters

Az európai választás lényegében egy sor párhuzamos voksolás összessége, amely május 23. és 26. között bonyolódik. A szavazás integritása azon múlik, hogy a tagállamok kormányai mennyire tudják távol tartani rendszereiktől a hekkereket és az egyéb fenyegetéseket. Már egyetlen sikeres támadás is kétséget támaszthat a következő Európai Parlament összetételével és az unió jövőbeni működésével kapcsolatban.

Fontos az integritás

Az integritás, de a sérülékenység is nagyban függ a rendszer összetettségétől, az egyes hardver- és szoftverelemek beszerzési forrásainak heterogenitásától, illetve hogy mennyire elektronizált a folyamat – mutat rá a Kibev elnöke.

Például egy távszavazási rendszerben több a potenciális beavatkozási pont, mint ott, ahol a folyamatokat manuálisan végzik. Ha nem gombnyomással, hanem kézzel történik a szavazás, akkor is ott van az informatikai háttérrendszer, ahol többek között a szavazatok számlálása, illetve az egész folyamat vezérlése zajlik.

Gyakori hiba, hogy a választást lebonyolító szervezetek a voksok begyűjtésére koncentrálnak, s kevesebb gondot fordítanak a szavazatok tárolását és feldolgozását végrehajtó feladatokra. A technológiai mellett emberi probléma is adódhat. Ezek előfordulása attól függ, hogy a humán erőforrást mennyire tanították be feladatuk végrehajtására.

A választási procedúra ráadásul nem folyamatosan zajlik, mint például egy online áruházban, hanem bizonyos évenként ismétlődik, s ilyenkor újra kell képezni az embereket, újra kell tanulni sok folyamatot is. A politikai aspektust az jelenti, hogy a rendszer elemeit milyen szakmai elvek szerint szerzik be, megfelelő-e a beszerzési folyamat, valamint az időben történik-e meg.

Jogi kitettséggel is számolni kell, például időben megszületnek-e az adott választást támogató jogszabályok. Nem mindegy az sem, hogy a rendszert működtető embereknek kedvező vagy kedvezőtlen szabályozási környezetben kell-e megteremteniük a biztonságot. Mindezek a tényezők lényegesen befolyásolják az emberek bizalmát a választási rendszerek iránt.

Percek alatt kell reagálni

Lényeges a rendszer integrált működtetése is, egybekötve a végpontok (például munkaállomások), valamint a szerverek és adatbázisok védelmével. Ha ugyanis egy támadó rosszindulatú programot helyez el bennük, ezzel jelszavakat szerez meg, be tud hatolni a rendszerbe, ott adatokat tud megváltoztatni vagy esetleg idő előtt szivárogtatni.

A kiberbiztonság területén általános probléma szokott lenni mindenfajta rendszerben, hogy a betörés és annak észlelése között órák, gyakran napok telnek el, ami a választási rendszerben nem megengedhető. Ezért kell a választási informatika felkészítését már hónapokkal a választás előtt megkezdeni, különösen, hogy rosszindulatú hekkerek már akár fél vagy egy évvel a választás napja előtt olyan műveletekbe kezdhetnek, amelyeket érzékelni és kezelni kell.

S mivel a kormányok a világon mindenhol a kibertér biztonsági eseményeire valamivel lassabban tudnak reagálni, fontos, hogy a gazdasági szereplőkkel karöltve hozzanak létre működőképes és viszonylag biztonságos rendszert, amely rendelkezik megfelelő védelmi technológiákkal. Az Európai Tanács az általa kiadott választási irányelvekben az e-voting esetében kiemelten ajánlja biztonsági elemként például az elektronikus aláírást és az időpecsétet. Ezek alkalmazásával ugyanis feketén-fehéren bizonyítható, hogy mi és mikor történt a rendszerben.

Ugyanakkor választási informatikai szakértők állítják, hogy nincs olyan e-választási rendszer, amit ne lehetne feltörni. Fontos annak a megállapítása, illetve valószínűsítése is, hogy honnan várható vagy honnan indult a támadás.

Ehhez úgynevezett threat intelt kell alkalmazni, azaz információbiztonsági fenyegetettségi hírszerzési forrást – akár többet is – kell igénybe venni. Ennek segítségével meg kell vizsgálni, hogy a támadás valamilyen minta vagy módszer alapján történt-e, s ez a minta, módszer máshol is megtalálható-e. Ha találunk bizonyos egyezéseket, már következtetni lehet a kiindulási pontra, módszerre, az elkövetői csoportokra, s ez segít megérteni a támadó szándékát.

Félretájékoztatás és manipulálás

Az integritás elleni fenyegetések közé tartoznak a dezinformációs kampányok, az internetes betörések és az eredmény digitális manipulálása. A Politicónak nyilatkozó szakértők a legjobban a dezinformációs fenyegetéstől tartanak, de így vannak ezzel az európai polgárok is.

Egy tavaly szeptemberi felmérés szerint a válaszadók háromnegyede jelezte, hogy aggódik vagy nagyon aggódik a félretájékoztatás, a hamis hírek miatt. A Twitter és a Facebook is megerősítette, hogy a hamis fiókok és a platformmanipuláció veszélyeztetik a választások integritását.

A manipuláció egyébként logikailag teljesen különválik a választási rendszertől, s nem is feltétlenül része a biztonsági rendszernek – folytatja Keleti Arthur. A manipuláció lényege, hogy globális hírcsatornákon, közösségi oldalakon megpróbálnak a döntéseket befolyásoló információkat, álhíreket eljuttatni a választókhoz.

A választók „tárgyilagos” informálása céljából viszont a nagy közösségi oldalak olyan intézkedéseket vezettek be, hogy kiderüljön, például egy politikai hirdetést ki adott fel, ki támogatott, milyen szervezet áll mögötte.

A Facebook az uniós intézmények nyomására idén áprilisban megszigorította a politikai hirdetési szabályokat. A közösségi oldal ezenkívül bejelentette, hogy fokozza erőfeszítéseit a hamis információk kiszűrésére a választások előtt. A közösségi platformok a Kibev elnöke szerint arra is tesznek kísérletet, hogy megállapítsák, egy oldal mennyire megbízható, tartalmaz-e hamis híreket.

A gond csak ott lehet, hogy végső soron a gazdasági szervezetek önszabályozó szándéka mögött is politikailag („korrekten”) orientált emberek állhatnak, így ők is manipulálhatnak.

Mint arról lapunk is nemrég beszámolt, politikai alapon tilthatta le például a Facebook a Mediaworks Hungary Zrt. által kiadott lapok és hírportálok hirdetési fiókjait.

Míg a Facebook rendszeresen tilt le konzervatív értékrendű oldalakat és hozzászólásokat, sok esetben bejelentések után sem távolítja el azokat a bejegyzéseket, amelyek a miniszterelnök vagy más kormánypárti politikusok meggyilkolására buzdítanak.