Kürti Sándor: az informatika világában bármikor nagy káoszt okozhat egy kisebb hiba is
Hasonlóan nagy károkat még nem okozott az a világ, amit az emberiség a tudomány számára megfogalmazott és elfogadott, mint amit egy „informatikai katyvasz” pénteken. Így fogalmazott a Hírklikknek Kürti Sándor arról, hogy egy egyébként kiberbiztonsággal foglalkozó cég hibás frissítése gyakorlatilag világszerte „kékhalált” és ezzel káoszt teremtett a Microsoft Windowst használók körében. Megbénulhat a világ egy informatikai leállástól? – kérdeztük az információbiztonsági szakembert.
Ahogy arról a Hírklikk is beszámolt, pénteken tömeges informatikai leállásokról érkeztek hírek szerte a világból, többek között bankokat, médiavállalatokat, légitársaságokat, kórházakat is érintett a probléma. Kiderült, a CrowdStrike kiberbiztonsági cég hibás szoftverfrissítést adott ki, amely a Microsoft Windows operációs rendszert működtető számítógépek összeomlását eredményezte, úgynevezett „kékhalált" okozott. E szoftvert számos vállalat használja eszközei védelmére.
Bármikor és bármilyen súlyosan előfordulhat olyan informatikai hiba, mint amilyen világszerte komoly gondot okozott – mondta a Hírklikknek Kürti Sándor. Az informatika ugyanis – tette hozzá – homlokegyenest eltér azoktól a csodadolgoktól, amiket az emberiség alkotott. Ez nem azt jelenti, hogy maga az informatika ne lenne csodadolog, hanem azt, hogy minden mástól különbözik, amit eddig az emberiség feltalált, kigondolt, rendszerbe állított és használ
Az információbiztonsági szakember példaképpen említette, hogy egy gyógyszernek rengeteg olyan szűrőn, akadályon kell keresztülmennie, amit maga az emberiség állított elő, mielőtt a betegekhez kerül, nehogy bajt okozhasson, vagyis minőségbiztosított legyen. De a villamosipari gépeket is csak nagyon sok és erős minőségbiztosítás után lehet elérni, használni. A műszaki alkotásoknak – köztük autóknak, repülőknek – is elképesztő szigorú biztonsági intézkedéseknek kell megfelelniük. Ebbe a rendszerbe keveredett bele az informatika, amely elérte, hogy szükségessé váljon szinte mindenhol. Például egy atomerőműben, amelynek pokolian kemény műszaki előírásai vannak és emellett informatikai eszközt is használnak. Viszont létfontosságú berendezések irányítását mégsem bízzák rá, mert tudják, hogy az informatikai biztonság nem felel meg semmilyen, az emberiség által kigondolt független biztonsági előírásnak – magyarázta.
Kürti Sándor szerint ez azért alakulhatott így ki, mert egy helyre, egy földrajzi koordinátára olyan elképesztően nagy befektetés, tőke koncentrálódott, amihez már nem kapcsolódtak védelmi gondolatok. Konkrétabban, az Amerikai Egyesült Államokban, a Szilícium völgybe olyan hihetetlenül nagy informatikai beruházások kerültek, amelyeknél kezdetben még az USA bíróságai igyekeztek korlátozni az eltúlzott mértékű, verseny nélküli eszközök használatát. A szakember emlékeztetett rá, hogy még az 1980-as évek végén a Bell-telefontársaságot, amely abban az időben egyeduralkodó volt az USA egyes részein, a bíróság gond nélkül felosztotta. Kimondta, hogy nem lehet egyeduralkodó, ugyanis az USA törvényei tiltják a piac egyeduralkodó vezetését.
A CrowdStrike – de még a Microsoft is – köröm alatti piszoknak tűnik a nagyágyúk – Apple, Facebook, Google – mellett, miközben az amerikai törvények szerint sem lehet már elkapni és feldarabolni azokat. „Egy teljesen új világrendszert kellene felépíteni az informatika és azon belül az eltúlzott, óriási pénztömegek felett rendelkező szereplők miatt, mert ezek már nem kezelhetők a ma alkalmazott amerikai eszközökkel” – mondta Kürti Sándor. Majd hozzátette, az Európai Unió (EU) 2004-ben létrehozta az ENISA-t, az Európai Uniós Kiberbiztonsági Ügynökséget, amelybe az akkor 21 országból áll unió tagországainak vezetői „be lettek kötve”.
Tőlük független 20 fős szakértői gárda dolgozott még az ENISA-nak. Kürti Sándor mellett a keleti blokkból még Lengyelország információbiztonsági ombudsmanja is tagja volt a húszaknak. Ők alkották meg a GDPR-t (General Data Protection Regulation), azaz az általános adatvédelmi rendeletet. „Magyarországon a GDPR szitokszó azóta is” – jegyezte meg a szakember, majd hozzátette, „egyébként ennek a rendeletnek az volt a célja, hogy a három nagyágyút, amelyek teljesen nyugodtan és szabadon leszívják az EU adatait, jól megbüntesse.” Az Apple-nek, Facebooknak és a Google-nek küldött az ENISA csillagászati összegű számlákat, amelyeket – némi húzódozás után, de – befizettek az uniónak. Ezzel a GDPR-t az EU befejezettnek tekintette.
Visszatérve a világszerte átélt komoly informatikai hibára, Kürti Sándor úgy fogalmazott: ez a minősített műszaki alkotások tudományos megközelítésének szembe köpése. Mindeközben nem is a legnagyobbak egyike, tönkre tudja tenni a fél világot. Ezek nem azok a módszertanok, amiket az emberiség a tudomány és a technika területén kőbe vésett. Ha egy frissítéssel akár a gyógyszer-, vagy a repülőgépipart, esetleg azok irányító rendszerét tönkre lehet tenni, akkor ez a tudományos megközelítés elfogadhatatlan.
Az a világ, amit az emberiség, a tudomány számára megfogalmazott és elfogadott, az ekkora károkat még nem okozott, mint amit ez az informatikai katyvasz. Ugyanis eddig önálló és független rendszer felügyelte és határozta meg minden termék szigorú minőségbiztosítását, pláne azokét, amelyeket nagyon fontosnak tartunk. Így például elfogadott, hogy nem lehet akármilyen kulimászból gyógyszert készíteni. De az informatikával foglalkozó cégekre ilyen rendszerek nem vonatkoznak. A GDPR is csak büntetéseket szab ki, amit aztán az adott cégek befizetnek és kész. Viszont ez nem lehet megoldás, mert egy ilyen leállás akár emberek halálát is okozhatja – emlékeztetett Kürti Sándor.
