API és cloud biztonság a kiberháború idején

Az orosz-ukrán háború számos tanulsággal szolgált már eddig is a kiberbiztonság területén dolgozók számára, de ahogy haladunk előre az időben, egyre több olyan, látszólag kisebb jelentőségű, ámde hosszú távon nagyon fontos üggyel is foglalkozni kell, mint például az API és a cloud biztonság. Hogyan kerül elő a fegyveres összecsapások árnyékában ez a két terület? Mint az közismert, az IT Army of Ukraine nevű, ukrán hackerekből és kiberbiztonsági szakemberekből álló önkéntes csoport erőteljesen támogatja hazáját a kibertéri műveletek során. Az egyik első sikeres tevékenységük, még február végén, a Sberbank API elleni támadása volt, melynek eredményeképp a bank elérhetetlenné vált. De említhetném számos technológiai cég, így az SAP Oroszország elleni embargóját is, melynek során a német cég telepítései váltak elérhetetlenné az orosz felhasználók felhős telepítésekről való kitiltása után.

Eközben Ukrajna kormányzata komoly lépéseket tett annak érdekében, hogy az ország és konkrétan a kormányzat felhős megoldásokra váltsa hagyományos IT infrastruktúráját. Az ukrán kormány még 2021-ben kötött megállapodást az Amazonnal a cloud-alapú megoldások széles körű elterjesztése érdekében, mely akkor elsősorban az ország digitális transzformációját szolgáló lépésnek tűnt. 2022-ben azonban a felhő jelenti a biztos menedéket az ukrán kormányzati informatikának, hiszen márciusban Zelenszkij elnök aláírta azt a rendeletet, melynek értelmében akár a nemzeti adatvagyon bizonyos elemeit is tárolhatják külföldi cloud szolgáltatónál. A digitális adatok és infrastruktúrák ellenállóképessége tehát jelentősen növelhető a felhő használatával, és ez a gyakorlatban is működőképesnek látszik, hiszen az ukrán közigazgatás működőképes maradt annak ellenére, hogy a kritikus infrastruktúrákat folyamatosan érik fizikai és kibertérbeli támadások is.

A felhő tehát egyszerre függőség és lehetőség. A háborús tapasztalatok alapján valószínűleg egyre több kormányzat fog komolyan elgondolkodni azon, hogy érdemes-e a felhő jelentette magasabb fokú biztonságot igénybe venni és elfogadni az ezzel járó technológiai függést. Eközben a technológiai gyártók egyre kevésbé teszik lehetővé a felhőszolgáltatások mellőzését, mivel az okoseszközök, a Nagy Adatok tárolása és feldolgozása, a mesterséges intelligencia használata vagy éppen az automatizálás jelenleg nem megoldható felhőhasználat nélkül. Nem kérdés tehát, hogy még a konzervatívabb szervezetek számára is a felhő az irány. Ez viszont teljesen átalakítja a szervezet információbiztonsági hozzáállását és bár már egy évtizede vannak jó megoldások, újra kell tanulni és építeni sok mindent.

Az első és legfontosabb, hogy a felhőre váltás minden esetben a zero trust elv mentén történjen. Ennek értelmében, bár a felhőszolgáltatásokra manapság egyre többen bízzák rá a részleges- vagy akár teljes infrastruktúrát, a tapasztalatok alapján magas kockázatot jelent a felhőszolgáltatások nem megfelelő hozzáférés-kezelése. Ezt a dinamikusan változó erőforrást a leggyakrabban API-kon keresztül állítják be, sokszor átláthatatlanul, nem a szervezeti szabályoknak megfelelően (ha egyáltalán van kidolgozott szabályzat). A támadók, legyenek azok kiberbűnözők vagy állami aktorok, nagyon sokszor ezeket a hiányosságokat kihasználva férnek hozzá a féltve őrzött adatokhoz vagy tudnak kárt tenni az egyébként kiválóan működő rendszerben. A Balasys Proxedo API Lifecycle Platform (PALP) többek között abban nyújt segítséget, hogy ezek a felhőben futó erőforrások is kellően biztonságosan működhessenek. Akár a kiberháborúk időszakában is.