Vzpon spletnega kriminala in kiberterorizma

Sodobna družba je izpostavljena različnim vrstam kriminala, s katerim se spopada bolj ali manj uspešno. Pri tem pa se vse prepogosto zanemarja spletni kriminal, ki vključuje vse od kraje identitete ali finančnih podatkov, spletnih tatvin in prevar, korporativnega vohunjenja do sovražnega govora. Še korak dlje je kibernetični terorizem (kiberterorizem), ki sicer ni tako smrtonosen kot njegov konvencionalni soimenjak, toda kljub temu usmerjen napad na podjetniško ali celo državno informacijsko infrastrukturo lahko povzroči zelo veliko škodo in začasno celo kritično ohromi njeno delovanje. Da je grožnja še kako resnična, pove podatek, da so spletni vdori samo lani povzročili za dobrih 500 milijard evrov škode, prihodnje desetletje pa naj bi po nekaterih ocenah ta znesek presegel 2000 milijard. Posledično je tudi zagotavljanje spletne varnosti postalo zelo pomembno gospodarsko in politično vprašanje. Tarča spletnega kriminala namreč postaja vse več javnih institucij in podjetij, težava pa je še večja zaradi trenutnega pomanjkanja ustreznih informacijskih znanj. Posledično so nezadostni že varnostni ukrepi, saj je bilo po podatkih svetovalne družbe KPMG lani skoraj vsako peto evropsko podjetje tarča neke vrste napada, zgolj petina od njih pa je imela ustrezno varnostno infrastrukturo za spopad s takšnimi grožnjami. Uspešni napadi so sicer podjetja povprečno oškodovali za okoli odstotek letnega prometa. To so grobe ocene, saj skrbniki omrežij številnih vdorov niti ne odkrijejo, tudi sicer pa podjetja nerada priznavajo, da so bila žrtev spletnega kriminala. Do leta 2020 pa naj bi kar 60 odstotkov spletnih podjetij utrpelo velik izpad storitev zaradi nezmožnosti varnostnega osebja za spopadanje z digitalnimi grožnjami.

Dobičkonosna gospodarska panoga

Vse večje število spletnih napadov pa ne nazadnje ni presenetljivo, saj je kibernetični kriminal 21. stoletja postal pravcata industrija, kibernetični kriminalci pa brezobzirni in učinkoviti podjetniki, ki se organizirajo v visoko sofisticirane organizacije, vse bolj podobne dejanskim gospodarskim družbam. Tako imajo napredne hekerske mreže na voljo celo strukture, kot so proračuni za raziskave in razvoj ter upravljanje človeških virov, hkrati pa uživajo podporo razvitega in hitro razvijajočega se črnega trga, na katerem se trguje tako z osebnimi podatki in poslovnimi skrivnostmi kot z milijoni, ukradenimi naivnim posameznikom ali nepripravljenim podjetjem. Hkrati se nepridipravom v sodobnem kibernetičnem svetu vsak dan ponuja več priložnosti, saj so različne vrste spletnega poslovanja, storitev v oblaku in mobilnega računalništva postale vsakdanja praksa. Na spletu je medsebojno povezanih že več kot 25 milijard naprav, kar naj bi se do leta 2020 celo podvojilo, pri čemer, sodeč, po raziskavi družbe HP kar 70 odstotkov vseh teh naprav – od preprostih gospodinjskih aparatov do visoko sofisticirane industrijske infrastrukture – izkazuje kritične varnostne pomanjkljivosti.

In prav zato je še toliko bolj skrb vzbujajoče tudi dejstvo pomanjkljivih izobraževalnih programov, ki bodočega varnostnega kadra ne usposobijo dovolj za ustrezno spopadanje z naštetimi kibernetskimi grožnjami. Vse več strokovnjakov namreč voditelje svetovnih gospodarskih velesil poziva k povečanju podpore za razvoj računalniške varnosti, hkrati pa se v panogi povečuje tudi zanimanje za netradicionalne metode praktičnega učenja, kot je praktično izobraževanje, tehnološke vaje in hekerski maratoni (denimo DefCon in Black Hat), saj omenjeni programi omogočajo bistveno učinkovitejši razvoj potrebnih veščin.

To potrjujeta tudi nedavna hekerska podviga, ko so varnostni strokovnjaki v kontroliranem poskusu vdrli v operacijski sistem avtomobilov Jeep Cherokee oziroma Tesla Model S in dramatično prikazali vse nevarnosti takšnih napadov. Čeprav so električna vozila v primerjavi z navadnimi »imuna« za konvencionalno krajo s sklenitvijo kontakta, sta hekerja Kevin Mahaffey in Marc Rogers električno Teslo S uspešno »ukradla« z vdorom v avtomobilov operacijski sistem. Za to sta sicer potrebovala fizični dostop do vozila, toda hkrati sta odkrila tudi ranljivost v Teslinem »infotainment« sistemu, prek katere je mogoče v vozilo vdreti na daljavo. S tem pa nista dobila le možnosti kraje, temveč tudi možnost namestitve zlonamernih programov (»malware«), s pomočjo katerih heker nato postopno prevzame popoln nadzor nad vsemi funkcijami vozila, vključno z motorjem, krmiljenjem in zavorami.

Revolucionarna vizija ali distopična cyberpunk prihodnost?

Medtem ko Mahaffey in Rogers na Tesli tega nista preizkusila v praksi, sta hekerja Charlie Miller in Chris Valasek vse našteto izvedla na vozečem avtomobilu, in to kar iz udobja svoje dnevne sobe. To je bil vrhunec več kot triletnega projekta, s katerim želita avtomobilsko industrijo opozoriti na prežeče nevarnosti, ki jih pomeni povečanje vsesplošne spletne povezanosti. Odzivi avtomobilskih velikanov so sicer mešani, od hvaležnosti in pripravljenosti za sodelovanje do skepse in omalovaževanja dejanske stopnje ogroženosti, čeprav jih večina priznava, da bo tudi kibernetična varnost slej ali prej pomenila pomembno plat celostne avtomobilske varnosti. Če ne drugače, jih bo k temu prisilila zakonodaja, saj v ZDA že pripravljajo zaostritev varnostnih standardov, ki bodo vključevali tudi odpornost na napade, morda pa se obeta celo sistem, ki bo v slogu varnostnih testov za primer trka (NCAP) ocenjeval varnost elektronskih sistemov, povezljivosti in zasebnosti v vozilih. In čeprav kraja ali celo daljinsko upravljanje vozila še zdaleč ni nedolžno, pa se še daljnosežnejše možnosti zlorabe ponujajo v revolucionarnem projektu estonske vlade e-Residency oziroma e-državljanstvo. Zadnji ponuja podelitev transnacionalne digitalne identitete vsakemu, ki hoče na spletu upravljati svoja podjetja, opravljati finančne posle in sklepati pogodbe neodvisno od geografskih omejitev. Estonija tako ponuja prvo digitalno identiteto z vladno podporo na svetu, saj si država prizadeva za vodilno vlogo pri uvedbi prve elektronske družbe brez meja, zato je projekt zahteval obsežno kolaboracijo med ministrstvi, vladnimi razvojnimi agencijami in zasebnim podjetniškim sektorjem. Prav zaradi potencialno zelo škodljivih posledic morebitnih zlorab je bil velik poudarek namenjen tudi varnostnemu vidiku, za zagotavljanje najvišjih standardov spletne zasnove in varnosti pa so bila zadolžena podjetja, kot so Fujitsu, Stagnation Lab in Velvet.

V vsaki grožnji pa je mogoče najti tudi priložnosti in spletni kriminal ni nobena izjema. Informacijska varnost tako po podatkih analitske hiše Gartner na leto ustvari že za skoraj 70 milijard evrov prometa, in ker je celo najhitreje rastoči segment IKT-panoge, se bo ta številka že do leta 2020 povzpela do 150 milijard. Takšno povpraševanje pa seveda pomeni tudi zelo veliko povečanje delovnih mest, namenjenih strokovnjakom iz računalniške varnosti. Po podatkih analitikov Burning Glass International tako povpraševanje po kadrih iz IT samo v ZDA za skoraj štirikrat presega povpraševanje po drugi delovni sili, medtem ko so specializirani strokovnjaki na področju spletne varnosti celo dvanajstkrat bolj iskani kot druge zaposlitve.