Rendkívüli mértékben megoszlanak a vélemények, akár tanácsadói szinten is, hogy mekkora fontosságot tulajdonít valaki a szűkebb értelembe vett kiberhigiéniának. Vannak, akik a tudatosítás alapú védekezésben, awareness folyamatokban látják a védelem alapjait, mások úgy gondolják, hogy ez a védelem másodrendű a technológiai megoldásokkal szemben, mondván: az emberek mindig hibázni fognak.
A legjobb válasz talán attól is függ, hogy az érintett rendszer milyen adottságokkal rendelkezik, milyen a vezetői elköteleződés, illetve egyébként milyen erőforrások állnak rendelkezésre a védelmi intézkedések támogatására. Mindenesetre a nem megfelelő tudatosítás és védelem előbb vagy utóbb minden szervezetnél problémákhoz vezethetnek. Nincs ez másként katonai területeken sem.
Erről persze meglehetősen nehéz objektív képet adni, hiszen az ilyen esetek a legritkább esetben kerülnek nyilvánosságra. Másfelől viszont a darkweben rendkívül sok adat képződik, amit egyes szolgáltatók aggregálnak és kereshető formában is közzétesznek.
Az egyik legérdekesebb ilyen adatbázis alapján:
- a mil.hu (pl. https://www.ugyfelszolgalat.mil.hu, https://mh2krdd.mil.hu, http://tavoktatas.mil.hu/ilias.php),
- a honvedelem.hu (pl. https://honvedelem.hu, http://dev.honvedelem.hu, https://honvedelem.hu/admin),
- az iranyasereg.hu (pl. https://iranyasereg.hu, https://toborzas.iranyasereg.hu),
- a hm.gov.hu (pl. https://mail.hm.gov.hu/owa/auth/logon.aspx),
- a hmzrinyi.hu (pl. https://levelezes.hmzrinyi.hu/owa/auth/logon.aspx, https://levelezes.hmzrinyi.hu, https://nexon.hmzrinyi.hu/Login, http://www.hmzrinyi.hu),
- a hmei.hu (pl. https://mail.hmei.hu/owa/auth/logon.aspx, https://eoktatas.hmei.hu, https://toborzas.hmei.hu, https://vbkj.hmei.hu, https://toborzas.hmei.hu/Datacenter/Account/Login),
- a honvedelmitabor.hu (pl. https://mail.honvedelmitabor.hu)
rendszerekhez publikáltak már különböző jellegű hozzáféréseket kiberbűnözők.
Ezek az adatbázisok természetesen nem tekinthetők hiteles információforrásnak (a tényleges adatokat nem is teszik közzé, csak az érintettek számára elérhetők), így ezeket az adatokat fenntartással kell kezelni. Arra sem adnak iránymutatást, hogy ezekkel a hozzáférésekkel ténylegesen bárki visszaélt volna, illetve akár évekkel ezelőtt inaktívált vagy egyébként megfelelő incidenskezelési eljárással kezelt esetek is lehetnek köztük.
Éppen ezért nem is ez lenne a kiberhigiénia témám központjában, hanem az a tény, hogy a közzétett azonosítók mellett természetesen jelszavak is vannak, amiknek a bonyolultságáról ugyancsak képet kaphatunk (azzal a fenntartással, hogy természetesen nem tekinthetők hitelesnek ebben a tekintetben sem). A vörös a rendkívül gyenge jelszavak arányát jelenti, a sárga a gyenge jelszavakat, a narancs a közepeseket, a zöld az erős jelszavakat.
Az eredmények alapján kijelenthető, hogy a megszerzett jelszavak kapcsán egyetlen rendszer esetében sem érte el a 25%-ot a komplex jelszavak aránya (függetlenül attól, hogy ez kihaszálta-e valaki, vagy egyáltalán, kihasználható volt-e), illetve az 50%-ot a közepes és erős jelszavak együttes aránya.
A Kibervédelmi törvény, illetve a 7/2024 MK rendelet kifejezetten előírja, hogy az érintett szervezet fenntartja a gyakran használt, könnyen kitalálható vagy kompromittált jelszavak listáját, és ezt a listát a szervezet által meghatározott gyakorisággal frissíti, továbbá minden olyan esetben, amikor a szervezeti jelszavakat közvetlenül vagy közvetett módon veszélyeztetik.
A szervezetnek továbbá ellenőriznie kell, hogy a felhasználók által létrehozott vagy módosított jelszavak szerepelnek-e a gyakran használt, könnyen kitalálható vagy kompromittált jelszavak listáján.
Jó hír viszont, hogy a Védelmi Innovációs Kutatóintézet, a Katonai Nemzetbiztonsági Szolgálat, a Magyar Védelmi Exportügynökség, és a Magyar Honvédség Egészségügyi Központ esetében az adatbázis nem tartalmazott találatot.
Borítókép: ChatGPT
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
