Korábbi lapszámainkban részletesen taglaltuk az önvezető autókat és technológiáit, továbbá foglalkoztunk a mesterséges intelligenciával is. Ha e témaköröknek van közös nevezője, akkor az mindenképpen az adat, az adatfeldolgozás. Ahogy egy beszélgetés kapcsán elhangzott: „az adat a ma olaja”. Jóllehet a fent említett témakörök a jéghegy csúcsait jelentik, de kijelentés mégsem túlzó, elég csak a szinte mindenkit érintő GDPR-ra gondolni. Hogy ez a kicsit megfoghatatlan fogalom miként válik egyre inkább a hétköznapunk részévé, mennyire vesszük komolyan, és hogy mennyire tudunk majd vigyázni rá, arról Keleti Arthur kiberbiztonsági szakértővel, jövőkutatóval beszélgettem.
Keleti Arthur IT-biztonsági stratéga, az Önkéntes Kibervédelmi Összefogás alapító tagja, kibertitok jövőkutató. Kétséget kizáróan szenvedélyesen imádja a munkáját, amit az is igazol, hogy az egyórásra tervezett beszélgetésünk egy háromórás spontán miniszemináriummá nőtte ki magát, annyira belemelegedtünk a témába.
Arthur rendkívül elegánsan érkezik, a divatos nagykockás öltönye láttán azonnal déjà vum támad. Ha egy pipa is előkerülne a zakója zsebéből, azonnal digitális Sherlock Holmesnak nevezném. Remélem, nem haragszik majd meg ezért hasonlatért, és önök sem húzzák szélesre a szájukat. Már csak azért sem, mert a következő beszélgetés olyan logikus okfejtések mentén halad majd, amikkel akár ki is érdemelhetné partnerem az új nevét. Egészen biztos vagyok abban is, hogy sokak szembesültek már egy-egy későbbi taglalásunkkal, csak éppen a tények kimondatlanul maradtak. Akkor én most jó Watsonként a kérdéseimmel járulok a téma kibontásához.
Barna András (B. A.): Azt még értem, hogy valakiből hogyan lesz mondjuk kibervédelmi szakértő, de hogyan lesz valakiből jövőkutató?
Nálam az érdeklődés még gyerekkoromban kezdődött, kilencévesen, amikor megkaptam az első számítógépemet, egy Commodore 64 flopis változatát, ami akkoriban nagyon nagy dolognak számított. Tulajdonképpen ekkortól kezdett érdekelni, hogy valami hogyan működik. Az ajándék behozott még egy másik aspektust is az életembe, ugyanis a gép körül alakult egy kis baráti társaság. Azzal foglalkoztunk leginkább, hogyan lehet játékokat feltörni. (Nevet.) Ezt abban az időben még büntetlenül meg lehetett tenni. Később tágult a kör, zenéket is szereztem, és számos demoprogramot is írtunk a barátaimmal például arról, hogy működik a Commodore 64. Röviden azt is mondhatnám, hogy együtt nőttem fel a rendszerrel.
Ennek hozzáadott értékeként már tizenéves fejjel megtanultam olyan dolgokat, amelyeknek a mai napig hasznát veszem. Például megtanultam csapatban, határidőre dolgozni, és azt is, hogy az én munkám mások munkáját is befolyásolja, ha például határidőre nem készítek el valamit.
B. A.: A kiindulópontodat már látom, de hogyan léptél a biztonsági terület irányába?
K. A.: Kanadában jártam iskolába, ahol már akkor oktattak informatikai dolgokat. De azt kell mondanom, hogy ma a magyar informatikabiztonsággal foglalkozó szakértők között a vegyészektől kezdve a geofizikusokon át minden szakterület képviselője megtalálható. Az informatikai ipar e szeletét igen rendhagyó módon egyfajta különleges megszállottság és szakmai szeretet jellemzi.
A kérdésedre válaszolva: az 1990-es évek közepén elszegődtem egy személyihívó-céghez, az EasyCallhoz. Akkoriban ez még a jövőbe mutató lehetőségnek tűnt. Az internetes szolgáltatások környezetéért voltam felelős, és hamar kiderült, hogy az internet igen veszélyes terület lehet, ha bekötik egy szervezet életébe.
Csak a tisztánlátás kedvéért mondom el, hogy ez a rendszer úgy működött, hogy interneten küldtek be üzeneteket, amiket mi utána kiküldtünk a személyi hívókra.
Veszélyt hordozhatott magában bármi, az üzenetek tartalmától kezdve azok mennyiségéig. A rosszindulatú tartalmakról nem is beszélve, amelyek már akkor megjelentek, pedig még csak az internet hajnaláról beszélünk. Később átkerültem egy ICON nevű céghez, ezt követően a KFKI-csoporthoz, és végül a T-Systemhez. A cégekben az volt a közös pont, hogy tulajdonképpen mindenhol abszolút értelemben a biztonsági területtel és cégekkel, vállalatokkal, állami szervezetekkel foglalkoztam.
B. A.: Hogyan integrálódott ebbe a jövőkutatás?
K. A.: Elég gyakran szembesültem azzal a problémával, hogy vajon a biztonsági rendszerek, illetve a különböző támadások milyen irányba fognak haladni. A kérdés tehát adódott: ezek a biztonsági rendszerek képesek lesznek-e majd arra, hogy megvédjenek bennünket. Mondhatni, hogy ez egy tabutéma volt még akkor, amiről nem szerettek beszélni.
Michael Hayden, az amerikai titkosszolgálat volt vezetője aposztrofálta legjobban a helyzetet a kibervédelemmel kapcsolatban. Ő azt mondta, hogy a társadalmunk úgy működik, hogy ha valaki rosszul lesz, akkor tudjuk, hogy ki kell hívni a mentőket, ha kigyullad a ház, akkor ki kell hívni a tűzoltókat, ha betörnek, akkor ki kell hívni a rendőrséget. De kit hívsz akkor, ha feltörik a géped a kibertérben, és kit hívsz, ha ellopják az adataidat? Hol van, vagy hogyan jelenik meg ekkor az állami törődés? Ezen a területen, bármennyire is megdöbbentő, az állam csak bizonyos területeken és bizonyos feltételekkel tud segítséget nyújtani. Ez a megállapítás összecseng azokkal az elemzésekkel is, amelyek azt jósolják, hogy a következő években az érzékeny adataink kétharmadát nem tudjuk majd megvédeni. Ez a tendencia egyébként világosan kirajzolódik a trendeken is.
Évek óta körülbelül kétszáz nap körül van az az átlag, amikor hackerek úgy lépnek be bizonyos hálózatokba, hogy nem veszik őket észre. Valamint nagyjából hetven nap amíg a rendszerek üzemeltetői tudnak valamit kezdeni a betöréssel. A legnagyobb baj egyelőre az, hogy ezen az átlagnapszámon nagyságrendekben nem tudunk változtatni.
Ez egy harc, amiben úgy néz ki, hogy a legnagyobb erőbedobás ellenére sem tudunk teljesen fogást találni, plusz jönnek olyan technológiák – mesterséges intelligencia, kvantumszámítógépek –, amelyek rossz kezekbe kerülve még növelik is a kitettségünket.
Ennek okán engem elkezdett az érdekelni, hogy képesek leszünk-e a jövő informatikai rendszereit megvédeni, illetve ebben a minden mindennel összefüggő halmazban titkot tartani. Így kezdtem el ennek a témának a jövőkutatásával foglalkozni. Például egy olyan alapesettel, amelyben kérdésként merül fel, hogy a digitális asszisztenseink kifecsegik-e majd a titkainkat a jövőben, mert hát, valljuk be, már most is nagyon sok mindent tudnak rólunk. Elég csak egy olyan apróságra gondolnunk, mint a telefonba elmentett naptárbejegyzés, ami köztudottan már ma is számtalan platformon megjelenik.
B. A: Mennyire teszi egy ilyen munka paranoiássá az embert?
K. A.: A biztonsági szakértők eleve üldözési mániában szenvednek, mert biztosak abban, hogy minden rendszer feltörhető, hiszen nincsen 100 százalékos védettség. Személy szerint én abban is biztos vagyok, hogy mindig akad valaki, akit érdekel az én titkom, legyen szó bármilyen típusú titokról. Ugyanis a kibertérben annyira változatosak az adatok megszerzésére irányuló motivációk, amennyi színt csak el tud képzelni az ember, az államilag finanszírozott hackerektől kezdve egészen a fehérgalléros bűnözőkig, akik beköltöztek a kibertérbe, és dollármilliókat keresnek emberek internetes zsarolásával, adataik ellopásával vagy az adatok kereskedésével.
Visszatérve az alapkérdésre: mi, biztonsági szakértők általában meg vagyunk arról győződve, hogy megfigyelnek minket, akár most is, miközben beszélgetünk. Ennek ellenére én azt szoktam mondani – és lehetne ez a mottóm is –, hogy nem összevissza kell rettegni, hanem strukturáltan félni.
Egy nagyon leegyszerűsített, de jó példa erre bármelyik amerikai film, mondjuk a Bolygó neve: Halál. Ebben teljesen életszerűtlen helyzetekbe kerül a főhős, de mégsem aggódik összevissza, hanem strukturáltan: tudja, hogy mitől fél, és megpróbál arra az egy dologra koncentrálni, a többit pedig figyelmen kívül hagyja.
Mi tulajdonképpen strukturált félelmek alapján dolgozunk, és ez egyébként nem más, mint egy kockázatelemzés. Ezt kimondva-kimondatlanul, mindenki csinálja, a magánember is, csak éppen nem az adataival, hanem a mindennapi tevékenységei közben. Például ha az emberek elmennek egy koncertre, akkor felmérik, hogy hova tegyék az értékeiket, de mondhattam volna azt is, hogy ha kimennek a strandra, ugyanezt végiggondolják. Ez történik akkor is, ha mondjuk a bejárati ajtómra zárakat szereltetek: végiggondolom, hogy miből, milyet és hányat. És még számtalan ehhez hasonló dolgot említhetnék.
Mindebben az a tanmesei fordulat, hogy ugyanezt az adataink védelmében nem tesszük meg. Arra jöttem rá a kutatásaim során, hogy az adat egy olyan absztrakció, amire az immunrendszerünk egy más választ ad. Ha például azt mondom neked, hogy a gyerekedet az iskola előtt valaki várja, aki nem te vagy, és nem is a családod tagja, akkor egészen biztosan felszökik az adrenalinszinted, felugrasz és elrohansz. Ezzel szemben, ha azt mondom neked, hogy éppen most lopják el az érzékeny adataidat, vagy feltörték az e-mail-fiókodat, akkor semmit nem fogsz érezni. Egyszerűen azért történik így, mert erre nincs evolúciós válaszunk, és nem alakult ki bennünk a digitális érzékenység.
B. A.: Nem lehet, hogy ez a digitális érzékenység azért nem alakult ki, mert a hétköznapi embernek, mondjuk a PIN-kódján kívül, nincsen olyan dolga, ami releváns lenne ebből a szempontból. Ha nagyon demagóg vagyok, akkor úgy is mondhatnám, kit érdekel, hogy tudják-e, hogy én most a Costa Coffeeban vagyok vagy sem.
K. A.: Amit most elmondtál, az nem más, mint egy saját magadra levetített kockázatelemzés. De anélkül, hogy kötekednék, az általad említett példát nagy általánosságban meg is tudom cáfolni. Ugyan téged nem érdekel, hogy ki tudja, hol vagy, de ha mondjuk te megcsalod a feleségedet, akkor már minden bizonnyal érdekelni fog, hogy a feleséged tudja-e azt, hogy hol vagy délután egykor, vagy látja-e mondjuk a telefonod fizikai elhelyezkedését stb. De ez a feltevés bármilyen szituációra konvertálható. Ha például a gyerekedről valaki más is tudja, hogy hol van, az mindjárt érdekes. Egyébként a példákon jól érezhető, hogy ez a dolog nemcsak információtartalom-, hanem kontextusfüggő is. Ugyanis bizonyos dolgok például hétfőn még nem érdekesek, de szerdán már lehet, hogy azok lesznek. Számos esetet lehetne említeni: ilyen például egy betegség, ami a szomszédodat valószínűleg nem érdekli, de a munkaadódat, vagy éppen a családodat igen. Mondok mást: ha például a nemi érdeklődésed más irányú, vajon akarod-e, hogy ezt mindenki tudja? Én titokkutatással is foglalkozom, ami egyébként egy igen nehezen feltérképezhető terület. Anélkül, hogy most belemennénk ennek a részleteibe, tézisként megfogalmazható, hogy nem az számít, hogy valakit valami nem érdekel, hanem az, hogy az a valami mindenkit más érdekel. Az, hogy kinek mi az érzékeny adata, nem egyértelmű. Hozzá kell tennem: a fejekben sem egyértelmű. Például amikor beszélgetünk, akkor egy biológiai kontrollunk kvázi befolyásolja, hogy mikor milyen adatokat szolgáltatunk ki. Ez az interneten vagy a kibertérben nincs így, ott az adattestünk felett nincsen ellenőrzésünk.
B. A.: Annyi minden elhangzott pro és kontra, hogy ez inkább elbizonytalanít, semmint megerősít. Ha minden úgy van, ahogy mondtad, akkor létezhet ennek a helyzetnek valamilyen megoldása? Esetleg fel kell nőnie egy vagy két generációnak ahhoz, hogy ez az úgynevezett digitális érzékenység kialakuljon és tudatos legyen?
K. A.: Az a generáció, amelyik most nő fel, már abban él, hogy adatok keletkeznek róla, tulajdonképpen már a megszületése előtt is, hiszen amikor felteszed a születendő gyermeked 3D-s ultrahangképét az internetre, akkor ő már tudtán kívül ott van, anélkül, hogy ebbe bárhogyan is bele tudna szólni.
Egyes kutatások szerint ennek a problémának a megoldása egyfajta transzparencia lehet. Vagyis nem a bezárkózás, hanem annak az elfogadása, hogy egy csomó adatunk elérhető. A most felnövekő generáció már sokkal inkább a nyilvánosság előtt éli az életét, ugyanis tisztában van azzal, hogy sokan tudják róla, éppen merre jár, talán pont azért, mert ő maga csekkolt be valahol. Szóval már most elkezdődött ez az attitűdbeli változás, de azt még nem tudják megmondani a társadalomtudósok sem, hogy mennyire leszünk képesek ezt az abszurd gondolatot megszokni. De valahogy menni fog, az biztos.
Azt gondolom, hogy az ember természetes adaptivitási hajlama segíteni fog abban, hogy ezt az új szituációt feldolgozza, de gépek nélkül ez nem fog menni. Tehát a digitális érzékenység kialakításának kérdésére kicsit transzhumanista választ tudok adni, amikor azt vizionálom, hogy a gépekkel történő egyre szorosabb együttműködés fogja a megoldást hozni. Ez azt jelenti, hogy egy csomó dolog eldöntésében egy gép fog neked segíteni, és egy ugyanilyen gép fog megvédeni attól is, hogy te esetleg valamilyen érzékeny adatodat kiadd.
B. A.: Hogyan lehet majd ezt jogi alapokra helyezni?
K. A.: A joggal ilyen tekintetben óriási bajok vannak, ugyanis egy merev rendszer nem tudja követni e problematikát annak összetettsége és rendkívüli változékonysága miatt. Ez abból is látszik, hogy pár évvel ezelőtt még a csalás vagy hasonló szavakkal próbáltuk meg le- és körbeírni, hogy mi a hekkelés. Noha mára javult a helyzet, a hekkelést jogi értelemben még mindig valamilyen rendszerekbe történő behatolással teszi egyenlővé a törvényalkotás, miközben ahhoz, hogy küldjek neked egy zsarolólevelet, adott esetben semmilyen rendszerbe nem kell belépnem.
Egy-két haladó szellemű jogásszal már elkezdtem erről beszélgetni, hipotetikus alapon. Ebbe a távolba néző diskurzusban nem zártuk ki azt a lehetőséget sem, hogy normarendszerünket meg kell majd reformálni. Elképzelhető, hogy a jövőben a törvényeinket – bármilyen furcsán is hangzik ez most – részben számítógépek fogják írni, merthogy jórészt számítógépeknek is kell majd betartaniuk azokat. A digitális rendszerekre, a kibertérre egy önálló normarendszert kell majd kidolgozni, viszont az már most látszik, hogy az nem fog menni a hagyományos módszerekkel, miszerint erről ötévente a parlament próbál az aktuális helyzetet követő változtatásokat vagy döntéseket hozni.
Ma a hiányzó normarendszereket és szabályrendszereket gazdasági szervezetek próbálják pótolni, a Facebook, a Google, az Apple, az Alibaba, hogy csak néhány céget említsek. Mégpedig azért, mert nekik iszonyú fontos, hogy a te adataidat megvédjék. Viszont ha valami balul sül el, mert túl sokat látsz egy bizonyos dologból, vagy éppen túl keveset, akkor mondjuk a Mark Zuckerberg megy a szenátus elé raportra.
Ma a kontroll a gazdasági szervezetek kezében összpontosul, mert egyelőre nincsen jobb náluk, aki ugyanilyen szinten innovatívak és rugalmasak lennének ahhoz, hogy ezt meg tudják csinálni. Itt van például a kriptovaluták kérdésköre, ami egy hatalmas bizonytalansági tényező a jelenlegi monetáris rendszerekben. Létezhet-e olyan helyzet, hogy nem egy bankon, hanem valami máson múlik, hogy nekem van pénzem vagy nincs pénzem, vagy hol a pénzem?
Ne menjünk ebbe bele, legfeljebb csak egy rövid példa erejéig. A Facebook jövőre be akarja vezeti a saját kriptovalutáját, a librát. Rögtön be is idézték Mark Zuckerberget, hogy ő ezt mégis hogyan képzeli. Erre az volt a válasza, hogy ő nagyon szívesen használná a mostani pénzügyi rendszereket, csak az a baj velük, hogy nem elég fejlettek. Ugyanis nem tudják megcsinálni azt, hogy egy gombnyomással tudjak pénzt küldeni neked, vagy éppen a chatpartneremnek, ha ezt a pillanatnyi helyzet éppen úgy kívánná. Pedig valljuk be, ez nem egy nagy ördöngösség, de mégsem lehet megcsinálni a mai banki rendszerekben. Pláne az USA-ban nem.
B. A.: Nyilván nem is érdekük.
K. A.: Az lehet, de engem mint felhasználót érdekel, és innentől kezdve a piac diktál, és hozzáteszem: van már több ilyen működő rendszer is, például Kínában.
B. A.: Mi idehaza országszinten hogy állunk a kiberbiztonság terén, foglalkozunk ezzel annyit, amennyit kell?
K. A.: A mérték eltérő. A témával a kormányzat az elmúlt időben kezdett el intenzívebben foglalkozni. Nekem az a véleményem, hogy Magyarországon nagyjából öt év a lemaradásunk, viszont a veszélyek ugyanolyan magasak, mint bárhol másutt a világban, ugyanis egy globális hálózatról beszélünk, ahol nincsenek fizikai határok. A pénzügyi ágazat a legfejlettebb terület, mint bárhol másutt a világon. Ugyanis a pénz az egy olyan általános mérőeszköz, amiről mindenki tudja, hogy amíg van neki, addig valamiféle biztonságban van. Ez a pénzre való fókuszálás megjelenik állami szinten, a szabályzók szintjén is. Ez a szegmens az ipari átlag fölött van, a többi szereplő messze nem áll ilyen jól. Számos helyen ugyanis – a bankokkal ellentétben – nem informatikai alapon folyik a termelés, például egy autó- vagy gyógyszergyárban. Bár e rendszerek is informatikai alapon működnek, nem tárolnak adatot, és az adott termék gyártása is fizikai úton történik, ezen okokból kifolyólag pedig kevésbé hangsúlyos az informatikai biztonság. Az a gondolkodásmód jellemzi e cégeket, hogy a robotot, ami az adott terméket gyártja, nem kell úgy védeni, mint mondjuk a bank szerverén gyűlő adatokat. Pedig valójában kell, mert az elmúlt évek tapasztalatai is azt mutatják, hogy a hackerek ezeket a gyárakat is célba vették már. De nemcsak őket, hanem a beszállítóikat is, ahol ipari titkok, gazdasági információk, de akár személyes adatok is tonnaszámra fellelhetők.
Komolyan le vagyunk maradva a családok, gyerekek védelme terén is. Elindultak már kezdeményezések, de még nagyon messze vagyunk attól, hogy elérjük a kívánt szintet. Nekünk ma erről már úgy kellene beszélnünk, mint egy evidenciáról, egy természetes dologról, de messze nincsen így. Sajnos, az emberek a kiberbiztonságra mindig csak utólag gondolnak.
B. A.: Feltehetően azért, mert úgy gondolják, amíg nincs baj, addig nincsen baj, csak akkor van baj, ha baj van.
K. A.: Hát igen, de akkor tényleg nagy baj van. Ezt az eszmefuttatást csak azért nem értem, mert ugyanakkor vannak dolgok, amiket eleve megcsinálunk. Például, ha kinézek az ablakon, és látom, hogy esik a hó, akkor biztos, hogy felveszek egy kabátot meg egy sapkát, mert tudom, hogy ha ezt nem teszem meg, akkor meg fogok fázni. Nem értem, hogy ugyanezt a logikai lépést miért nem teszik meg egy informatikai rendszer felépítésekor. Egy beruházás értékének 2-5 százalékába kerül a védelmi rész, amit sok esetben nem terveznek bele, utólag viszont akár tízszer annyiba is kerülhet az integrálása. Az egyéb járulékos problémákról nem beszélve.
B. A.: Egy picit váltsunk területet! Nem titkolom, az önvezető autók számomra egyfajta a fétist jelentenek. Ott szinte minden mindennel összefügg, és a kommunikáció óriási kiterjesztéséről van szó. Mennyire tudjuk ezeket a rendszereket biztonságossá tenni, megvédeni?
K. A.: Nem korlátoznám le csak az autókra a választ, hiszen az autókon kívül még egy sor dologban milliónyi adat keletkezik. Például ma egy modern repülőgépben akár ötvenezer szenzor is dolgozhat, és akár egyetlen úton több terabájtnyi anyag keletkezik. Nem az adatok keletkezésével van a baj, hanem azok feldolgozásával és megvédésével.
2016-ban egy konferencia keretében kiberbiztonsági gyakorlaton vettem részt, melynek a lényege az volt, hogy egy képzeletbeli országban az autók egyszer csak leállnak. Egészen pontosan még nem álltak le, csak megjelent a kijelzőjükön egy felirat, amiből kiderült, hogy ez dolog egy hackercsoporthoz köthető. Később kiderült, hogy a hackerek betörtek az autógyártó informatikai rendszerébe, és egy zsarolóvírussal megfertőzték az autószoftver-frissítéseket. A képzeletbeli történet úgy folytatódott, hogy ez a hackercsoport még nem élesítette a vírust, de közzétette a követeléseit, melyeket ha nem teljesít a kormány, akkor élesítik a rendszert – mint egy jó krimiben –, és nemcsak a magánjárműveket állítják le, hanem minden mást is, amiben ez a szoftver fut. A jó dramaturgia természetesen kitért a rendőr-, a mentő- és tűzoltóautókra is. Ez persze egy nagyon szűk kivonata a gyakorlatnak, hiszen, ahogy haladt előre a történet, úgy eszkalálódott is. Ami ebből érdekes: ez 2016-ban játszódott le az EU biztonsági vezetőinek egy gyakorlatán, ahová persze néhány autógyár is hivatalos volt. Amikor véget ért a szimuláció, megkérdezték tőlük, hogy ez a valóságban megtörténhet-e? Persze először teljesen lehetetlennek tartották a dolgot, de a helyzetet analizálva a végére nem is tűnt túl abszurdnak ez történet. Ez négy éve volt, képzeljük el, hogy azóta mennyi minden és hova fejlődött.
Minden rendszerrel, amit automatizálva használunk és mélyen beintegrálunk a környezetünkbe, tehát minél több robotba, autóba, eszközbe, orvosi műszerbe beletesszük, egyre nagyobb lesz a kitettségünk. Minél jobban összekapcsoljuk őket, annál magasabb a rizikófaktor. Ez ellen csak olyan gondolkodásmóddal és szoftverekkel lehet harcolni, amelyek az ilyen típusú támadásokat többé-kevésbé automatizált módon próbálják észlelni, elhárítani, jelenteni.
B. A.: Szokták mondani, hogy a rablót a pandúrtól csak egy vékony vonal választja el egymástól, igaz, egy nagyon fontos vonal. Ez a megállapítás a hackerekre és a kibervédelemre is ugyanígy állhat. A kérdés az, hogy egy biztonsági rendszer mennyire összpontosulhat egy kézben? Okozhat-e gondot, ha valaki, mondjuk, átáll a sötét oldalra?
K. A.: A kérdés jó és hatásos is. Nagyon sok olyan etikus hacker van, aki korábban nem etikusan tevékenykedett. Az általad említett vékony vonal egy nagyon fontos kérdés, mert egy morális kapcsolót feltételez. A lényeges kérdés mindig az, hol áll meg valaki. A biztonsági szakembereknek azt mantrázzák, hogy ők ott állnak meg, amikor már demonstrálták valaminek a sérülékenységét, de még nem okoztak vele kárt.
A rendszerek tervezéskor jellemzően nincs egy úgynevezett „master mind”, akinek minden összpontosul a kezében, de nyilvánvalóan nem kizárható, hogy aki részt vesz egy ilyen projekt fejlesztésében, ismeri annak a hibáit. Ha ez a személy labilis, akkor ehet korrumpálni, és elképzelhető, hogy ezeket a hibákat kiadja. Természetesen egy rendszer hozzáféréseinek, azonosítóinak és jelszavainak védelmére beépítenek egyfajta kontrollt, hogy ne legyen egyszemélyi hozzáférhetőség, ne legyen a rendszernek Achilles-ina.
B. A.: Nem akarok kekeckedni, de ha tudják, hogy egy rendszerben van hiba, akkor azt miért nem próbálják meg kijavítani? Ez lenne az evidens, nem?
K. A.: Ez nem kekeckedés, hanem egy tökéletes kérdés. A rendszerekben többfajta hiba fordulhat elő. Van, amiről nem tudunk, de belekerül és fölfedezzük. Van olyan hiba, amiről már a tervezéskor tudsz, felfedezed, mégis benne hagyod. Mind a kettőnek legfőbb oka a gazdasági környezet. Minden rendszerben – és ez nem csak a biztonságra igaz – vannak hibák, amiket általában gazdasági, stratégiai és egyéb okokból benne is hagynak a rendszerben. Egyrészt műszaki okból, mert ma már annyira bonyolult struktúrák épülnek fel, amelyeknek mondjuk több millió sorból áll a forráskódja, ebben pedig kizárt, hogy megtaláld az összes hibát. De még ha meg is találod és sorrendbe rakod, akkor is csak az első ötöt vagy tízet fogod kijavítani, mert erre van idő és erre van pénz. Illetve létezik olyan helyzet is, amikor kockázatarányos döntéseket kell hozni, aminek végeredményeképpen ezt vagy azt hibát benne hagyják, és konstatálják, hogy ez ott van.
B. A.: Foglaljuk keretbe, és zárjuk le egy kicsit személyesebb kérdéssel ezt a beszélgetést. Személy szerint neked milyen a privát „kiberbiztonságod”? Aggaszt a magad helyzete, vagy nem?
K. A.: Nagyon nehéz kérdést tettél fel, mert az én helyzetem egy kicsit speciális. Azért speciális, mert többfajta biztonsági megközelítés van, amit követni lehet. A legtöbb biztonsági szakértő általában nem szeret porondon lenni, nem szeret sok információt megosztani magáról. Ugyanis a védelemnek az egyik eszköze az, hogy minél kevesebbet beszélj. Én a szakmámnak egyfajta képviselője, szószólója vagyok. Nem tudom megtenni, hogy például egy ilyen interjúban, amikor kérdezel, nem mondom el, hogy honnan jöttem, mit csináltam, mi a véleményem, mert akkor annyi lenne a beszélgetésnek. Emiatt egy kicsit nehezebb a helyzetem. Egyszerre kell vigyáznom arra, hogy mit mondok, ugyanakkor ezzel párhuzamosan mondanom is kell egy csomó dolgot, amit utána felvállalok. Ezt tetézve az életemet még kombináltam a jövőkutatással is, melynek szerves része, hogy egy sor olyan dolgot ki kell próbálnom, ami még nem biztonságos. Hiszen nem lehetséges úgy valaminek a jövőjéről beszélni, hogy nem tudom, hogy milyen és hogy működik. Szóval nem érzem magam biztonságban. Én már nagyon sok éve minden e-mailemet úgy küldöm el, hogy biztos vagyok abban, hogy azt a címzetten kívül más is fogja olvasni.
Próbálok biztonságtudatos és kockázatelemző életet élni, de azt kell mondanom, arra hogy ezt igazán hatékonyan tudjam csinálni, igen kevés az esélyem, és emiatt nem alszom jól.