Vesela sem, da se je napad zgodil

Hekerski napad WannaCry je prav zares v jok spravil  več kot 200.000 uporabnikov, javnih ustanov in podjetji.

Na Microsoftovi konferenci, ki te dni poteka v Portorožu, je to temo skoraj nemogoče obiti, še posebaj, ker je napad pravzaprav izkoristil ranljivost Microsoftovega sistema MS17-10. Taje bila sicer zakrpana že s popravki meseca marca 2017, a nekateri uporabniki posodobitev niso pravočasno namestili.

Tisti, ki so imeli inštalirano Microsoftovo brezplačno antivirusno programsko opremo ali imajo omogočen Windows update so zaščiteni. Zaradi potencialnega vpliva napada na stranke in njihov posel, je Microsoft prav tako lansiral posodobitve za Windows XP, Windows 8 in Windows Server 2003, so nam  povedali pri Microsoftu.

Širitev je bila sicer zelo hitra,  napad pa se je širil brez uporabnikove interakcije, saj ko je virus v omrežju, pri tem šifrira vse datoteke. Za podatke so napadalci, ki so neznani, zahtevali 300 oziroma 600 dolarjev odkupnine ... Uporabniki so do sedaj plačali okoli 30.000 dolarjev.

Kaj se je pravzaprav zgodilo, kako varni smo zares, ali je šlo le za test, kdo je iz NSA odnesel podatke, koliko napadov se zgodi, pa ne vemo zanje, kakšne so najvišje izplačane odkupnine, in kdo vse lahko izvede katastrofo svetovnih razsežnosti, smo na Microsoftovi konferenci vprašali mednarodno uveljavljeno strokovnjakinjo za kibernetsko varnost Paulo Januszkiewicz, ki vsako leto zaradi svojega zares izrednega znanja na področju kibernetske varnosti polni dvorane po vsem svetu. Celoten intervju bo objavljen v petkovi izdaji Sveta Kapitala.

Vas je napad presenetil?

Pravzaprav ne. Razveselil me je, če sem iskrena. Takšni napadi so vedno opozorilo, da je vedno nekdo tam zunaj, ki čaka na svojo priložnost in naše napake. Vedno ponavljam, da dokler ljudje ne bodo začeli umirati, se ne bo nič spremenilo.

V britanskih bolnišnicah, ki so zaradi nezmožnosti dostopa do podatkov in aparatur odpovedale marsikatero operacijo, bi se to lahko zgodilo.

Tako kot sem rekla. Podoben primer smo reševali v eni izmed bolnišnic v Los Angelesu nekaj mesecev nazaj. Kibernetskim teroristom so v zameno za podatke, ki so jih ti zaklenili, izplačali 17.000 dolarjev. Zahtevana odkupnina je sicer znašala več milijonov, a se je nato vladnim službam uspeli izpogajati za nižjo vsoto. Kode niso razbrali. Šlo je le za denar.

Moje podjetje je svetovalo že mnogim bolnišnicam, ki so bile v podobni situaciji in lahko rečem, da kibernetska varnost še zdaleč ni njihova prioriteta. Enako je v vladnih inštitucijah, ki hranijo ogromno naših podatkov.  Preprosto nimajo dovolj velikih IT oddelkov, dovolj znanja, denarja in časa, da bi se ukvarjali s tem. Nekateri sistemi so tako slabo zaščiteni, da bi res lahko praktično vsakdo vdrl v njih in imel dostop do podatkov in izseljeval. Čeprav je zame problematično že to, da ima nepooblaščena oseba sploh dostop do osebnih podatkov.

Zakaj se taki napadi dogajajo, so ljudje na za to odgovornih pozicijah premalo obveščeni, imajo premalo znanja?

Vse skupaj. Podjetja, ki imajo dovolj znanja, nimajo proračun ali dovolj ljudi, da bi se lahko pravočasno zaščitila itd. Statistike pravijo, da bomo imeli do leta 2019 milijon manj kibernetskih stražarjev. Že danes obstaja ogromna potreba po kibernetskih strokovnjakih, posla je dovolj za dodatnih 5,5 milijonov ljudi.

Napad je znova odprt  vprašanje legitimnosti zakrivanja sledljivosti digitalnih valut.

To, da izvora Bitcoinov ali drugih kripto valut ni mogoče ugotoviti, ni čisto res, le malo bolj zakomplicirano je. Naj odgovorim tako. Zagotovo nisem zagovornica neregularnih in zakritih finančnih tokov, je pa res, da je anonimnost poti denarja lahko zelo koristna pri čisto legalnih poslih, žal pa se vsako stvar lahko izkoristi tudi za slabe namene.

Vzniknile so tudi debate, da kibernetsko varnostna industrija napade vidi kot možnost za zaslužek bolj kot pa priložnost, da bi skupaj z vladami in javnimi institucijami našla učinkovito rešitev za zmanjšanje groženj.

Ja, to drži, a je vedno bilo tako. Podjetja in vlade naj se raje  vprašajo, kaj so naredile v zadnjih petih letih, da bi izboljšale našo varnost na internetu. Vam jaz povem, nič skoraj niso naredile. Pet let je obdobje za vsako podjetje ali javno institucijo, ko lahko privarčuje sredstva za implementacijo minimalnih standardov na področju varnosti. Obstajajo tudi brezplačne rešitve, moraš jim le posvetiti nekaj časa. Vem, da tudi to stane, ampak v obdobju petih let pa bi že lahko koga našli, da bi to naredil in si vzel čas. Polagam na srce odgovornim v podjetju, da uvedejo akcijski načrt kibernetske preventive. Če bi to obstajalo, se petkov napad ne bi mogel zgoditi. To niso prazne besede. Situacija je res resna, a razlog za stanje je vedno enak. Sistemov se ne posodoblja redno, akcijskih načrtov kibernetske varnosti ni.

Kako verjetno je, da je šlo le za test pripravljenosti?

Če to drži, je bil to odličen test. Kdo ve, a takih napadov, ne tako obsežnih, je sicer zelo veliko in se o njih marsikdaj ne govori, saj tarče ne želijo, da bi javnost izvedela. Pričakujem še več takih napadov, saj je priložnosti zelo veliko.

Celoten intervju preberite v petkovi izdaji Sveta Kapitala.