Varnost na spletu že tako ali tako ni perfektna, bali pa smo se, da se bo zaradi dogodkov v Ukrajini in že tako precejšnje vpletenosti ruskih hekerjev v različne globalne incidente še poslabšala. Za zdaj se niti ni, a to ne pomeni, da bo tako tudi ostali, opozarja strokovnjak za kibernetsko varnost Miloš Pešič.
S tokratnim sogovornikom, prejemnikom več nagrad (SC Awards 2021, Cyber Security Awards 2021 and Cyber OSPA 2021) in svetovalcem v različnih odborih s skoraj 20-letnimi izkušnjami, ki bo jutri (13. aprila) gost dogodka o kibernetski varnosti v ljubljanskem hotelu Radisson Blu Plaza, smo šli skozi mogoče scenarije napadov in ga med drugim vprašali, čemu je še vedno največ neljubih dogodkov v digitalnem svetu posledica neprevidnih potez posameznikov s prevelikimi pooblastili.
Kariero ste začeli v Sloveniji in nato nadaljevali v Londonu. Je po vaših izkušnjah zavedanje o pomembnosti kibernetske varnosti v Sloveniji primerljivo s tujino?
V IT-ju je Slovenija na marsikaterem področju visoko. Pri kibernetski varnosti pa je zavedanje o pomembnosti še vedno prenizko, čeprav se je v zadnjih letih izboljšalo. Še vedno pogosto slišimo, izgovore v slogu, »Saj smo majhni, kdo nas bo napadel.« Ali »Mi tega ne rabimo.« Mislim, da je tako razmišljanje zelo napačno. Več bi morali vlagati v ljudi, v njihovo izobraževanje, v poudarjanje pomembnosti kibernetske varnosti, v razumevanje teh stvari.
Na kakšen način?
Ne pravim, da je treba strašiti, a konkretni primeri lahko spodbudijo ljudi k ukrepanju. Če jih denimo vprašamo, ali se zavedajo, da lahko njihov dedek ali babica zaradi ene napake, ker jima nihče ni želel pomagati ali se malo bolj ukvarjati z njima, izgubita vse življenjske prihranke, potem lahko sprožimo drugačen odziv kot pri navajanju splošnih primerov. Pomemben je prijazen, komunikativen način.
Tudi slovenska podjetja morajo začeti obravnavati zaposlene drugače, jim bolj zaupati, jih spodbujati k medsebojnemu sodelovanju, k razmišljanju o varnosti.
Ko se je začela vojna v Ukrajini, je to sprožilo veliko strahov pred kibernetskimi napadi. Nekaj tega je bilo mogoče opaziti v določenih krogih, v splošnem pa precej manj, kot se je najbrž večina bala. Ali smo kaj spregledali?
Dobili ste kar pravi vtis. Vsi smo pričakovali veliko večje povračilne udarce Rusije (na sankcije, op. p.), bolj silovite napade, a na srečo se to ni zgodilo. Vsi smo sicer takoj opravili obsežne priprave, morali smo poskrbeti za ljudi, ki jih imamo v Rusiji in Ukrajini. Nekaterim smo poslali satelitske telefone in popolnoma zaščitene prenosnike. Seveda si vsi želimo, da se vojna čim prej konča, se pa bojim dodatnih eskalacij. Upam, da se motim, a malo me je strah. Obstajajo namreč indici, da se lahko napadi še zgodijo, da so taktike tokrat malo drugačne. Za zdaj vojna res poteka pretežno v fizičnem svetu, v ozadju pa prihajajo na plano različni scenariji kibernetskih incidentov, ki bi še lahko sledili, denimo napadi na kritično infrastrukturo. Tovrstno dogajanje ali vsaj priprave nanj se že povečujejo.
V čem se to vidi?
Mnoga podjetja uporabljajo t. i. obveščevalne podatke o kibernetskih grožnjah iz različnih forumov, temnega spleta in podobnih, bolj skritih kotičkov, kjer se hekerske skupine dogovarjajo za aktivnosti ali novačijo nove člane, ki jih potrebujejo za obsežnejše napade. Varnostna podjetja si tudi izmenjujemo informacije. Seveda se da marsikdaj vse skupaj izklopiti, a prej ali slej je treba priklopiti nazaj, in za to je treba imeti izdelane scenarije in načine, kako to storiti brez kakšne večje škode ali vnovičnega ogrožanja uporabnikov in podatkov.
Na katero kritično infrastrukturo bi se lahko osredotočili taki napadalci? Verjetno so elektrarne najbolj očitna tarča.
Tako je, to so elektrarne, zdravstvene ustanove, prometna infrastruktura, dostop do vode, dostop do hrane. Na ta način poskušajo vzeti ljudem osnovne dobrine in jih prisiliti, da se znajdejo drugače. Tisti, ki zakuhajo vojne, običajno ne trpijo, ampak trpijo običajni ljudje.
Kako bi v praksi izgledali ti napadi? Bi šlo za dejansko vdore v sisteme ali morda bolj za onemogočanje storitev (napadi DDoS)?
Gre za kombinacijo. Napadi DDoS so samo ena najbolj uporabljenih oblik avtomatizacije, pogosto gre za zavajanje, da se ljudje osredotočijo na to, v resnici pa se nekje drugje, bolj skrito, dogaja pravi napad ali vdor. Zdaj pogosto zaposlenim v podjetju ponujajo visoke podkupnine, da zlikovcem razkrijejo podatke, ki jim pomagajo pri vdoru v informacijski sistem. Zato imamo tudi obrambo pred porazdeljeno zavrnitvijo storitve (DDoS) v veliki meri avtomatizirano, da se lahko osredotočimo na tisto, kar je res kritično, in ne izgubljamo časa z dimnimi zavesami.
Vidi se torej, da t. i. človeški faktor faktor prejkoslej ostaja najšibkejši člen.
To se ne bo spremenilo. Toda zakaj je človek najšibkejši člen? Ker se ne vlaga vanj. Ker ljudje nimajo možnosti za izobraževanje, ker nimajo priložnosti biti vpleteni, niso del procesa. Že deljenje informacij znotraj podjetja lahko poveča pripravljenost zaposlenih za medsebojno pomoč za polovico. Danes v oddelkih za kibernetsko varnost delajo psihologi, ki o sami tematiki ne vedo skoraj ničesar, ogromno pa lahko pripomorejo s svojim vpogledom v to, kako se ljudje obnašajo, kaj lahko pričakujemo, kakšni so običajni vzorci. Imamo orodja, ki upoštevajo navade uporabnikov za različna predvidevanja. Ljudi je treba obravnavati kot ljudi, ne kot številke. Tak pristop da manjše število klikov znotraj e-poštnih sporočil, kar je še vedno najbolj pogost način, kako poskusiti priti v sisteme.
Imajo pogosto nekateri zaposleni prevelike pravice znotraj informacijskega sistema, da lahko s svojim klikom sprožijo marsikaj, namesto, da bi še kdo za njimi to potrdil?
Temu se reče porazdelitev dolžnosti, dostopi morajo biti deljeni, tudi pri nas v varnostnih podjetjih je tako.
Toda marsikje žal ni.
Pogosto različni lastniki ali direktorji mislijo, da zanje obstajajo izjeme. Na nas, svetovalcih za kibernetsko varnost, je odgovornost, da jim pokažemo, zakaj to ni pametno. Še voznik kombija mora opraviti različna izobraževanja, direktor in njegov osebni asistent (ali asistentka), ki ga bodo skoraj zagotovo večkrat poskušali prevarati, pa ne. V enem od podjetij z več milijardami letnih prihodkov in deset tisoči računalnikov so zavračali naše predloge in bili prepričani, da so zaradi njihove izbire opreme dobro zaščiteni. Potem smo naredili poskus, našli šibke točke v njihovem sistemu in jim z izsiljevalskim virusom zaklenili računalnike. Odgovorni za IT je takoj pritekel do nas in vpil, kaj se je zgodilo, ko pa smo mu pokazali, da je vse skupaj le vaja, je postal naš največji zaveznik v podjetju, da smo lahko končno vzpostavili pravilne varnostne mehanizme. Treba je začeti na vrhu in tam dajati zgled, potem pa gre lahko to podjetju kot piramida.
Kadar ne gre za vajo, ampak napadalci dejansko zašifrirajo računalnike, kakšen je vaš nasvet, naj podjetje plača za odklepanje ali ne?
Nisem pristaš plačevanja. Vnaprej morajo biti pripravljeni odzivi, kdo je za kaj odgovoren, na koga se obrniti v tistem trenutku, treba je predvideti, kaj povedati javnosti. In se potem sproti odločati glede na vse argumente za ali proti. Seveda je o tem veliko debat tudi v strokovnih krogih in včasih je smiselno plačati. Vendar podjetje nikoli nima pravega zagotovila, da bodo napadalci računalnike res odklenili in da bo dostop do podatkov povrnjen.
Ravno to je verjetno največji pomislek. Poznate kakšne podatke, kako pogosto si podjetja dejansko s plačilom povrnejo »normalno« stanje?
Po mojih informacijah skoraj vsi dobijo dešifrirne ključe, ki delujejo. Odstotek prevar je zelo nizek. V vsakem primeru pa je v podjetju dobro imeti proračun za »krizne situacije«.
Koliko se moramo bati še dodatnega poslabšanja internetne varnosti?
Če pogledamo samo obdobje, ki ga napadalci tipično potrebujejo, da pridejo v sistem, se je to v zadnjih treh do štirih letih zmanjšalo z dobrih dveh mesecev na slabe tri tedne. Takrat so bila plačila za odklepanje izsiljevalskih virusov nekaj milijonov, zdaj govorimo že tudi o 30 milijonih. Groženj bo vedno več in tudi vedno bolj bodo sofisticirane. Zato je tudi tako pomembno, da vedno hitreje ozaveščamo ljudi, da se znajo pravilno odzvati. Uporaba marsikatere storitve je sicer varna, toda vprašati se moramo, ali ne delimo preveč informacij s svetom, kar napadalcem bistveno olajša delo. Naše delo pa je v vsakem primeru težje, ker za nas obstajajo zakoni in etika, za napadalce nikoli, zanje etike ni.
Naslovna fotografija: DepositPhotos
To je pa res komedija. Preko Miloša Pešiča reklamirate A1, ki je bil največkrat kompromitiran ponudnik IKT storitev. Nazadnje so jih prejšnji mesec shekali in jim okužili vse računalnike v Ljubljani. Kako bi lahko oni koga zaščitili, če ne znajo sami sebe?
Spoštovani, če imate kaj konkretnega povedati, dobrodošli z novim komentarjem. Anonimne neosnovane obtožbe pa ne sodijo sem.