A szülőknek mindig is kötelességük volt a gyermekeik védelmezése, felkészítése a világban rájuk leselkedő veszedelmekre. Ma már ez jelentősen túlmutat a fizikai veszedelmeken és szülői oldalról is új viselkedési és nevelési gyakorlatokat követel meg.

Ahogyan a felnőttek, úgy a gyerekek is könnyen belefuthatnak nem nekik való vagy felnőtt tartalomba, találkozhatnak kiberzaklatással -elszenvedőként és kezdeményezőként is-, túlságosan sok személyes adatot oszthatnak meg magukról és másokról, szexuális ragadozók áldozatává válhatnak, illetve célpontjai vagy eszközei lehetnek csalásoknak.

Annak, hogy elkerüljük a veszélyeket a legfontosabb alapelve az észszerűség és a megelőzés. E tekintetben a kibertér nagyon hasonlít a fizikai világunkra és az abban mindannyiunkra leselkedő veszélyekre. Ahogyan a való világban a viselkedésünk befolyásolja, hogy áldozatok leszünk-e vagy sem, ugyanúgy igaz ez a kibertérben is. Ám a kibertérben a veszélyt gyakran nem egyszerű érzékelni.

Az orvosságokat, a vegyszereket akkor is elzárjuk a csemeték elől, ha van rajtuk gyermekzár, kulccsal vagy gyerekzárral zárjuk a fiókot amelyben a késeket tároljuk, gyermekülést használunk az autóban, és így tovább. A gyermekek kezébe viszont épp a szülők adnak számítógépet, okostelefont, hogy lekössék a gyermek figyelmét egy kis nyugalom érdekében. A képernyőzés a kábítószerekhez hasonlóan dopamint termel és hasonló függést okozhat és a statisztikák szerint egyre kisebb korban és egyre tovább engedik az embereket a gyerekeket képernyőzni.

Az internet tárháza az információknak, amelyek lehetnek hasznosak vagy veszélyesek. A globális jogi környezet nem nagyon teszi lehetővé a folyamatos és azonos értékrendeken alapuló védelmet. Ami törvényes például Chilében az lehet hogy tiltott az EU-ban. Az erre kialakított automata védelmi rendszerek nem igazán hatékonyak, így egy illegális vagy zaklató tartalom letiltása eltarthat: jó esetben napokig, rosszabb esetben akár évekig is.

A fentiek miatt (is) elengedhetetlen a megfelelő szülői felügyelet és digitális kézen fogása a csemetéknek, hogy megtanuljanak biztonságban navigálni a világhálón, kialakuljon bennük a megfelelő érzék a csalások, a zaklatások kiszűrésére, azaz a tudatos internethasználat.

A legfontosabb teendő a rendszeres beszélgetés a gyerekekkel. Szülőként fontos, hogy tisztába legyen mindenki kivel és milyen platformon beszélgetnek a gyerekek és miről. Nem a szó szerinti téma az érdekes, hanem sokkal inkább a tartalom: jó hangulatú beszélgetés vagy a tanár cikizése osztályszinten? Az utóbbi nem csak heccnek tudható be, írásban, látszólag arctalanul könnyen elszabadulnak az indulatok és ami egy viccnek indult abból könnyen lehet büntetőfeljelentés.

Alapszabály, hogy amit szóban, szemtől szembe, a való életben nem tennénk meg azt ne írjuk le. Induljon ki abból mindenki, hogy amit digitálisan tesz az visszakövethetővé válhat és nem tud elbújni. Ezt technikailag nehéz korlátozni, ezért a gyermek viselkedést kell helyes irányba befolyásolni és ennek fontosságát megértetni vele.

Technikai oldalról szülőként korlátozhatjuk a modem/router beállításokban, hogy milyen tartalmakat/oldalakat látogathat a gyerek. Eszköz és tartalom szinten lehet blokkolni vagy engedélyezni, hogy ki, mikor, milyen tartalmakhoz férjen hozzá. Nem szükséges ehhez nagy technikai alapképzettség, Google vagy ügyfélszolgálat segítségével be lehet állítani.

Nagyon nehéz meghatározni, hogy mikor kapjon a gyerek saját eszközt. Ebben nincs konszenzus a szakemberek között. Mivel ez inkább pedagógiai kérdés, mint biztonsági, jó tudni, hogy minél fiatalabb a gyermek annál inkább ki van téve a káros tartalmaknak, a tudatos felhasználás és gyakran a nyelvi akadályok miatt is. Tovább rontja a helyzetet, hogy a saját eszközt gyakran ellátják szabad interneteléréssel is: saját tapasztalat, hogy a gyerek pusztán a YouTube ajánlások alapján a meséktől pillanatok alatt háborús híradásokig juthat.

Legegyszerűbb módja a kisebbeknél a képernyőidő korlátozására az eszköz zárolása (jelszavas védelem, pin-kód vagy minta alapú zárolás) és csak szülői részvétellel történő feloldása. Így az időt és hozzáférést könnyen lehet befolyásolni, de a felhasználást viszont továbbra is figyelni szükséges.

Másik technikai megoldás az eszközökre telepített szülői felügyeletet biztosító alkalmazások, amelyek figyelik és korlátozzák a felhasználást igény szerint. Apple-nek van saját „Screentime” alkalmazása, és a Google-nek is van hasonló megoldása. Lehetséges más szolgáltatásokat is igénybe venni, ingyenes megoldástól kezdve a fizetősökig illetve a legtöbb antivírus cég kínál ilyen szolgáltatást. Szem előtt tartandó, hogy ezek az appok alkalmasak megfigyelésre, így a magánélethez (privacy) való jogot sértik, felmerülhet az adatok magánkézbe (cégtulajdonba) kerülése, érdemes (inkább kötelező) az ÁSZF elolvasása és a tudatos döntés meghozatala. Fontos a gyermekkel megbeszélni az ő életkorának megfelelően, hogy egy ilyen alkalmazás és a "megfigyelés" mit is jelenthet, hogy helyén tudja kezelni.

Az eddig írottakból is látható, hogy olyan megoldás, ami nem igényli a szülő aktív részvételét a folyamatban nem létezik. Ahogyan a gyermek fizikai biztonságával is naponta foglalkozik minden gyakorló szülő (nézz szét mielőtt átmész az úttesten, ne állj szóba idegenekkel, hívj ha odaértél, és így tovább) úgy ezt a törődést fontos kiterjeszteni a digitális életre is. Hiszen szülőként gondolhatjuk, hogy egy internetes vita ami elfajul csak egy internetes vita ahol anonim módon megy a piszkálódás, de ez könnyen átcsap fizikai atrocitásba, illetve fizikai szorongásba vagy anyagi kárba.

-----

Virág Csaba

A kiberteret is felbolygatta a koronavírus. Egész pontosan annak kezeléséről, a valós statisztikákról és a vakcinakutatásról szóló adatok megszerzéséért folyó verseny az, ami megbolygatta a titkosszolgálatokat. A civil kiberbűnözéstől eltérően, most az állami szereplők dominálnak.

Ahogy Justin Fier – korábbi amerikai nemzetbiztonsági elemző, jelenleg a Darktrace it-biztonsági társaság igazgatója – fogalmazott a New York Times-nak : „A kibertámadások gyakorisága és a célpontok spektruma fénysebességgel nőtt március óta, legalábbis ami a gyógyszerészeti és egészségügyi területet illeti”

A kiberbiztonsággal foglalkozó cégek jelentései ugyanúgy megerősítik ezt, mint az amerikai elhárítás májusi közleményei . Ezekben egyértelműen fogalmaznak, amikor azt írják, hogy „a nemzetállami aktorok a kibertérben COVID-19-hez kapcsolódó kutatásokat támadnak, mivel számos külföldi kormányzat igyekszik meggyorsítani a saját K+F műveleteit és klinikai tesztjeit”. Ugyanerről beszámolt már a brit társszervezet is, akkor épp arra figyelmeztetve a brit célpontokat, hogy "password spraying" típusú támadást azonosítottak.

Gyakran elhangzik, hogy a Kínai Népköztársaság egyes szervezetei – mások mellett a Belbiztonsági Minisztérium, a Népi Felszabadítási Hadsereg speciális egységei – a támadások elkövetői. Ahogy a kibertérben megszokott, nemcsak a nyílt geopolitikai küzdelemben álló országok támadják egymást, hanem még a szövetségesek is. Tényként kezelik, hogy Dél-Korea amerikai célpontokat támadt, de emlékezetes az is, amikor a Fehér Ház az egyik sikeresnek ígérkező német vakcinafejlesztő céget, a CureVac AG-t vásárolta volna fel kilóra.

A hagyományos kémtechnikákat szintén alkalmazzák a területen, az USA-ban például azonosítottak kínai származású egyetemi hallgatókat és oktatókat, akik a helyi egyetemi IT-rendszerekből illetve labor-adatbázisokból igyekeztek információhoz jutni.

A vakcina jelentőségét mutatja a verseny intenzitása. Amelyik ország először teremti meg a népessége és ezáltal a gazdasága számára a teljes visszatérést, nyilvánvaló előnyhöz jut. Kormányok nyerhetnek nagyobb támogatást a vakcinafejlesztés sikerétől, vagy épp bukhatnak bele annak kudarcába,. Külpolitikai szempontból hasonló a potenciális nyereség: a vakcinadiplomácia mellett majd csak múló árnyéknak tűnik a mostani maszkdiplomácia.

-----------

Feledy Botond, Center for Euroatlantic Integration and Democracy, senior fellow

Akik kiberbiztonsággal foglalkoznak valószínűleg gazdagok lennének, ha mindig kaptak volna egy százast ahányszor valaki ezzel a mondattal probálta igazolni az e téren való nemtörődömségét. Hiszen miért lenne az gond, ha a kormány vagy valamelyik állami vagy piaci szereplő adatokat gyűjt rólam? A kérdés háttérben az a gondolat áll, hogy csak akkor kell aggódnom emiatt, ha rejtegetni valóm van.

Pedig néhány kérdéssel megvilágítható mennyire tarthatatlan ez az álláspont:

• Megnézhetem a bankszámlaegyenleged?
• Megnézhetem a cset üzeneteidet?
• Miért van függöny az ablakaidon?
• Miért van lezárva a telefonod?
• Miért van letakarva a kamerád?
• Intim fotóidat megosztanád a világgal?
• Sosem hagytál még félbe (vagy el sem kezdtél) egy mondatot telefonon amiatt, hogy nem tudod ki hallhatja?
• Csetprogramokban mindig mindent megosztasz magadról vagy vannak dolgok amiket inkább nem írsz le?
• Sosem suttogva/halkan beszélsz érzékeny témáról nyilvános helyen ahol más is hallhat téged?

Szinte mindenkinek van véleménye a vallásról, a politikáról, a barátairól, a házastársáról, de a legtöbben ezt nem teszik közzé, nyilvánossá, mert -joggal- tartanak attól, hogy ha a véleményük egy részét kiragadják a szövegkörnyezetéből akkor az bántó lehet és kellemetlenséget okozna.

A „nincsen rejtegetni valóm” megközelítés azt sugallja, hogy a magánélethez való jog és igény a „rossz” eltakarására szolgál. Holott alapvető emberi jog a magánélethez való jog. A magánélet tiszteletben tartása azért fontos, mert anélkül a megfigyelés során szerzett információval visszaélhetnek.

Persze úgy is gondolhatod, hogy a kormány dolga eldönteni, hogy mi a rossz és mi jó, ezt a döntést a választásoknál a kezükbe is teszed. Minden kormány a világon az aktuális érdekeinek megfelelően fogja eldönteni, hogy éppen mit tekint jónak vagy  rossznak. Lord Actonnak tulajdonított mondás szerint „ A hatalom megront, a korlátlan hatalom pedig korlátlanul megront." Ez a gondolat manapság még inkább érdekessé válik adva, hogy a „jó” és „rossz” kérdést egyre inkább nem kormányok döntik el, hanem az olyan technológiai cégek mint a Google, Facebook, Apple, Amazon vagy Microsoft. 

Snowden, Wikileaks, Assange, Cambridge Analytica, Hacking Team - néhány név az elmúlt évtizedből, ami a magánélethez való jog sérülékenységére hívta fel a figyelmet. Szomorú, hogy sajnos az emberek gyorsan felejtenek.

A problémakör valójában nem arról szól ahogyan az állami szereplők állítják, azaz, hogy a biztonság érdekében le kell mondanunk a magánélethez való jogunkról. Valóban fontos, hogy meg lehessen akadályozni egy esetleges bűncselekményt és ehhez jó, ha bizonyos állami szereplőknek kiterjesztett jogosultságuk van. De a totális megfigyelés az egyenlő a rendőrállammal. 

Ha apró lépésenként lemondunk a magánéletre való igényünkről és jogunkról akkor mire észbe kapunk már késő lesz. Az adatvédelem és az egyéni kiberbiztonság nem arról szól, hogy az embernek rejtegetni valója van. Arról szól, hogy az ember irányíthatja, hogy hogyan mutatja saját magát meg a világnak. Arról, hogy van egy publikus arca az embernek, de mellette lehet privát gondolata és cselekedete. A személyes méltóságról, a személyes méltósághoz való jogról beszélünk.

-----

Virág Csaba, kiberbiztonsági szakértő, kompetenciaközpont vezető

Sajnos nem vagyunk túl a koronavírus-betegség (COVID-19) és az egészségügyi válság időszakán. Úgy tűnik a világ kapott egy lélegzetvételnyi szünetet, hogy utána megbirkózhasson a második hullámmal, vagy szembesüljön a következő kihívással. Addig is igyekezzünk leszűrni a tanulságokat és felkészülni a folytatásra.

COVID-19 bebizonyította mindenki számára, hogy világunk rendkívül sérülékeny és érzékeny. A kiberterünk hasonlóan sérülékeny és ezt az elmúlt időszak fokozódott kibertámadásai mégjobban alátámasztották, a párhuzamosság a fizikai világ pandémiája és a kibertérben tapasztalható sérülékenységek között feltünő.

Az új vírus úgy érte a világot, ahogyan egy nulladik-napi sérülékenység a kiberteret: nem volt figyelmeztetés, nem volt idő felkészülni, gyorsan terjedt, nem volt a terjedés csillapításra lehetőség, és iszonyatos pusztítást hagyott maga után. Pont, mint a Stuxnet, Conficker, WannaCry, Petya, NotPetya, és az ezekhez hasonló kiberfegyverek, amelyek végigtarolták a világhálót a maga idejükben.

Ahogyan nincsen vakcina COVID-19-re, úgy nincsen vakcina a hagyományos antivírus megoldásokban az új típusú támadásokra amikor azok megjelennek. A hagyományos antivírus szoftverek a már megismert vírusok a mintáit tárolva próbálják a rendszert védeni. Ahogyan a valós életünk a kapcsolatainkra épül, úgy a digitális életünk is kapcsolatok hálózata, ám ezt az összeköttetést egyre nehezebb megszakítani. Amíg koronavírusra adott válaszreakció egyik fontos eleme a közösségi távolságtartás volt, addig a számítógépek sokkal közelebb kerültek egymáshoz. Kérdés, hogy ez a közelség mekkora kárt és pusztítást okozott, illetve okozhat a közeljövőben.

Az elmúlt pár hónap digitális ütőér-függősége nem csak a telekommunikációs hálózat terhelhetőségi főpróbájára biztosított lehetőséget, hanem egyúttal mind a kiberbűnözők, illetve államilag támogatott kibercsapatoknak növelni a támadási felületüket. Ez egyszerűen levezethető: minél több ember dolgozik távolról, annál több online személyiség, felhasználói fiók és digitális kapcsolat jön létre. A felhasználói fiókok átvétele, hitelkártya csalások, zsarolóvírusok, rendszerek elérhetőségének megakadályozása, adathalász levelek gyakrabban fordulnak elő. Ahol az emberek online fórumokon és portálokon próbálnak információhoz jutni tömegesen és pánikolva, ott a kártékony kódokat is jól lehet terjeszteni.

Vállalkozások és szervezetek nem voltak felkészülve arra, hogy távmunka során biztosítsák tömegesen az eszközöket, előfizetéseket és szolgáltatásokat, amelyekre szükség lehet. Ahol ezt még meg is ugrották – a fél világ Zoom, Teams szakértő lett pár hónap alatt - ott is az oktatási háttér és a mögöttes infrastruktúra általában hiányzott, hiszen a felhasználó jó eséllyel a saját eszközén használta/használja a munkavégzéshez szükséges programokat. A saját eszközök pedig jó eséllyel közös felhasználású eszközök, nem feltétlen legális licensszel rendelkező programokkal, amelyek a háttérben további támadási felületeket nyithatnak. Ezekről az eszközökről többnyire hiányzik a végpontvédelem, a felhasználók rendszergazda jogosultsággal dolgoznak és még sorolhatnánk a minden rendszergazda rémálmait megtestesítő BYOD eszközök tulajdonságait.

Ahogyan az életben, úgy a kibertérben is szükséges visszatérni az alapokhoz a fertőzés megállítására és a kockázatok kezelésére, mind egyéni, mind szervezeti szinten:

Higiénia: a higiéniával lehet a vírusfertőzés terjedését megállítani, ahogyan a fizikai-, úgy a kibertérben is. Az alapvető higiéniai szabályok betartásával, mint antivírus alkalmazások használata, megfelelő jelszókezelés, biztonsági frissítések telepítése jelentősen növelik a kiberbiztonságot. A kibertámadások által okozott károk jelentős része visszavezethető a hiányos vagy nem létező kiberhigiéniára.

Távolságtartás: Maradjon a kiberhálózatod is szegmentált, azaz elkülönített. Például nem szükséges ugyanazon a wifin netezned mint a gyerekeid, akik bizonytalan forrásból töltögethetnek le alkalmazásokat. A legtöbb internetszolgáltató által biztosított modem már tud több wifi csatornát üzemeltetni. Felhasználói feladat- és szerepkörök kialakítása, a virtualizációs megoldások jelentősen csökkentik a digitális fertőzések terjedését.

Felderítés: COVID-19 fertőzöttek felderítésére két megoldás létezik: valaki észleli a tüneteket magán és jelentkezik; illetve, ha tünetmenetes az illető, de tesztelik. Attól, hogy egy számítógépes rendszer normálisnak tűnően viselkedik még lehet fertőzött. A valós veszély és fenyegetettség felismerése és ennek megfelelő döntés krízishelyzetben élet-halál kérdése lehet. A valóságban ténylegesen, gondoljunk csak arra, hogy az egészségügyi rendszerek is egyre gyakrabban válnak kibertámadás áldoztává. A digitális világban egyelőre inkább anyagilag, reputációban illetve üzletileg jelentős a kockázat, célzottan emberéletet szerencsére még nem kívánt kibertámadás. Ez viszont csak idő kérdése.

Válaszadás: minden ország vezetése eldöntötte, hogy milyen választ ad a vírusra. Van amelyik letagadta (Észak-Korea), van amely elbagatellizálta (Brazilia), van amelyik eleinte elbagatellizálta majd hirtelen meggondolta magát (USA, UK), van amelyik elfogadja a létezését, javasolja az óvintézkedéseket és együtt él vele (Svédország) és van a többség, amelyek igyekeztek azonnal elzárni a fertőzés tovább terjedésének útját (Dél-Korea, Szingapúr, fél világ). Így van ez a kibertámadásoknál is: ha beütött a baj akkor fontos, hogy meghatározzuk a fertőzés és az érintettség mértékét, hogy megszüntethessük a fertőzést.

Tervezés: Az új vírusra nem volt a világ felkészülve. A vállalkozások és szervezetek többsége sem készült fel a home office-ra és a digitális oktatásra, ahol pár százezer diák és tanár hirtelen nem csak módszertani kihívással hanem technológiaival is szembesült. Most már lehet készülni és alkalmazkodni.

Legyenek rendben az alapok: csak erős alapokra lehet építkezni. Ha nincsen az egyén és a szervezet felkészítve a felelős viselkedésre a digitális térben, ha nem tudja használni a rendelkezésre álló eszközöket, ha nem ismeri a potenciális veszélyforrásokat, akkor nem fogja tudni megvédeni a rá bízott digitális értéket. A szervezet „békeidőben” készítse fel a munkatársait, hogy amikor tényleg baj van akkor a problémák elkerülhetőek, de legalábbis csökkenthetőek legyenek.

Felelősséget nem lehet áthárítani: válsághelyzetben mindenkinek és minden szervezetnek kész eljárásokkal és tervekkel szükséges rendelkeznie. Külső erőforrások segíthetnek, de ezek az erőforrások is limitáltak lehetnek, amikor mindenkinek segítségre van szüksége. A felkészülés és a reagálás mindenkinek a saját felelőssége.

A következő hónapokat hasznosan szükséges eltölteni: fel lehet készülni a következő felvonásra, eszközökkel, megoldásokkal, kidolgozott folyamatokkal, bevezetett intézkedésekkel és kommunikációs tervvel.

-----

Virág Csaba, kiberbiztonsági szakértő, kompetenciaközpont vezető