Az RSA titkosítás kihívásai a kvantumszámítás korában
Kína kvantumszámítással feltörte az RSA titkosítást, alapjaiban rengetve meg a globális adatbiztonságot. A cikk bemutatja az áttörés következményeit és a felkészülési lépéseket.
A közelmúltban Kína bejelentette, hogy kvantumszámítás segítségével sikeresen feltörte az RSA titkosítást, amely a digitális kommunikáció és az adatvédelem sarokkövét jelenti. Ez az áttörés nem csupán elmélet—valódi, laboratóriumi környezetben demonstrálták, hogy a több száz qubitből álló kvantumszámítógépek képesek törni a hagyományos, 2048 bites RSA kulcsokat is. Ezzel egy új korszak küszöbén állunk, amely a már jól bevált RSA titkosítás helyett postkvantum megoldásokat követel meg.
Kína kvantumszámítással feltörte az RSA-t – veszélyben a globális adatbiztonság
A kvantumszámítás forradalma és Kína áttörése
A kvantumszámítás olyan új paradigma a számítástechnika világában, mely a klasszikus bitek helyett qubitek (kvantumbitek) segítségével dolgozik. A qubitek szuperpozíciója és összefonódása speciális kvantumalapú algoritmusok számára nyitja meg az ajtót, amelyek exponenciálisan gyorsabbak lehetnek bizonyos feladatok—például a számok faktorizációja—megoldásában. Shor-algoritmusa 1994-ben már elméleti alapot adott, de csak a közelmúltban vált lehetővé a kísérleti megvalósítás. A kínai kutatók legújabb kvantumszámítógépe több száz, hibakorrekcióra optimalizált qubitet használ, amellyel egy 2048 bites RSA kulcsot mindössze néhány óra alatt lebontottak.
RSA titkosítás és a kvantumkockázat
Az RSA (Rivest–Shamir–Adleman) algoritmus a nyilvános kulcsú titkosítás egyik legismertebb formája. Működése azon a matematikai tényen alapszik, hogy két nagy prímszám szorzatának visszafejtése klasszikus eszközökkel rendkívül idő- és erőforrás-igényes. A kvantumszámítás azonban Shor-algoritmusa révén radikálisan lerövidítheti ezt az időt. Amennyiben a kvantumszámítógépek elérik a szükséges qubit-számot és a hibaarányt a gyakorlatban is kontroll alá tudják vonni, az RSA kulcsok már nem nyújtanak megfelelő védelmet. Ez a kockázat nem csupán elméleti: a kínai áttörés rámutat arra, hogy a gyakorlatban is közelebb kerültünk a postkvantum korban elengedhetetlen biztonsági átálláshoz.
Globális biztonsági következmények
A kvantumszámítási áttörés közvetlenül fenyegeti a pénzügyi tranzakciók, a kormányzati kommunikációk és a felhőalapú szolgáltatások titkosítását. A pénzintézetek által használt SSL/TLS kapcsolatok, VPN-alagutak és digitális aláírások mind kockázat alá kerülnek, amennyiben az RSA kulcsok kompromittálódnak. Ugyancsak veszélybe kerülhetnek az egészségügyi adatok és a kritikus infrastruktúrák vezérlőrendszerei, ahol az adatvédelem és integritás kiemelt fontosságú.
A helyzet súlyosságát jelzi, hogy több nemzetközi szervezet már sürgeti a postkvantum kriptográfia szabványosítását. Az Európai Unió és az Egyesült Államok kormányzati ügynökségei közös kvantumbiztonsági irányelveket dolgoznak ki, míg a NATO-tagállamok közötti együttműködés is megerősödött a kvantumkockázatok kezelése érdekében.
Vállalati és állami felkészülés
Kockázatelemzés és prioritások meghatározása
A szervezeteknek elsőként fel kell térképezniük, mely rendszerek és adatfolyamok használják az RSA titkosítást. A kockázatelemzés során érdemes:
Azonosítani az RSA-alapú kulcskezelő rendszereket és TLS/SSL konfigurációkat.
Felmérni a kritikus tranzakciók és adatbázisok kvantumkitettségét.
Prioritási sorrendet felállítani a beavatkozás mértéke szerint.
Postkvantum prototípusok tesztelése
Az IT-biztonsági döntéshozóknak együtt kell működniük a beszállítókkal és szolgáltatókkal annak érdekében, hogy pilot környezetben már most kipróbálják a lattice-alapú, kód-alapú vagy polinomiális többváltozós megoldásokat. A kulcsforgatás rendszeres gyakorlata és a hibrid módszerek bevezetése — ahol a meglévő RSA mellé postkvantum algoritmusokat párosítunk — segíthet a zökkenőmentes átállásban.
Szabályozási és jogi kihívások
A kvantumszámítás jogi keretrendszere még kialakulóban van. Számos ország adatvédelmi törvénye (pl. GDPR) előírja, hogy a személyes adatok védelme “az állapot-of-the-art technológiának” feleljen meg. A postkvantum biztonsági követelmények beemelése ebbe a szabályozásba sürgető feladat: a kriptográfiai algoritmusok minősítését és auditálását új protokollok szerint kell elvégezni, hogy megfeleljenek a kvantumtámadások elleni védelem normáinak.
Technológiai átállási stratégiák
A gyors és biztonságos átállás érdekében a szervezeteknek érdemes a következő stratégiákat alkalmazni:
Hibrid titkosítás: RSA titkosítás mellé bevezetni postkvantum algoritmusokat.
Fokozatos kulcsváltás: 2025–2030 között lépésenként lecserélni a kulcsokat.
Szabványosítás nyomon követése: NIST és ISO javaslatok követése.
Jövőbeli kilátások: postkvantum titkosítás
A postkvantum titkosítás olyan algoritmusokat ölel fel, melyek ellenállnak a kvantumszámítógépek által kínált faktorizációs és diszkrét logaritmus-problémák gyorsításának. Nemzetközi szervezetek, mint az NIST, már folyamatban lévő szabványosítási versenyt folytatnak ezekre a módszerekre. A közeljövőben várhatóan több protokoll ér el gyakorlati érettséget, amelyek az internetes forgalom, az IoT-eszközök és a felhőszolgáltatások terén is alkalmazhatók lesznek.
Összefoglalás
A kínai kutatók kvantumszámítási áttörése világossá teszi, hogy az RSA titkosítás hosszú távon nem nyújt elegendő védelmet a kritikus információk számára. A szervezeteknek fel kell mérniük a kvantumkockázatot, és meg kell tervezniük a postkvantum kriptográfiai átállást. A tudatos felkészüléssel minimalizálhatók a biztonsági rések, és megőrizhető az adatok bizalma. Azonnali lépés: indítsa el a kvantumbiztos titkosítási auditot szervezeténél, és kezdje el a postkvantum protokollok tesztelését!
Globális perspektívák: Miért fontos mindenki számára az amerikai kritikus infrastruktúrák kiberbiztonsága?
A „kritikus infrastruktúra” kifejezés hallatán legtöbbször hídakra, erőművekre vagy vasúti rendszerekre gondolunk. De mi a helyzet azokkal a mindennapos jelenetekkel, mint amikor egy gyermek ivóvizet iszik egy parki csapból, vagy amikor egy tanár mesterséges intelligenciát használ az oktatás során? Vagy amikor repülőre szállunk egy hosszú hétvége alkalmával?
Ezek a tevékenységek olyan rendszereken alapulnak, amelyek egyre inkább digitalizálódnak és gyakran olyan hálózatokra támaszkodnak, amelyeket nem elsősorban a biztonsági szempontok figyelembevételével terveztek meg.
Olyan területek, mint az energia, az egészségügy, a vízellátás és a mezőgazdaság kritikus infrastruktúrái ki vannak téve a kibertámadásoknak, miközben a támadók egyre fejlettebb technikákat fejlesztenek.
Az év elején az amerikai kiberbiztonsági hatóságok figyelmeztettek az államilag támogatott kibertámadókra, amelyek Kína érdekeit szolgálják, beleértve a jól ismert Volt Typhoon csoportot, amely folyamatosan hozzáfér az USA kritikus infrastruktúráihoz, és készül arra, hogy zavaró tevékenységeket hajtson végre egy lehetséges konfliktus esetén.
A Környezetvédelmi Hivatal (EPA) nemrégiben arra figyelmeztette a vízellátó rendszereket, hogy azonnali lépéseket tegyenek az ivóvíz biztonságának megőrzése érdekében. Az EPA szerint a kibertámadások károsíthatják a vízellátó rendszerek működését, zavarhatják a vízkezelést vagy tárolást, illetve veszélyes szintre emelhetik a vegyszerek koncentrációját a vízben.
Nem minden amerikai kritikus infrastruktúra képes ellenállni és helyreállni egy kibertámadás után. Egyes tulajdonosoknak több forrásra van szükségük a kiberbiztonság és az ellenálló képesség javításához. Jen Easterly, a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség igazgatója a Kongresszus előtt hangoztatta, hogy „sajnos a kritikus infrastruktúránkat alátámasztó technológia alapvetően biztonságtalan, mivel évtizedeken keresztül a szoftverfejlesztők nem voltak felelősségre vonhatóak a hibás technológiákért.”
A vállalatoknak magas színvonalon kell eljárniuk a digitális termékek fejlesztésekor. Az Biden-Harris adminisztráció ezen a téren tett erőfeszítései dicséretre méltóak, azonban a kormányzat sürgős figyelmeztetései arra sarkallnak, hogy gyors lépéseket tegyünk a kiber-fizikai ellenállóképesség javítása érdekében.
A Colonial Pipeline esete rámutatott a kiberbiztonság fejlesztésének fontosságára. Fontos, hogy a figyelem a rendszerek szegmentálására irányuljon, így az üzleti rendszerek kompromittálása ne befolyásolja a szélesebb működést.
Szükség van egy alapvető paradigmaváltásra, amely túlmutat a digitális biztonságon és a valódi ellenállóképességre összpontosít. Ez a termékek és szolgáltatások tervezésével és építésével kezdődik, olyan rendszerekkel, amelyek támogatják a kritikus infrastruktúrákat abban, hogy a váratlan helyzetekben is a várt módon működjenek.
Képzeljük el, hogy egy kórház folyamatosan működik az internetkapcsolat megszakadása vagy egy zsarolóvírusos támadás alatt; egy vízmű kézi kezelése folyik, miközben a hatóságok vizsgálják a gyanús tevékenységeket egy tisztítóműnél; vagy egy villamos hálózat moduláris módon helyreállítható egy váratlan, széles körű áramkimaradás során egy viharban.
Eljuthatunk ide. El kell jutnunk ide.
A Tudományos és Technológiai Tanácsadó Testület nemrégiben kiadott egy jelentést, amely javasolt intézkedéseket tartalmaz minden kritikus infrastruktúra rendszer ellenállóképességének elérésére, beleértve a teljesítménycélok meghatározását, a kutatás és fejlesztés koordinálását, a kormányzati kapacitás javítását a kiber-fizikai ellenállóképesség növelése érdekében a Szektori Kockázatkezelési Ügynökségeken keresztül, valamint a tulajdonosok/üzemeltetők felelősségének növelését a kiber-fizikai ellenállóképesség terén.
A kiberhivatalok folyamatos figyelmeztetése arra utal, hogy sürgősen szükség van infrastruktúránk megerősítésére és tartós ellenállóképességünk megteremtésére. A támadások egyre csak növekednek. Készen állnak a rendszereink?
Infostealer támadások 2024-ben: hogyan védd meg céges adataidat?
Infostealer támadások 2024-ben: 16 milliárd fiókadat szivárgott ki – hogyan védekezzünk?
Több milliárd hitelesítési adat került nyilvánosságra infostealer kártevők révén – mutatjuk, mit tehet vállalat és magánszemély a védelem érdekében.
2024-ben minden korábbinál súlyosabb kibertámadás-sorozatra derült fény: infostealer típusú kártevők révén több mint 16 milliárd hitelesítési adat szivárgott ki. E-mail címek, jelszavak, hozzáférési tokenek, felhasználónevek és cookie-k kerültek bűnözők kezébe. Az érintett rendszerek között megtalálható a Google, Facebook, Apple, GitHub, Telegram, VPN szolgáltatók és kormányzati portálok is. Ez a szivárgás olyan méretű, hogy a biztonsági szakértők szerint újra kell gondolnunk az adatbiztonsági protokollokat – különösen a használt IT-eszközök selejtezése és az adathordozók megsemmisítése terén.
Mi az infostealer és hogyan működik?
Az infostealer – más néven „információlopó” – egy különösen alattomos típusú rosszindulatú szoftver, amelyet kifejezetten arra terveztek, hogy a fertőzött számítógépeken, laptopokon vagy akár szervereken tárolt érzékeny adatokat automatikusan összegyűjtse. Működése során először rejtőzködik: láthatatlanul fut a háttérben, és észrevétlenül kutatja át a rendszerben elmentett jelszavakat, böngészési előzményeket, hitelesítési tokeneket, e-mail kliensben mentett bejelentkezési adatokat, letöltött dokumentumokat, valamint kriptotárcák privát kulcsait. Ezek az információk – amelyek egyébként a felhasználó mindennapi munkájához elengedhetetlenek – könnyen visszaélések tárgyává válhatnak, ha rossz kezekbe kerülnek.
Miután a malware sikeresen összegyűjtötte a kívánt adatokat, titkosított kapcsolaton keresztül továbbítja őket egy távoli szerverre vagy közvetlenül a támadó vezérlőközpontjába. Innen a bűnözők az adatcsomagokat különböző célokra használhatják fel: fiókok feltörésére, pénzügyi visszaélésekre, személyre szabott adathalász kampányokra, vagy értékesítésre a darknet piacterein. A terjesztés módja is végtelenül változatos: leggyakrabban adathalász e-mail csatolmányokban (például álcázott Office-dokumentumokban) bukkannak fel, de fertőzött weboldalakról letöltött fájlokkal, hamis programfrissítésekkel, illetve kompromittált harmadik féltől származó szoftverek telepítőivel is terjednek.
Az elmúlt években több jól ismert infostealer-család is megjelent a kibertérben. Ilyen a RedLine, amely rendszeresen frissített verzióival folyamatosan új technikákat használ a biztonsági szoftverek kijátszására; a Raccoon Stealer, amely különösen hatékonyan gyűjti be a böngészők jelszó- és hitelesítési adatait; valamint a Vidar, amely az adatok mellett akár screenshotokat is készít a felhasználó képernyőjéről. Ezeket a programcsomagokat ma már gyakran kínálják „malware-as-a-service” formában, ami azt jelenti, hogy előfizetéses alapon, havi díj ellenében bárki hozzáférhet a támadó eszközökhöz. Ez a modell különösen veszélyes, mert bárki, minimális technikai tudással, rögtön indíthat célzott adatlopó kampányokat, anélkül hogy saját maga fejlesztené vagy karbantartaná a kártevőt.
Miért olyan veszélyes most ez a szivárgás?
Az eddigi adatdumpok többsége gyakran régi vagy újrahasznosított adatokat tartalmazott. A mostani azonban friss, aktív fiókokhoz köthető hitelesítési információkat fed fel – olyanokat, amelyek jelenleg is használatban vannak, sokszor 2FA nélkül. Így a támadók azonnal hozzáférést nyerhetnek felhőszolgáltatásokhoz, e-mail fiókokhoz, vállalati adminisztrációs felületekhez.
Mi történik az ellopott adatokkal?
A kompromittált hitelesítési adatok legtöbbször a dark web piacterein jelennek meg. Egy egyszerű e-mail/jelszó páros néhány dollárért cserél gazdát, míg egy vállalati VPN-hozzáférés akár több száz dollárt is érhet. Ezeket más bűnözők vásárolják fel további támadások – zsarolóvírus, célzott adathalász üzenetek vagy üzleti e-mail kompromittáció (BEC) – indítására.
Adatbiztonsági kockázatok vállalati környezetben
Ha egy vállalati adminisztrátori vagy fejlesztői fiók kompromittálódik, a támadók hozzáférhetnek belső hálózatokhoz, átvehetik a rendszerek feletti irányítást, és akár zsarolóvírust telepíthetnek. A következmények között szerepelhet a bizalmas üzleti információk kiszivárgása, adatvesztés, valamint jelentős pénzügyi és hírnévbeli károk.
Gyakorlati lépések a védelemhez
Magánszemélyeknek:
Használj minden fiókhoz egyedi, erős jelszavakat, és tárold őket jelszókezelőben.
Kapcsold be a kétfaktoros hitelesítést (2FA) – lehetőleg alkalmazás alapú vagy hardverkulcsos megoldással.
Rendszeresen ellenőrizd a fiókjaid biztonságát (pl. haveibeenpwned.com).
Telepíts naprakész vírusirtót, és tartsd karban a rendszered.
Vállalatoknak és döntéshozóknak:
Vezessetek be átlátható IT-eszköz selejtezési folyamatot, amely magában foglalja a végleges adattörlést.
Dokumentáljátok minden eszköz törlését törlési jegyzőkönyv formájában.
Alkalmazzatok minősített adattörlési módszereket (pl. Blancco, fizikai darabolás).
Végezettek rendszeres biztonsági auditokat és adathalászat-ellenes képzést.
Összefoglalás
Az infostealer támadások 2024-ben soha nem látott méretű adatvesztést okoztak. A pillanatnyi technikai védelem mellett legalább ilyen fontos az eszközökkel kapcsolatos folyamatok szabályozása: a fizikai megsemmisítés és az adattörlés jegyzőkönyvezése kulcsszerepű. Csak így csökkenthetők érdemben a kockázatok és tartható fenn a vállalati, illetve felhasználói bizalom.
Az OpenAI 2025. június 9-én bejelentette, hogy újabb ChatGPT fiókokat tiltott le, amelyeket orosz, kínai, iráni és észak-koreai hackercsoportok használtak rosszindulatú célokra. A letiltott fiókokkal végzett tevékenységek közé tartozott a malware-fejlesztés, dezinformáció terjesztése, társadalmi manipuláció, és hamis online profilok létrehozása. A vállalat által közzétett fenyegetés-intelligencia jelentés részletes betekintést nyújt a generatív MI eszközökkel kapcsolatos visszaélésekbe, valamint hangsúlyozza a ChatGPT fiókok tiltásának stratégiai jelentőségét a kiberbiztonsági védelem szempontjából.
Miért kritikus a ChatGPT fiókok tiltása a kiberbiztonságban?
A generatív mesterséges intelligencia – különösen a ChatGPT – alkalmazása új szintre emelte az informatikai biztonsági kihívásokat. A támadók ezeket az eszközöket nemcsak egyszerű szövegírásra vagy kódgenerálásra használják, hanem kifinomultabb célokra is, például sebezhetőségek keresésére, exploitok előkészítésére, szociális manipulációs forgatókönyvek létrehozására, valamint célzott phishing kampányok személyre szabására.
Az OpenAI intézkedései egyre fontosabbá válnak ebben a környezetben. A ChatGPT fiókok rendszeres auditja és visszaélések esetén történő tiltása jelentős akadályt gördít a fenyegető aktorok útjába. Ezzel nemcsak az adott műveletet lehet megszakítani, hanem hosszú távon a támadók képességeinek fejlődését is korlátozni lehet. A MI-rendszerekben rejlő gyorsaság és skálázhatóság ugyanis komoly előnyt jelentene a rosszindulatú felhasználók számára, ha nem történne aktív beavatkozás a szolgáltatók részéről.
ScopeCreep: az orosz fenyegető aktorok esete
A ScopeCreep néven azonosított orosz nyelvű hekkercsoport különösen figyelemre méltó módszereket alkalmazott a ChatGPT kihasználására. A csoport ideiglenes, egyszer használatos e-mail címekkel regisztrált, hogy anonimitását megőrizze, majd ezeken keresztül generált Go nyelvű rosszindulatú kódot. A kódot interaktív módon, iteratívan fejlesztették tovább a ChatGPT-vel folytatott beszélgetések során, miközben finomították a funkciókat és elrejtették a detektálható mintákat.
A támadók különösen ügyeltek a műveleti biztonságra (OPSEC): a beszélgetések lezárása után a fiókokat rövid időn belül törölték, így a visszakövethetőség minimalizálódott. A végtermékként előállított malware-t egy Crosshair X nevű nyílt kódtárra töltötték fel, amely valójában egy credential harvester volt – tehát felhasználói jelszavak, tokenek és más érzékeny adatok megszerzésére alkalmas eszköz.
Kínai APT5 és APT15 csoportok tevékenysége
Két jelentős, Kínához köthető állami támogatású csoport is felhasználta a ChatGPT-t: APT5 és APT15. Az OpenAI jelentése szerint ezek a csoportok többféle céllal használták a szolgáltatást. Egyes alcsoportjaik technikai kérdésekre kértek válaszokat, például Linux parancsokkal, tűzfalbeállításokkal, és DNS-konfigurációval kapcsolatban, mások pedig social engineering kampányok tervezésére és tesztelésére fordították az eszközt.
Az MI-t különösen a brute-force támadásokhoz szükséges scriptek optimalizálására, valamint az exploitok testreszabására használták. Android eszközök manipulációját célzó szkripteket is előállítottak, amelyek segítségével befolyásolni tudtak közösségi médiában zajló diskurzusokat.
Egyéb fenyegető klaszterek és módszerek
A jelentés több más, földrajzilag és módszertanilag eltérő fenyegető klasztert is bemutat. Észak-Koreához köthető hálózatok például úgynevezett „IT worker” típusú átveréseket hajtottak végre: hamis szakmai önéletrajzokat és portfóliókat generáltak, amelyekkel álláspályázatokon próbáltak nyugati cégekhez bejutni. A cél nemcsak anyagi előny szerzése, hanem hírszerzési pozíciók kiépítése volt.
A „Sneer Review” klaszter több nyelven – köztük angolul, spanyolul és franciául – geopolitikai témákban generált tömeges tartalmat. A „High Five” klaszter főként kommenteket és rövid posztokat írt angolul és taglish nyelven (a tagalog és angol keveréke), amelyek célja a helyi közvélemény befolyásolása volt. Az „VAGue Focus” kampány pedig elemzői hangvételű cikkeket írt, amelyeket álnéven jegyzett újságírók publikáltak – sok esetben álhíroldalakon vagy manipulatív fórumokon keresztül.
Gyakorlati ajánlások a védekezéshez
Hozzáférés-kezelés szigorítása: minden kritikus rendszerhez való hozzáférés többtényezős hitelesítéshez (MFA) kötése, jogosultságok rendszeres felülvizsgálata.
Felhasználói viselkedés-elemzés (UEBA): gyanús fióktevékenységek, szokatlan API-kérések és tömeges adatlekérések detektálása valós időben.
Belső irányelvek és MI-használati szabályok: szervezeti szinten legyen szabályozva a ChatGPT és más generatív MI eszközök használata.
Fenyegetés-intelligencia integrálása: külső szolgáltatóktól származó adatok, tiltólisták és viselkedési minták folyamatos beépítése az incidenskezelésbe.
Képzések és tudatosságnövelés: a munkavállalók oktatása az MI-alapú visszaélések felismeréséről, különösen a szociális manipulációs módszerek terén.
ChatGPT fiók tiltás kiberbiztonsági okokból
Összefoglalás
Az OpenAI friss jelentése világosan mutatja, hogy a generatív mesterséges intelligencia eszközök – mint a ChatGPT – már nem csupán kutatási vagy oktatási célokat szolgálnak, hanem célponttá is váltak a kibertér sötét oldalán. A fiókok letiltása tehát nem egyszerű felhasználói jogmegvonás, hanem aktív kiberbiztonsági védekezés, amely globális szinten csökkentheti a fenyegetések sikerességét. A ScopeCreep, APT5/15 és más globális hackercsoportok módszerei jól mutatják, mennyire adaptívak és rugalmasak az MI-alapú eszközök kihasználásában. A vállalatoknak tehát elengedhetetlen proaktívan fellépni: ChatGPT fiókok felügyeletével, szabályozott használatával, külső intelligenciaforrások bevonásával és folyamatos oktatással tudják csak hatékonyan védeni digitális infrastruktúrájukat.
Dél-Korea ideiglenesen betiltotta a DeepSeek AI alkalmazást adatvédelmi aggályok miatt
DeepSeek AI betiltása Dél-Koreában: adatvédelmi aggályok és vállalati kockázatok
A DeepSeek AI betiltása rávilágít a harmadik-feles AI-szolgáltatások adatvédelmi kockázataira. Mit tehetnek a vállalatok a hasonló incidensek megelőzéséért?
A DeepSeek AI betiltása Dél-Koreában újabb figyelmeztetés arra, hogy a mesterséges intelligenciát használó szervezeteknek
nem csupán a funkcionalitásra, hanem a szigorú adatvédelmi megfelelésre is összpontosítaniuk kell. A koreai Personal Information Protection Commission (PIPC) februári döntése nyomán a kínai fejlesztésű alkalmazás
mobilverzióját törölték az Apple és a Google helyi piacteréről, miután kiderült, hogy jogosulatlanul továbbította
a felhasználói adatokat külföldi szerverekre. A DeepSeek AI betiltása nemcsak az ázsiai technológiai
piacot rázta meg, hanem globális vitát is generált az AI-megoldások transzparenciájáról. A következőkben bemutatjuk
a döntés hátterét, a nemzetközi reakciókat, valamint azt, milyen gyakorlati lépésekkel csökkenthetik a döntéshozók
a hasonló incidensekből fakadó adatbiztonsági kockázatokat.
A dél-koreai döntés háttere és a PIPA szigorú szabályrendszere
Dél-Korea adatvédelmi keretrendszerét a 2020-ban kibővített PIPA (Personal Information Protection Act) határozza meg,
amely – a GDPR-hoz hasonlóan – szigorú előírásokat tartalmaz a felhasználói hozzájárulás, a célhoz kötöttség és
a minimális adatkezelés elveire. A PIPC állásfoglalása szerint a DeepSeek AI rendszere:
felhasználói hozzájárulás nélkül továbbított személyes adatokat Kínába és az Egyesült Államokba;
túlzott mennyiségű metaadatot (például billentyűleütés-mintákat és IP-címet) gyűjtött;
a felhasználói prompteket is elemzési céllal exportálta külföldre.
A hatóság 30 napos határidőt szabott a hibák kijavítására, kötelezővé tette a korábban továbbított adatok törlését
(„végleges törlés”) és részletes törlési jegyzőkönyv benyújtását írta elő. Ez jól illeszkedik a DataD-n
gyakran tárgyalt minősített törlés és végleges adattörlés gyakorlatához, amelyet a vállalatoknak
informatikai eszközeik leselejtezésekor is követniük kell.
Mit tárt fel a PIPC vizsgálata?
Jogosulatlan adattovábbítás külföldre
A vizsgálat kimutatta, hogy a DeepSeek AI háttérben futó modulja minden egyes felhasználói kérdést – beleértve az
esetleges bizalmas üzleti információkat – továbbított egy pekingi felhőszerverre, ahonnan a kínai joghatóság alatt
álló partnerek is hozzáférhettek. A PIPA szerint bármilyen határon átnyúló adatáramláshoz előzetes,
tájékoztatáson alapuló hozzájárulás szükséges, amelyet a vállalat nem teljesített.
Metaadat-gyűjtés és profilalkotás
A PIPC külön kifogásolta, hogy az alkalmazás az eszközmodell, az operációs rendszer verziója, a hálózati konfiguráció,
sőt a billentyűleütések időzítéséből származó biometrikus információk alapján részletes felhasználói profilt
állíthatott össze. Ezek az adatok – összevetve a GDPR 35. cikkelye szerinti kötelező kockázatelemzéssel –
már magas kockázatú adatkezelésnek minősülnek, ami további Data Protection Impact Assessment (DPIA)
lefolytatását indokolta volna.
Nemzetközi reakciók és párhuzamos tiltások
A DeepSeek AI betiltása nem elszigetelt jelenség. Tajvan, Ausztrália és Olaszország korábban már blokkolta az
alkalmazást a kormányzati eszközökön, míg Németországban a szövetségi kiberbiztonsági hatóság indított előzetes
vizsgálatot az adatkezelési gyakorlat miatt. Az Egyesült Államokban New York állam kormányzója végrehajtási utasítást adott
ki, amely megtiltja a DeepSeek használatát minden állami hálózaton, a kongresszus előtt pedig olyan törvényjavaslat fekszik,
amely országos szintű tiltást írna elő kormányzati szerveknél.
USA: állami eszközök védelme a technológiai kémkedéstől
A döntést az a félelem motiválta, hogy a szenzitív kormányzati dokumentumok prompt formájában a kínai szerverekre
kerülhetnek, ahol – a nemzetbiztonsági törvények értelmében – a helyi hatóságok is hozzáférhetnek. A tiltás egyben precedenst
teremt más generatív AI-szolgáltatások állami alkalmazásának szabályozására.
Európai Unió: a GDPR és az EU–USA adatvédelmi keretrendszer szerepe
Bár az EU-s hatóságok még nem rendeltek el teljes tiltást, több tagállam vizsgálja, hogy a DeepSeek adatkezelése megfelel-e
az EU–USA Adatvédelmi Keretre, illetve a kínai jogrenddel fennálló összeütközések miként oldhatók fel.
A szóban forgó transzfer nem sorolható a szükséges „megfelelő garanciák” közé, ezért a szolgáltatás európai terjeszkedése
komoly akadályokba ütközhet.
Tanulságok és ajánlások döntéshozóknak
A történet nemcsak egyetlen alkalmazásról szól, hanem a third-party AI-szolgáltatásokkal járó általános kockázatokról.
Az alábbi ellenőrzőlista segíthet a CIO-knak és CISO-knak megelőzni a kellemetlen meglepetéseket:
Adattérkép készítése: pontosan rögzítsük, milyen adat hagyja el a szervezetet, és hová kerül.
Szerződéses garanciák: minden AI-beszállítóval kössünk Data Processing Agreementet,
amely tartalmazza a törlési határidőket és a törlési jegyzőkönyvvel igazolt fizikai vagy logikai törlést.
DPIA lefolytatása: nagy volumenű vagy különleges kategóriájú adat esetén kötelező kockázatelemzést végezni.
Zero trust elv: blokkoljuk a beépített kamera- és mikrofonhozzáférést, vezessünk be application sandboxingot.
Mentési stratégia: tiltsuk az érzékeny információk AI-modellbe írását; jelöljük meg technológiával
(DLP) a bizalmas adatokat.
Esemény-naplózás: auditáljuk a felhasználók promptjait és a hálózati forgalmat, hogy kimutatható legyen,
ha adatszivárgás történik.
Fizikai megsemmisítés: mobil- vagy edge eszközöknél szükség esetén merevlemez megsemmisítés
vagy SSD törlés is indokolt.
Összefoglalás
A DeepSeek AI betiltása ismét rávilágított arra, hogy az AI-alapú szolgáltatások értéke csak addig tart, amíg
képesek megfelelni a szigorú helyi és nemzetközi adatvédelmi előírásoknak. A döntéshozóknak most kell lépniük: vizsgálják
felül AI-partnereik szerződéseit, implementáljanak átlátható adattörlési folyamatokat, és gondoskodjanak arról, hogy
a végleges törlés – legyen az minősített szoftveres törlés vagy adathordozó fizikai
megsemmisítése – a vállalat teljes életciklus-menedzsmentjének részévé váljon. Amennyiben szakértői
támogatásra van szüksége, lépjen kapcsolatba a DataD csapatával, és kérjen ingyenes kockázatfelmérést még ma!
Ahogy 2024 közeledik a végéhez, visszatekinthetünk az év kiberbiztonsági fejleményeire, amelyek új kihívásokat és lehetőségeket hoztak magukkal. A mesterséges intelligencia (MI) és az IoT (Internet of Things) előretörésével a technológiák a kiberbiztonsági tájkép is dinamikusan változott. Az év során egyaránt a támadók és a védők új módszereket dolgoztak ki, miközben a kiberbiztonság stratégiai kérdéssé vált a szervezetek számára világszerte. Összegyűjtöttük azokat a legfontosabb trendeket, amelyek 2024-ben meghatározóak voltak.
Generatív mesterséges intelligencia: Mindkét oldalon 2024 során a generatív MI mind a támadók, mind a védők kezében egyre hatékonyabb eszközzé vált. Az év elején megjósolt támadások, amelyek az MI technológiát használják, valósággá váltak. A deepfake videók és hangfelvételek új szintre emelték a szociális manipulációt. Az MI-alapú támadások kifinomultsága és személyre szabhatósága megnehezítette azok felismerését és elhárítását. Ugyanakkor a védelem oldalán is előrelépés történt. Az MI által támogatott kiberbiztonsági rendszerek fejlődése lehetővé tette a valós idejű fenyegetésdetektálást, a gyanús tevékenységek gyors felismerését és az incidenskezelés automatizálását. Az MI folyamatos tanulásának köszönhetően ezek a rendszerek az év végére egyre hatékonyabbá váltak.
A kiberbiztonsági szakértők hiánya és az átképzés szükségessége: Az év folyamán továbbra is súlyos kihívást jelentett a kiberbiztonsági szakemberek hiánya. A gyorsan változó fenyegetési környezet és a technológiai komplexitás növekedése miatt egyre nagyobb nyomás nehezedett a szervezetekre, hogy megfelelő képességekkel rendelkező szakembereket találjanak és tartsanak meg. 2024-ben a vállalatok és kormányok jelentős összegeket fordítottak oktatási programokra és átképzésre, hogy kezelni tudják ezt a problémát. Az online képzési platformok és gyakorlatias tanfolyamok segítségével bővült a munkaerőpiac, de az év vége felé a szakértők iránti kereslet magas maradt.
Kifinomultabb adathalász támadások: 2024-ben az adathalász támadások új magasságokba emelkedtek. A generatív MI, mint például a ChatGPT, lehetővé tette a támadók számára, hogy olyan rendkívül hiteles és személyre szabott adathalász üzeneteket hozzanak létre, amelyek a legképzettebb felhasználók számára is megtévesztőek voltak. Az év során egyre több jelentés érkezett olyan támadásokról, amelyek deepfake technológiát alkalmaztak, és ezek súlyos adatlopási és pénzügyi veszteségeket okoztak szerte a világon. A szervezetek számára az oktatás és a tudatosságnövelő kampányok kulcsfontosságúvá váltak. Az év során folyamatosan fejlesztették a munkavállalók védelmi képességeit, de a támadások gyors fejlődése miatt ez egy soha véget nem érő verseny volt.
A kiberbiztonság a vállalati vezetés középpontjában: Az év elején már látszott, hogy a kiberbiztonság nem csupán az IT részlegek felelőssége. 2024-ben a kiberbiztonság stratégiai kérdéssé vált, és a vállalati igazgatóságokban is előtérbe került. A Gartner előrejelzése szerint 2026-ra az igazgatóságok 70%-ában lesz olyan tag, aki kiberbiztonsági szakértelemmel rendelkezik, de sok vállalat ezt már 2024-ben megvalósította. A vállalatok igazgatóságai proaktívan kezdték kezelni a fenyegetéseket, és a kiberbiztonságot nemcsak mint védekező eszközt, hanem mint üzleti lehetőséget is tekintették. Az év végére láthatóvá vált, hogy a kiberbiztonsági befektetések növelték a versenyelőnyt, és segítettek az üzleti lehetőségek kiaknázásában.
IoT támadások növekedése: 2024-ben tovább nőtt az IoT eszközök használata, ami új kiberbiztonsági kihívásokkal járt. Az év során több jelentős támadás is érintette az IoT eszközöket, különösen a home office környezetben használt smart home technológiákat. Az IoT eszközök biztonsági hiányosságai könnyű célpontokká tették őket a támadók számára. Az év végére a vállalatok fokozott figyelmet fordítottak az IoT eszközök biztonsági szabványainak fejlesztésére és a protokollok szigorítására. Az eszközök rendszeres frissítése és integrált biztonsági megoldások alkalmazása elengedhetetlenné vált a fenyegetések csökkentése érdekében.
Kiberreziliencia – Több mint kiberbiztonság: 2024 egyik legnagyobb tanulsága az volt, hogy a kiberbiztonság önmagában nem elég. Az év során a szervezetek egyre inkább a kiberreziliencia irányába mozdultak el. A kiberreziliencia nemcsak a fenyegetések megelőzésére összpontosított, hanem arra is, hogy a szervezetek képesek legyenek gyorsan felépülni egy incidens után. Az év végére egyre több szervezet fektetett be helyreállítási rendszerekbe, amelyek segítették a támadások utáni gyors visszaállást. A kritikus iparágak, mint a pénzügyi szektor vagy az egészségügy, különösen előtérbe helyezték a kiberrezilienciát, hogy minimalizálják a leállásokat és az adatvesztést.
Zero Trust továbbfejlesztése: 2024-ben a Zero Trust biztonsági modell folyamatosan fejlődött, és egyre több szervezet fogadta el ezt az adaptív, holisztikus megközelítést. A folyamatos hitelesítés és tevékenységfigyelés különösen fontos lett, mivel az év során a távmunkások, partnerek és IoT eszközök folyamatos ellenőrzést igényeltek. Az MI által támogatott rendszerek lehetővé tették, hogy ezek a folyamatok valós időben történjenek, ami nagyobb biztonságot nyújtott a dinamikusan változó munkakörnyezetekben. Az év végére a Zero Trust modell kulcsfontosságú elemévé vált a kiberbiztonsági stratégiáknak.
Kiberhadviselés és államilag támogatott támadások: 2024-ben a kiberhadviselés és az államilag támogatott kibertámadások egyre jelentősebbé váltak. Az év során több geopolitikai feszültség is felszínre került, és ezek hatására számos jelentős támadás történt, amelyek állami támogatást kaptak. Ezek a támadások gyakran kritikus infrastruktúrákat céloztak meg, és jelentős károkat okoztak az érintett országokban. Az állami szervezetek és vállalatok az év végére folyamatosan növelték az erőforrásaikat a kritikus infrastruktúrák védelmére, és együttműködtek nemzetközi szervezetekkel a védelem megerősítése érdekében.
Soft skillek: A kiberbiztonsági szakemberek számára 2024-ben a kiberbiztonság területén dolgozó szakemberek számára egyre fontosabbá váltak a soft skillek. A technikai tudás mellett a kommunikáció, problémamegoldás és együttműködési készségek is előtérbe kerültek. A komplex támadási formák megértéséhez és a hatékony védelem kialakításához a technikai és társadalmi elemek közötti egyensúly megteremtése alapvetővé vált. Az év során a szakemberek képzési programjai is kiterjedtek ezekre a készségekre, segítve a hatékonyabb védekezést és a kiberbiztonsági csapatok közötti együttműködést.
Kiberbiztonsági szabályozások: Az év során a kormányok világszerte szigorították a kiberbiztonsági szabályozásokat, válaszul a növekvő fenyegetésekre. Az Egyesült Királyság „Product Security and Telecommunications Act”-je és más nemzetközi szabályozások szigorúbb biztonsági követelményeket írtak elő a technológiai termékek számára.
Az év végére világossá vált, hogy a szabályozások betartása kulcsfontosságú lesz a jogi és üzleti kockázatok minimalizálása érdekében. A szervezetek számára a megfelelés biztosítása, valamint a szabályozási környezethez való alkalmazkodás elengedhetetlenné vált a hosszú távú sikerhez.
2024 egy izgalmas és kihívásokkal teli év volt a kiberbiztonság világában. A technológia gyors fejlődése új lehetőségeket és fenyegetéseket hozott magával, miközben a vállalatoknak és kormányoknak rugalmasan kellett alkalmazkodniuk a változó környezethez. Az év végére világossá vált, hogy a kiberbiztonság nem csak technológiai, hanem stratégiai kérdéssé is vált, és a jövőben is kulcsszerepet játszik majd a globális üzleti és társadalmi működésben.
Ahogy 2024 közeledik a végéhez, visszatekinthetünk az év kiberbiztonsági fejleményeire, amelyek új kihívásokat és lehetőségeket hoztak magukkal. A mesterséges intelligencia (MI) és az IoT (Internet of Things) előretörésével a technológiák a kiberbiztonsági tájkép is dinamikusan változott. Az év során egyaránt a támadók és a védők új módszereket dolgoztak ki, miközben a kiberbiztonság stratégiai kérdéssé vált a szervezetek számára világszerte. Összegyűjtöttük azokat a legfontosabb trendeket, amelyek 2024-ben meghatározóak voltak.