Nehéz helyzetbe került januárban az egyik vezető kiberbiztonsági cég, az orosz Kaspersky Lab. Miután felmerült a gyanú, hogy a cég szoftverei segítségével az orosz titkosszolgálat titkos dokumentumokat szerezhetett meg, Donald Trump amerikai elnök rendeletben tiltotta meg az amerikai állami alkalmazottaknak, hogy Kaspersky-szoftvereket használjanak. Nem sokkal később a legtöbb amerikai szaküzlet is levette a polcairól a Kaspersky termékeit. A botrányra válaszul a Kaspersky bejelentette, nemzetközi átláthatósági akcióval tisztázná magát: egyebek mellett közzéteszi a szoftvereik forráskódját, és jutalmat ajánl annak, aki biztonsági rést fedez fel a szoftvereikben. A cég regionális vezetőjével, Dragan Martinoviccsal erről, valamint a következő évek kiberbiztonsági kihívásairól beszélgettünk.
P&P: Az önök cége nemrég bejelentette, hogy közzéteszi a vírusirtó és más szoftvereik forráskódját, hogy eloszlassák az olyan aggodalmakat, hogy a programokban titkos kódokat helyeztek el. Laikusként arra gondoltam: tulajdonképpen miért nem ez az általános gyakorlat? Logikus lenne, hogy ha megveszek egy szoftvert, akkor tudni szeretném, az pontosan hogyan működik, milyen kódokat futtat a számítógépemen.
- 2018-tól a cég forráskódjának független vizsgálata és értékelése,
- 2018-tól a vizsgálat eredményének beépítése a cég stratégiájába,
- 2018-tól a fejlesztések összehangolása a cég adatfeldolgozó folyamataival egy harmadik független partnerrel, amely igazolja a vállalat megfelelőségét az említett vizsgálatokon
- Három Átláthatósági Központ megalapítása, hogy az esetlegesen felmerülő informatikai problémákat közösen oldják meg a partnerekkel, az ügyfelekkel, valamint a kormányzati szervekkel. A központokban a szoftverfrissítések és a forráskódok elérhetőek lesznek.
- 100.000 dollárra növeli a pénzdíjat azon független biztonsági kutatók számára, akik a Kaspersky Lab legsúlyosabb biztonsági részeire felhívják a figyelmet a Coordinated Vulnerability Disclosure program keretein belül.
P&P: Ebben az esetben nem jelenthet veszélyt a felhasználókra az, ha közzéteszik a forráskódot? Tartanak-e attól, hogy más cégek lemásolhatják az önök programjait?
DM: Egyelőre még nem dőlt el teljesen, milyen módon tesszük közzé a forráskódokat. Az biztos, hogy nem lesznek bárki számára elérhetők, inkább külsős biztonsági szakértők ellenőrizhetik és véleményezhetik majd, akivel titoktartási szerződéseket kötünk majd. Az ellenőrzésekre biztonsági központokat nyitunk több kontinensen, a tervek szerint ezek 2020-ban indulhatnak el.
Ami a lemásolást illeti: a megoldásaink szerzői jogvédelem alatt állnak, így fel tudnánk lépni a hamisítók ellen.
P&P: A Kaspersky ellen nemrég elég súlyos vádak merültek fel. Állítólag a vírusirtó a Kaspersky egy szerverére továbbította az amerikai NSA egyes titkosított dokumentumait, elemzési céllal. Úgy tudni, ezt a cég sem cáfolta, azzal védekeztek, hogy azért másolta le a program a dokumentumokat, mert egy malware megfertőzte őket. Valóban lemásolják a Kaspersky-szoftverek a privát fájljainkat? Ha igen, ebben várható változás?
DM: Tisztázzuk, pontosan mi történt. Minden antivírus-szoftver, ha gyanús fájlt talál, készít róla egy úgynevezett aláírást (signature). Ez valójában nem egy másolat a teljes fájlról: naponta mintegy 25 ezer egyedi malware-t kell feldolgoznunk, hamar megtelnének a szervereink, ha minden gyanús fájlt el kellene tárolnunk. Ehelyett csak a fájlok egyes adatait tartjuk meg az adatbázisunkban. Amikor a vírusirtó ellenőrzést hajt végre a számítógépen, megnézi ezt az adatbázist, és az ott látott mintákat keresi meg a felhasználó gépén.
A 2014-es esetben talált gyanús fájl egy ZIP-archívum volt, amit megfertőzött egy alkalmazás-formátumú malware. Ennek az alkalmazásnak az aláírása volt az, amit a program továbbított az adatbázisunkba, magukat a dokumentumokat nem tudtuk volna elolvasni. Egyébként információkat csak akkor küld a saját szervereinkre a vírusirtó, ha a felhasználó ezt engedélyezi. Nálunk a telepítéskor a program megkérdezi, hozzájárul-e a Kaspersky Security Network frissítéséhez. Ha úgy dönt, hogy nem, akkor semmilyen adatot nem tárolunk el tőle
P&P: Mekkora anyagi kárt okozott az amerikai botrány?
DM: A 2017. évet pozitívan zártuk, és úgy látom, jelentős bevételkiesést a mostani ügy sem fog okozni. Az amerikai kormányzati szervek tényleg nem vesznek tőlünk több terméket, magánszemélyek és cégek körében viszont nem estek vissza így az eladásaink. Persze azt még ki kell várnunk, mekkora kárt okozott a hitelességünkben ez az ügy, most leginkább magyarázkodnunk kell. Még el kell telnie némi időnek, hogy ennek az ügynek a hatásait fel tudjuk mérni. A privát szektor nagy része továbbra is bízik bennünk, a Forbes Top Companies-lista több cége továbbra is a mi szoftvereinket használja.
A helyzet még képlékeny és az amerikai nemzetbiztonsági hivatal állításai valószínűleg további jelentős jövedelemkiesést okonak majd, beleértve a fogyasztói eladásokat, ahogy az ügyfelek eldöntik, megújítják-e a maglévő szerződésüket velünk, vagy más megoldás után néznek.
P&P: Tekintve, hogy a Kaspersky több vezetője is az orosz titkosszolgálatok volt tagja, mennyire garantálható a Kapersky-termékek függetlensége?
DM: Kezdjük ott, hogy nincs olyan, hogy volt KGB-s. Az nem most derült ki, hogy a cégalapító Eugene Kaspersky korábban a szovjet államvédelmi szolgálatok által támogatott egyetemen kapott kriptográfiai kiképzést. Ő a '80-as években volt orosz fiatal, akkoriban nem voltak privát képzések, csak állami programok. Ezt tudta a piac is, mégis, eddig megbíztak bennünk. Csakúgy, mint több külföldi hatóság, például az Interpol, az Europol és több helyi bűnüldöző szerv. Ők úgy látják, mi is csak a kiberbűnözőket tekintjük ellenségnek.
P&P: Milyen új trendek jöhetnek a közeljövőben a kiberbűnözés terén, mi az, amire érdemes a felhasználónak vigyáznia?
DM: Erről hetekig tudnék mesélni, de röviden: amire leginkább figyelni kell, azok a supply chain-alapú támadások. Ezek lényege, hogy ahhoz, hogy a hackerek eljussanak egy nagyvállalathoz, nem közvetlenül őket, hanem sebezhetőbb, nekik beszállító kisvállalatokat támadnak. Ha például egy multicég egy kisebb marketingcégtől rendel szolgáltatást, akkor a kiberbűnözők először azok szervereibe, felhasználói fiókjaiba hatolnak be, hogy információkat szerezhessenek a valódi célpontról, a multiról.
Komoly kockázatokat jelenthetnek a dolgok internetén található biztonsági rések is. Ezeket kihasználva rosszindulatú csoportok komoly kárt tehetnek akár az infrastruktúrában is.
Valószínű az is, hogy a jövőben több zsarolóvírus jelenik majd meg – ez az egyik fő fókuszunk, nemrég a Kaspersky rendőrségi szervekkel együtt pont olyan oldalt indított, ahol ingyen tölthetők le biztonsági kulcsok, amikkel újra hozzáférhetővé tehetjük a túszul ejtett fájljainkat. Az egyéni felhasználóknak emellett a saját személyes adataikra is érdemes ügyelni. Az ilyesmit az internet sötétebb részein csaknem fizetőeszközként használják.
P&P: Mit tehet valaki, ha esetleg már használják is az adatait illegális célokra? Hol lehet erről egyáltalán tudomást szerezni?
DM: Egyelőre szűkek a lehetőségek, de bízunk benne, hogy az EU által bevezetett, májusban életbe lépő GDPR ezt is megkönnyíti. Ebben például előírják a bankoknak és más cégeknek, hogy tájékoztassanak arról, mikor használta valaki náluk a saját személyes adatainkat – így legalább van rá lehetőség, hogy tudjuk, hol használták őket. Jelenleg nagyjából csak azt tudjuk ellenőrizni, ki használta az e-mail-címünket, viszont más adatokra, beleértve az ember jelszavait, keresési, böngészési előzményeit, nem vonatkozik ilyen védelem. Ezeket egyébként teljesen törvényesen működő oldalak is gyűjtik. A GDPR egyik erőssége, hogy rávehetjük arra a cégeket, hogy megmutassák, milyen adatokat rögzítettek rólunk, és, hogy töröljék ezeket.