Hír

Miután március elején az Egyesült Királyság nemzeti könyvtára a honlapján közzétette a 2023 októberében a könyvtárat ért zsarolóvírus-támadásról írt jelentését, számos cikk és elemzés készült a témában, ezek egyike a The Register cikkében március végén jelent meg. Ebben Rupert Goodwins a támadás okaival foglalkozik. Az okok és az incidenshez vezető kulcstényezők közül kiemeli, hogy a könyvtár informatikai infrastruktúrájában az évek óta meglévő, hagyományos szolgáltatásokat kiszolgáló, elavulttá vált rendszerek gyakran „sikertelenül versengenek a [fejlesztési] erőforrásokért”, ugyanakkor felhívja a figyelmet arra, hogy ez a probléma nemcsak a British Library sajátossága, hanem számos olyan (hasonló) szervezet esetében előfordul, ahol az elöregedő rendszerek és az egyre növekvő új feladatok ellátása közötti egyensúly megtalálása kihívást jelenthet.

Az incidens megvalósulásában, illetve abban, hogy annak bekövetkeztét a könyvtár nem tudta megelőzni, Goodwins szerint a kulcstényezők a következők voltak:

• Az elöregedő rendszerek problematikája: A British Library informatikai infrastruktúrája olyan elöregedett rendszereket használ, amelyek már nem kellőképpen biztonságosak, de amelyek lecserélése főként annak magas költsége és munkaidőigénye miatt nehezen megvalósítható.
• Túlterhelt munkavállalók, kevés erőforrással: Amellett, hogy a könyvtár szakemberei túlságosan sok feladatot látnak el, meglehetősen kevés erőforrás áll rendelkezésükre. A hivatalos jelentésből kiderült, hogy volt némi létszámhiány a könyvtár informatikai osztályán.
• A rendszerkomplexitás okozta „tehetetlenség”: Az olyan összetett informatikai környezettel rendelkező rendszerek, mint a British Library, modernizálása, átalakítása összetettsége révén nehéz és időigényes folyamat. A meglévő rendszerek fenntartása és különféle korszerűsítő változások bevezetése közötti egyensúly megtalálása meglehetősen nagy kihívást jelent a szakemberek számára.
• Új projektek a régiek rovására: Az új projektek miatt gyakran háttérbe szorul a régi rendszerek modernizálása. Ennek is szerepe van abban, hogy az elöregedett, így elavulttá váló rendszerek nem kapnak megfelelő figyelmet.
• Ami ritkán történik, arra senki sem számít: A biztonsági rendszerek jellemzően a gyakrabban előforduló problémákra vannak leginkább felkészítve, így, ha egy ilyen biztonsági rendszer ismeretlen vagy ritkán előforduló fenyegetéssel találkozik, azzal szemben nagy eséllyel védtelennek bizonyul.

A különféle rendkívüli események megelőzésének, illetve a megelőzésre történő felkészülésnek kiváló (és többnyire közismert) eszköze a menedzsmentben a forgatókönyv-elemzés módszere, illetve az, ha a különféle vészforgatókönyvekre különféle megelőzési, védekezési, illetve cselekvési tervek készülnek. A legfőbb probléma e tekintetben az, hogy a könyvtári szakemberek bizonyos negatív események bekövetkezését egyszerűen nem tudják elképzelni (és bizonyos esetekben nem is szeretnék „falra festeni az ördögöt”). Ez az oka annak, hogy számos rendkívüli esemény bekövetkezésére a könyvtárak nem rendelkeznek sem cselekvési, sem megelőzési tervvel. Ahhoz, hogy egy rendkívüli esemény megelőzhető legyen, nem elég „elképzelni”, hanem el is kell tudni hinni, hogy bekövetkezhet (bármilyen képtelenségről is van szó). Amennyiben ezek elképzelése a kockázatelemző szakemberek számára kihívást jelent, léteznek olyan módszerek, amelyek segíteni tudnak ebben.

A könyvtár hivatalos jelentése beszámol róla, hogy ugyan az első gyanús tevékenységek már három nappal a támadás előtt észlelhetők voltak, a könyvtár biztonsági intézkedései nem vezettek eredményre. Tehát a probléma észlelését követően az arra adott válasz nem volt kellőképpen gyors. A jelentésből és az elemzésekből végső soron az derül ki, hogy az incidens nem csupán informatikai probléma, így nemcsak az informatikai infrastruktúra és az informatikai alkalmazások modernizálására lesz szükség, de (a jelentés szerint) jelentős változtatások végrehajtását tervezik a könyvtár szervezeti kultúrájában és módszertani működésében is.

Az elemzői cikkek és a hivatalos jelentés megállapításainak felsorolása mellett megjegyzendő, hogy a probléma része az is, hogy a különféle rendkívüli események kezelésére vonatkozó cselekvési tervek jellemzően védekezéscentrikus szemléletben készülnek és kevés hangsúlyt fektetnek a megelőzésre, márpedig egy zsarolóvírus-támadás olyan rendkívüli események körébe tartozik, amelyek esetében a megelőzésre van lehetőség, így ezek esetében sokkal inkább megelőzési, mint cselekvési tervek készítésére volna szükség.

Források:

• British Library: Learning Lessons From The Cyber-Attack – British Library cyber incident review. https://www.bl.uk/home/british-library-cyber-incident-review-8-march-2024.pdf
• Rupert Goodwins: Time to examine the anatomy of the British Library ransomware nightmare. 2024. március 25. https://www.theregister.com/2024/03/25/opinion_column/