Mindig érdekes egy olyan ország szakértői hallgatni, akik évekre-évtizedekre visszanyúló tapasztalatokkal és elismert eredményekkel beszélnek egy-egy speciális területről. Észtország, a cybervédelmi területen minimum kelet-európai élharcosnak számító kicsiny állam szakértői tartottak előadást a George Washington Egyetemen. A nézők között egyenruhásokat és az NSA képviselőjét egyaránt köszönteni lehetett, teljesen megtelt az előzetes regisztrációt kérő rendezvénynek helyt adó terem.
Az észt delegáció tagjai:
Liina Areng, Észt Információs Rendszerek Hatósága (EISA/RIA) nemzetközi kapcsolatok vezetője
Sven Kivvistik, RIA kockázatelemző és tanácsadó csoport vezetője,
Lauri Luht, RIA kríziskezelő csoport vezetője
Mihkel Tikk, az észt védelmi minisztérium cybervédelmi ügyekért felelős hivatalának vezetője
Luukas Ilves, digitális ügyekért felelős megbízott az észt állandó EU-képviseletnél
Az előadás apropója az immáron második észt cybervédelmi stratégia bemutatása volt. Nem meglepő módon az első, 2008-2013 között alkalmazott stratégiát az 2007-es események indokolták: mint emlékezetes, egy szoboráthelyezési ügyből keletkezett az (észtek szerint legalábbis, ez a konferencián is többször előkerült) első, kifejezetten egy egész ország elleni, a gazdaságot és az államigazgatást megbénítani szándékozó cybertámadás. Természetesen van ellenvélemény is, s még természetesebben az észtek tökéletesen meg vannak győződve nem csupán a támadás tényéről, de annak orosz eredetéről is (ez szintén több esetben és több szövegkörnyezetben előkerült az eseményen).
A támadások eredményének lehet tekinteni azt is, hogy Tallinn, az ész főváros ad otthont a NATO Kibervédelmi Kiválósági Központjának (NATO Cooperative Cyber Defence Centre of Excellence), melyhez Magyarország is csatlakozott és a Honvédség egy tisztje is itt dolgozik.
Az 1991-ben önállóvá vált Észtországban is a gazdasági élet vezette az online fejlődést. Az országnak szinte a nulláról kellett elkezdeni kiépíteni az informatikai infrastruktúra kialakítását. Már a kezdetektől fontosnak tartották az interneten elérhető állami szolgáltatások kiépítését. A lakosság oktatásában a pénzintézetek segítségére is számíthattak, akik számára szintén előnyös volt a digitális ügyintézési kultúra meghonosítása. A 2007-es esemény így már egy fejlett állami és magán informatikai hálózatot ért. A támadást többek között NATO-ból érkezett szakértők segítségével sikerült visszaverni, nem kis részben köszönhetően a civil területen dolgozó, a saját rendszereiket is védelmező cybervédelmi szakemberek együttműködésének és segítségének. A tapasztalatok szerint a kialakított informatikai struktúra, az e-közigazgatás és e-gazdaság alapvetően működőképes, megfelelő volt, ellenben a védekezés nem. A három fő tapasztalat egyike, hogy nem volt megfelelő tudatosság a cybervédelemről sem a lakosság, sem a kormány, sem az államigazgatás részéről. Ma már teljesen más a helyzet, a cybervédelem, az informatikai biztonság kérdéseiről már óvodás korban elkezdik tanítgatni a gyerekeket (!). A cél: mire felnőnek, számukra már teljesen egyértelmű legyen az adataik, információik védelme.
Másodsorban tapasztalatként merült fel az is, hogy a technikai-technológiai információkat azonnal és érthető, emészthető formában kell tálalni a döntéshozók számára. Nem lehet elvárni, hogy minden politikus profi szinten értsen az informatika ezen szakterületéhez, de el kell látni olyan információkkal, méghozzá azonnal, amelyek alapján egy ilyen krízishelyzetben döntéseket, intézkedéseket tud hozni.
Harmadsorban kiderült: bár a válsághelyzetben jól működött a privát szektor szakértőivel meglévő, informális kapcsolatrendszer (hiszen az észt gazdasági élet szereplőinek és ne felejtsük el, a finn, svéd telkó és pénzügyi anyavállalatoknak is elemi érdeke volt a támadás elhárítása, az ország működőképességének megőrzése, egy esetleges bankpánik kialakulásának megelőzése), de ezt formalizálni kell. Megfelelő formát és szervezetet kell kialakítani ahhoz, hogy az addigi, főleg személyes kapcsolatokon alapuló ad-hoc közreműködés hivatalossá válhasson. Mára ez is megtörtént.
A 2007-es saját incidens és a 2008-as grúziai háború tapasztalatai alapján alkották meg az első, átfogó nemzeti cybervédelmi stratégiát. Ennek továbbfejlesztése, bővítése és finomítása a mostani, 2014-2017 közötti időszakra szóló stratégia. A finomítás elsősorban a technikai, szervezeti és jogi területet érintette. Az új stratégia során a hazai mellett a nemzetközi tapasztalatokat is figyelembe vették. Az észt szakemberek meggyőződése, hogy a cybervédelem, csakúgy, mint a cyberbűnözés vagy –hadviselés, határokon átnyúló tevékenység, így igyekeztek minél több szervezettel, hatósággal felvenni a kapcsolatot és együttműködést kialakítani. Ezt megnehezítette, hogy nagyon sokféle szervezeti-vezetési forma létezik már csak az EU-n belül is.
A 2007-s támadás és annak kivédésének tapasztalatai miatt jött létre a „cyber nemzeti gárda”, azaz észt nemzeti liga cybervédelmi egysége. A cél: megvédeni az észt e-életstílust. Erre áldoznak tudást, időt az önkéntesek, aki mára már 100 főnél is többen szolgálnak az egységben. A nemzeti liga parancsnoki rendszere megfelelő alap volt az önkéntesek befogadására, munkájuk megszervezésére, irányítására. Az egység parancsnoka szerint a résztvevőket leginkább fehérkalapos hackereknek lehet nevezni, akik képesek kreatívan, a megszokott kereteken kívül gondolkodni. A jelentkezők komoly biztonsági háttérellenőrzésen esnek át, hiszen nemzetbiztonsági és gazdasági szempontból is igen érzékeny adatokhoz férnek hozzá. Az észt haderő egyfajta cybervédelmi agyközpontnak, ismeret- és képességtartaléknak, hálózatnak, s nem mellesleg tesztcsapatnak ismeri el és használja is az egységet. Sokat gyakorlatoznak, a védelmi liga kiváló kapcsolatot ápol a marylandi nemzeti gárdával, így itt cybervédelmi területen is szorosak a kapcsolatok.
A 2014-es stratégia középpontjában már a kutatás-fejlesztés, a kockázatkezelés és az információmegosztás áll. Egy elvégzett felmérés szerint a kritikus szolgáltatásokat végző cégek, hivatalok, intézmények 90 százaléka felelte azt, hogy működésük szempontjából kritikus fontosságú az informatika: a gonoszkodó észt előadó szerint a maradék 10 százalék vélhetően nem értette meg a kérdést. S hogy az eEstonia mennyire valóság: jelenleg több mint 400 államigazgatási szolgáltatás érhető el és használható akár kizárólag csak elektronikus úton. A banki műveletek 99,8 százaléka, az adóbevallások 95 százaléka (állítólag alapesetben 5 perces az egész kitöltögetősdi egy állampolgárnak) tisztán elektronikus. 1,2 millió aktív eID (elektronikus igazolvány, intelligens kártya) tulajdonosa tavaly 44 millió elektronikus aláírással hitelesített ügyet intézett el. Az elektronikus szavazás 2005 óta érhető el és egyre népszerűbb.
A határokon átnyúló kapcsolatok kiépítését sürgette az a tény is, hogy az országból számos tenger alatti adatkábel indul Skandinávia felé. Mivel számos svéd és finn telekommunikációs és pénzügyi nagyvállalat leányai dolgoznak az észt piacon, számos, észt szempontból kritikus rendszer adatbázisait svéd vagy finn szervereken tárolnak. Ezek és az adatösszeköttetés védelme is észt stratégiai érdek.
A digitális túlélésre ugyanakkor államszinten készülnek. A kritikus adatbázisok, inftastruktúrák duplázásával, adatbázisok tükrözésével, tartalék megoldások kialakításával akarják elérni, hogy az ország működőképes maradjon még egy nagyobb szabású cybertámadás esetén is. Az észt elképzelés szerint a cybervédelem csak helyhatósági, állami és nemzetközi szinten egyszerre, átfogó módon lehet hatékony. Ennek kulcsa az észt szakértők szerint a szoros együttműködés minden szinten, illetve a minél gyorsabb, akadálymentesebb kommunikáció.
A legutóbbi – igaz még Ukrajna előtti – közvéleménykutatás adatai szerint a megkérdezettek éppen az informatikai biztonságot nevezték meg, mint a nemzetbiztonságra leselkedő legnagyobb veszélyt. Az észt digitális személyi igazolvánnyal, az eID-vel a lakosság a hivatalokkal, cégekkel és egymással is titkosítottan tud kommunikálni. A rendszer az észtek szerint biztonságos, mert a kártya fizikai megléte és a hozzá tartozó jelszó egyszerre szükséges bármilyen tevékenység végrehajtására valakinek a nevében. Kiemelték: nem informatikai, hanem bizalmi kérdés a rendszer biztonságának szavatolása, a lakosság nagyon bízik a már megszokott-megszeretett elektronikus ügyintézésben és komoly hörgést váltana ki, ha papíralapúra kellene visszatérni. A helyi számítások szerint egy-egy ember egy hétnyi időt spórol meg évente azzal, hogy a hivatalba járások helyett elektronikusan intézi ügyeit.
A 2009-es vészhelyzeti törvény egyrészt azonosítja a kritikus fontosságú szolgáltatásokat, szektorokat, másrészt meghatározza, hogy milyen eszközökkel, tevékenységgel kell az informatikai védelmet megoldani. A törvény a gyorsan reagáló hatóságok és az érintettek közötti együttműködésre épít. A központi koordináló szerv a RIA (Republic of Estonia Information System Authority), amely civil hatóságként fogja össze, koordinálja és irányítja az alapvetően decentralizált, nagy, közös parancsnokság nélküli rendszereket. A RIA az összekötő az állami szervek, a cégek és a kormány között is, így komoly tájékoztatási-információáramoltatási feladata is van
A tájékoztatás azonban kötelezettség a kritikus szolgáltatást végző cégek számára is, minden cyberbiztonsági eseményt jelenteniük kell, elméletileg nincs „majd megoldjuk házon belül”-lehetőségük. A cégeket ráadásul – ha ritkán is – de tesztelik is, ellenőrzési célú betörési kísérletekkel, melyeket azért előtte jeleznek az érintetteknek. A RIA feladata a privát és az állami szféra erőforrásainak, kapcsolatának igazgatása is. Tanácsadás, tesztek, gyakorlatok szervezése és végrehajtása a NATO és az EU megfelelő szervezeteivel, a tagországokkal, konzultációk, jelentések fogadása és küldése, biztonsági felügyelet a nemzeti szintű veszélyeztetettségi és sérülékenységi elemzések elkészítése – minden a RIA-é.
A gyors adatáramlást és –feldolgozást segíti, hogy a jelentéseket szabványosított, strukturált formában küldik az érintett felek és a tájékoztatás is így történik. Nem cél a megszégyenítés, ellenben a tanulás, a tapasztalatok széles körű terítése igen. Így nem fontos a problémákban érintett cégek megnevezése sem.
Észtország kicsi hely, kevesebb mint 700 ezer adózóval, így kicsi az IT biztonsági szakma is, mindenki ismer mindenkit. Így a szakmabeliek között kifejezetten jó az együttműködés, legyen szó a hadsereg, az állam, a bankok vagy más cégek cyberbiztonsági szakembereiről, szervezeteiről. Az észt előadók itt is kiemelték az információk szabad és minél gyorsabb áramlásának szükségességét. A RIA célja nem a kemény hatósági szerep eljátszása, még akkor sem, ha ismerik egy-egy szervezet gyenge pontjait: nem az elidegenítés, hanem az együttműködés a cél. Ugyanakkor tény az is, hogy a cégek, bankok vezetőit, szakembereit is meg kell győzni: a tőlük befutó, az incidensekre és a rendszereikre vonatkozó, igencsak érzékeny adatokat a RIA és a kormány semelyik másik szervezete egyrészt nem fogja másra felhasználni, másrészt képes azok megvédésére, titokban tartására. Ez sokkal inkább bizalmi, mintsem szabályozási kérdés.
Akadályt jelent, hogy a határon átnyúló cybertámadások esetén nem sok esély van az elkövetők elfogására, bíróság elé állítására – gondoljunk csak Oroszországra. Ezért inkább a védekezésre kell helyezni a hangsúlyt, nem a bűnüldözésre. Figyelemre méltó, hogy ez talán az egyetlen olyan terület, ahol a bűncselekmények elszenvedőit stigmatizálják, kriminalizálják, nem az elkövetőt //gondoljunk csak a bankokra, egy esetleges sikeres adatlopást követő kommunikációra//. Problémát jelent a belső biztonság megteremtése és fenntartása is, gondoljunk csak Herman Simm esetére, aki a védelmi minisztérium biztonsági hivatalát vezette – orosz hírszerzőként. Ebből az esetből is tanultak, így a személyek háttérellenőrzését, a belső védelmet is átalakították, erősítették. Ma már a belső biztonsági problémák is a stratégiai fenyegetések közé sorolódtak.
