Social engineering (pszichológiai manipuláció)

A fogalom magyar fordításai közül talán a pszichológiai manipuláció áll a legközelebb a jelentéséhez, de ez sem fedi le teljes jelentéstartalmát. Bár nem minden bűnözés, ami social engineering, a kifejezés a manipuláció mellett zsarolást vagy kényszerítést, va-lamint megtévesztést is jelent. Ez az eszköz kissé kilóg az előbb felsoroltak közül, de a hatékonyságban sokszor meghaladja azokat. A módszer nem logikai támadást takar, hanem az embert mint az információs rendszer részét támadja meg. Befolyásolás, zsarolás vagy egyéb megtévesztő trükkök segítségével ráveszi a bennfentes felhasználót, hogy juttassa el a kártékony kódot egy – akár zárt – informatikai rendszerbe. A módszer olyan hatékony, hogy sokszor nincs is szükség egyéb módszerek alkalmazására a támadás sike-réhez. A leghírhedtebb példa az iráni urándúsítók elleni támadás. A Stuxnet nevű kártevőt egy olyan létesítmény informatikai rendszerébe sikerült eljuttatnia a támadóknak, amely teljes mértékben el volt zárva az internettől. Mivel az eset következményeiről értesült a nyilvánosság, de a körülményeiről nem, ezért nem lehetünk biztosak benne, hogy az al-kalmazott módszer a social engineering volt-e, vagy sem, de valószínűsíthető, hogy aki bevitte a kártevőt a rendszerbe, az tudott róla, hogy mit tesz, és nem csak egy egyszerű biztonsági protokoll megszegéséről volt szó.

KORREKTÚRAPÉLDÁNY PB

10.3. Kiberbiztonság az okos városban

A kibertér szerepe az okos városban egyértelműen felértékelődik, ezzel együtt a kihívások is sokkal nagyobb hatást gyakorolhatnak az életünkre [Elmaghraby–Losavio 2014]. A Cisco, a világ egyik legnagyobb multinacionális IKT-vállalatának becslése szerint 2020 körül 50 milliárd eszköz fog kapcsolódni a világhálóra, és ennek köszönhetően az adatforgalom is óriási mértékben növekszik. A hálózatok ma már nemcsak számítógépeket és adatköz-pontokat kötnek össze, hanem olyan eszközöket is, amelyek korábban nem kapcsolódtak az internethez. Ezek közé tartoznak az autók, közlekedési lámpák, okos mérők, amelyek védelme kiemelkedően fontos. Az okos eszközöknél jelentkező leggyakoribb biztonsági kihívás, hogy sokan az olcsóbb terméket választják, amelynek gyártói az IT-biztonságra nem fordítottak kellő figyelmet, és nem frissítik azok vezérlőszoftvereit a legújabb felmerülő biztonsági kockázatok kivédése érdekében. Ez a gyakorlat már a gyártás során potenciális veszélyforrásokat állít elő, amelyeket megsokszoroz az a tény, hogy a gyártók gyakran egymás szoftvereit használják, így csökkentve a költségeket. A referenciaimplementáció miatt ugyanazok a biztonsági rések jelennek meg a piacon több száz eltérő termékben. Tehát az így létrejött változatos termékpaletta biztonsági szempontból csak látszólagos.

A felhasználók mindennapjaikban csak akkor érzékelik ezt a problémát, ha már ál-dozattá váltak. Ennek több oka is van. Az előbb említetten kívül például az, hogy az átlag felhasználók nem frissítik a termékek szoftvereit, így még ha van is a gyártónak valamilyen biztonsági fejlesztése, ez nem igazán jut el a termékekhez. Az olyan internetkapcsolattal rendelkező eszközök, mint a biztonsági kamerák vagy a digitális videófelvevők sok esetben nullához közelítő szoftveres védelemmel rendelkeznek, az azokból támadók viszonylag kis erőfeszítéssel jókora botneteket építhetnek ki, amelyekkel aztán erőteljes DDoS-csapásokat mérhetnek a kiszemelt célpontokra. A MIRAI botnet volt az első olyan hálózat, amely bizonyítottan IoT-eszközöket (zömmel internetes kamerákat) használt az elárasztásos tá-madásokhoz (DDoS). Ezeket a támadásokat ezen eset előtt csak számítógépek hálózatával hajtották végre. De az alacsony szintű gyártói védelem és a biztonságtudatos felhasználók hiánya azt eredményezte, hogy a gyári jelszót megszerezve a támadók több ezer IoT-eszköz felett vehették át az uralmat, majd médiaszolgáltatók oldalait árasztották el a kéréseikkel, amelyek több órára szüneteltetni kényszerültek szolgáltatásaikat.

A jelenlegi biztonsági kihívásokat kivetítve megpróbáljuk felvázolni, hogy milyen változásokon mehetnek majd át az okos város IKT-eszközei, és milyen kiberbiztonsági ki-hívások jelennek meg az okos város hat kulcsterületén (lásd 1.3.4. szakasz).

10.3.1. Kiberbiztonsági kihívások kulcsterületenként A) Infokommunikációs infrastruktúra

Ez a terület a leginkább érintett a biztonsági kihívásokkal szemben, hiszen a szerepe a kibertér fenntartása és a felhasználókkal való összekapcsolása (lásd 4. fejezet). A ma is tapasztalható kockázatok jellemzően a jövőben is tapasztalhatók lesznek, de az olyan fejlesztések, mint az IPv6 szabványú címkiosztás vagy a titkosítások nagyobb mértékű elterjedése, és a hatékonyabb IoT biztonsági mechanizmusok növelni fogják a biztonságot.

PB KORREKTÚRAPÉLDÁNY

Az infokommunikációs infrastruktúra egyben kritikus infrastruktúra is, azaz ha működése szünetel vagy sérül, nagymértékű károkat szenved a gazdaság és a társa-dalom is. Ez ma is így van. A másik fontos körülmény, hogy kölcsönös függőség áll fenn a többi kritikus infrastruktúrával, amelynek mértéke az okos városban csak növekedni fog. Ez a körülmény az integrált infrastruktúra tervezése során kiemelten kezelendő, különös tekintettel a szükségállapotokra, katasztrófahelyzetekre (lásd még [Bakonyi et al. 2016] 6.4. alfejezet).

B) Városigazgatás

A város és az állam kormányzási problémáinak egy részére megoldást jelenthet az IKT (lásd 5. fejezet), ugyanakkor új kihívások is jelentkeznek. Az IKT eszközeit használva eddig nem tapasztalt módon lehet majd nyomon követni a polgárok szokásait, tevékenységeit. Ezek a lehetőségek valamilyen módon a városi, illetve az állami vezetők befolyása alatt állnak, és az így kezükbe került hatalommal nagyon könnyen visszaélhetnek. A minél szélesebb körű ellenőrzés képessége a polgáraik felett már jóval az IKT megjelenése előtt is a „gon-doskodó” állam leginkább kívánt képessége volt. Az államnak elsődlegesen a biztonságunk megőrzése a feladata, de ezt a biztonságot úgy kell garantálnia, hogy közben ne szüntesse meg a polgárok szabadságát.

A városigazgatással összefüggésben más szemszögből is jelentkezhetnek kockázatok.

Olyan esetekben, amikor a vezetői döntések létfontosságúak (katasztrófahelyzet, vagy valamilyen szükséghelyzet), felértékelődnek azok a csatornák, amelyek összekapcsolják a döntéshozókat a polgárokkal. Ilyen esetben létfontosságú a tájékoztatás, illetve automa-tizált elhárító rendszerek esetén az üzembiztonság. Ilyen kritikus helyzetben a rendszerek sebezhetősége alkalmat adhat támadásokra (infrastruktúra-rombolás, zsarolás).

A szélsőséges esetek kockázatai mellett megjelennek olyan lehetőségek is, amelyek akár észrevétlenül befolyásolhatják az életünket. Az okosváros-koncepció egyik alapgondo-lata, hogy a polgárok aktívan részt vegyenek a város fejlesztésében és a döntéshozatalban, hiszen a technológia adott hozzá. Azonban, ha ez a technológia sérülékeny, akár észre-vétlenül is befolyásolni lehet a döntéseket és a fejlesztéseket. A ma működő elektronikus szavazási rendszerekkel szembeni kritikák főleg erről az eshetőségről szólnak.

C) Közlekedés

A járművek többsége már ma is rendelkezik valamilyen autonóm működésre képes fel-szereléssel. Ezek általában csak egy feladatot látnak el, amely lehet egy aktív biztonsági feladat (menetstabilizátor, blokkolásgátló, követési távolságot tartó elektronika) vagy egy kényelmi berendezés (sávtartó elektronika, parkolást segítő rendszer, sebességtartó au-tomatika). Ezeknek a rendszereknek fontos közös tulajdonságuk, hogy kikapcsolhatók, és csak kiegészítik az emberi irányítást, nem veszik át teljesen a jármű vezérlését. Egyes mai járműveket, amelyekben már nagy számban alkalmaznak ilyen eszközöket, már ne-vezhetünk félautonómnak. Ezt fejleszti tovább és haladja meg az autonóm jármű, amely egy rendszerbe szervezi a már alkalmazott eszközöket, és kiegészíti olyan szenzorokkal,

KORREKTÚRAPÉLDÁNY PB

amelyek képessé teszik a fedélzeti számítógépet a jármű irányítására a vezető beavatkozása nélkül is (lásd 7.5. alfejezet).

A technológia használhatóságához elengedhetetlen az internet vagy más számítógépes hálózat használata. Ez egyben azt jelenti, hogy ezek a járművek fokozottan ki lesznek téve a kibertér rosszindulatú felhasználóinak. Az elsődleges kockázat az irányítás elvesztése. Ha valaki átveszi a hatalmat a jármű felett, okozhat balesetet, követelhet váltságdíjat. További kockázat, ha az autonóm rendszer hibásodik meg, és egy kritikus helyzetben rossz döntést hoz, vagy nem dönt idejében, ezzel veszélybe sodorva az utasokat vagy a forgalom többi résztvevőjét. A közlekedésirányításban alkalmazott eszközök esetében ugyanezek a kocká-zatok sorolhatók fel azzal a különbséggel, hogy a kockázat ebben az esetben nem csak egy járművet érint. A közlekedésirányítási rendszerek részben ma is rendelkeznek valamilyen IKT-eszközzel vagy kapcsolattal, amelyek ugyan csak a felügyeletet segítik elő, vagy va-lamilyen egyszerű automatikát vezérelnek, de a kockázatok egy része már ma is fennáll.

D) Energetika

Az okos energiatermelés és -felhasználás biztosítása teszi lehetővé, hogy fenntartható le-gyen a város (lásd 8. fejezet). A termelésben és a felhasználásban is egyre több okos eszköz és irányítási rendszer jelenik meg. Az energiatermelés és -elosztás az okos városban sokfé-leképpen valósulhat majd meg, ami a kockázatokat is csökkenti, illetve elosztja. Az alapvető kockázati tényezők fennállnak, de nem teljesen úgy, ahogy ma. Az üzembiztonság mértéke valószínűleg javulni fog azáltal, hogy többféle forrásból származik majd az energia. A több forrás a támadások esélyeit is csökkenti.

A kockázatok a felhasználók oldalán jelennek majd meg az okos mérők befolyásolá-sával kapcsolatban. A mérőrendszerek nemcsak fogyasztás mérésére lesznek alkalmasak, de a felhasználók igényeit megfigyelve, akár befolyásolhatják is a fogyasztást. Ezzel azt kockáztatva, hogy jogosulatlan hozzáférés esetén befolyásolhatóvá válnak az egyes egy-ségek, de akár a hálózat is.