Dokler ljudje ne bodo začeli umirati, se ne bo nič spremenilo

Bolj ko jo poslušam, bolj mi gre na jok, je dejal informacijski tehnolog pri nekem slovenskem podjetju, ko je prišel s predavanja strokovnjakinje za kibernetsko varnost Paule Januszkiewicz na Microsoftovi konferenci v Portorožu. »Misliš, da si dovolj zaščiten, pa ti pred nosom demonstrira, da je vstop v tvoj sistem mala malica,« je še pristavil.

Januszkiewiczeva je izvršna direktorica in lastnica elitnega podjetja za kibernetsko varnost Xcqure, ki med drugim svetuje vladam, tudi ameriški in savdskoarabski. Naročnike ima po vsem svetu, podružnice pa v Zürichu, Varšavi, New Yorku in Dubaju. Njeno izredno podrobno znanje o varnosti sistemov, ki ga nenehno posodablja, je bilo razlog, da so bili vsa njena predavanja in delavnice polni do zadnjega kotička.

Že večkrat smo slišali, toda vseeno še enkrat opišite, kaj se je zgodilo v petkovem napadu, ki je prizadel 200.000 uporabnikov in od njih v zameno za zaklenjene podatke zahteval odkupnino?

Ena od Microsoftovih namestitev je vsebovala ranljivost, ki jo je pred časom prva zaznala NSA, a je Microsoft napako nato že marca odpravil ter izdal posodobitve, vendar jih niso vsi namestili. Torej, kot vedno, posodobitve in varnostne kopije so edina rešitev pred napadi. Napad se seveda lahko zgodi, tudi če je vse redno posodobljeno, takrat lahko pomagajo kompleksnejši varnostni zidovi.

Jure Eržen

Vas je napad presenetil?

Pravzaprav ne. Razveselil me je, če sem iskrena. Takšni napadi so opozorilo, da je vedno nekdo tam zunaj, ki čaka na svojo priložnost in naše napake. Zmeraj ponavljam, da dokler ljudje ne bodo začeli umirati, se ne bo nič spremenilo. Na začetku leta se je v Savdski Arabiji zgodil Shamoon 2, velik napad na naftna in plinska podjetja, ki je v nekaj urah uničil 35.000 računalnikov. Prva različica napada se je zgodila že leta 2012 in uničila vse računalnike naftne družbe Saudi Aramco, a je kljub temu druga spet vse presenetila, čeprav bi jo lahko pravzaprav precej enostavno preprečili.

V britanskih bolnišnicah, ki so zaradi nezmožnosti dostopa do podatkov in naprav odpovedale marsikatero operacijo, bi se smrt lahko pripetila.

Tako kot sem rekla. Podoben primer so reševali v eni od bolnišnic v Los Angelesu pred nekaj meseci. Kibernetskim teroristom so v zameno za podatke, ki so jih ti zaklenili, izplačali 17.000 dolarjev.

V bolnišnici v Los Angelesu so kibernetskim teroristom v zameno za podatke, ki so jih ti zaklenili, izplačali 17.000 dolarjev.

Zahtevali so sicer več milijonov odkupnine, a je vladnim službam uspelo izpogajati nižjo vsoto. Moje podjetje je svetovalo že mnogo bolnišnicam, ki so se znašle v podobni situaciji, in lahko rečem, da kibernetska varnost še zdaleč ni njihova prioriteta. Enako je v vladnih institucijah, ki hranijo ogromno naših podatkov. Preprosto nimajo dovolj velikih IT-oddelkov, dovolj znanja, denarja in časa, da bi se ukvarjali s tem. Nekateri sistemi so tako slabo zaščiteni, da bi res lahko tako rekoč vsakdo vdrl v njih, prišel do podatkov in nato izsiljeval. Čeprav je zame problematično že to, da ima nepooblaščena oseba sploh dostop do osebnih podatkov. Če bi pristojni na oddelkih imeli varnostne protokole in izvajali varnostne teste, torej vestno opravljali svoje delo, bi bilo tveganje minimalno.

Kje varnosti namenjajo najmanj pozornosti?

V bolnišnicah je intenzivnost preverjanja varnosti najmanjša. Na začetku leta smo izvedli pen test, to je simulacijo kibernetskega napada, ki pokaže ranljivosti in pomanjkljivosti sistema, v neki bolnišnici, kjer takega preizkusa še nikoli niso opravili. Predstavljajte si, toliko let so uporabljali sistem, za katerega sploh niso vedeli, ali je varen ali ne. Vanj smo vstopili v nekaj sekundah, skorajda vsak bi to lahko storil. Razumem pa, da je v bolnišnicah, ki so finančno podhranjene, vedno težava denar.

Jure Eržen

Zakaj se taki napadi dogajajo, so ljudje na za to odgovornih položajih premalo obveščeni, imajo premalo znanja?

Vse skupaj. Podjetja, ki imajo dovolj znanja, na primer nimajo dovolj denarja ali dovolj ljudi, da bi se lahko pravočasno zaščitila. Statistika pravi, da bomo imeli do leta 2019 milijon manj kibernetskih stražarjev. Že danes je velika potreba po kibernetskih strokovnjakih, posla je dovolj še za 5,5 milijona ljudi. Problem je v tem, da vsi govorijo, kako pomembna je kibernetska varnost, a očitno se nikomur ne zdi tako pomembna, da bi ljudi spodbujali k izobraževanju na tem področju.

Napad je znova odprl vprašanje, ali je zakrivanje sledljivosti digitalnih valut legitimno.

To, da izvora bitcoina in drugih kriptovalut ni mogoče ugotoviti, ni čisto res, le malo bolj zapleteno je. Zagotovo nisem zagovornica neregularnih in zakritih finančnih tokov, je pa res, da je anonimnost poti denarja lahko zelo koristna pri povsem zakonitih poslih. Toda žal je vsako stvar mogoče izkoristiti tudi za slabe namene.

Vzniknile so tudi debate, da kibernetskovarnostna industrija napade vidi kot možnost za zaslužek bolj kot pa priložnost, da bi skupaj z vladami in javnimi institucijami našla učinkovito rešitev za zmanjšanje groženj.

To drži, a nikoli ni bilo drugače. Podjetja in vlade naj se raje vprašajo, kaj so naredili v zadnjih petih letih, da bi izboljšali našo varnost na internetu danes. Vam jaz povem, da skoraj nič. Pet let je po mojem mnenju obdobje za vsako podjetje ali javno institucijo, ko lahko privarčuje sredstva za implementacijo minimalnih standardov. Še posebej, ker obstajajo tudi brezplačne rešitve, le nekaj časa zahtevajo. Vem, da tudi čas stane, ampak v petih letih pa bi že lahko našli koga, da bi to naredil in si vzel čas. Odgovornim polagam na srce, da uvedejo akcijske načrte kibernetske preventive. Če bi ti obstajali, se petkov napad ne bi mogel zgoditi. Vsi govorijo, ja, seveda, vemo in podobno. Prazne besede. Situacija je resna, toda razlog za tako stanje je vedno enak. Sistemov se ne posodablja redno, akcijskih načrtov kibernetske varnosti ni.

Kolikšna je možnost, da je šlo le za test pripravljenosti?

Če to drži, je bil odličen test. Takih napadov, resda ne tako obsežnih, je sicer veliko, vendar se o njih marsikdaj ne govori, saj tarče nočejo, da bi javnost izvedela. Če kriminalec vidi, da lahko nekoga precej preprosto napade in se dokoplje do denarja ali podatkov, zakaj tega ne bi storil? Seveda je nelegalno in neetično, ampak komu mar? Pričakujem še več takih napadov, saj je priložnosti veliko.

Koliko verjetna je katastrofa svetovnih razsežnosti, ki bi recimo zbrisala vse podatke o davčnih obveznostih ali bančne podatke?

Zelo verjetna. Letos nas je neka vlada – zaradi zaupnosti pogodbe ne smem povedati, katera – najela za izvedbo forenzičnega projekta, ker je nekdo napadel njihovo nacionalno zakladnico.

Šlo je za tajno operacijo. Če bi to prišlo na dan, bi investitorji ponoreli, cene delnic bi drastično padle. Lahko bi povzročilo razpad državnega sistema.

Gre za državno institucijo, prek katere so povezane tudi banke. S forenzično preiskavo spletnih aktivnosti smo ugotovili, da napad bank, povezanih v glavni sistem, ki je bil tarča, sicer ni prizadel, a bi jih lahko. To je eden od množice primerov, za katere javnost ni izvedela. Šlo je za tajno operacijo. Predstavljajte si, da bi to v tistem trenutku prišlo na dan, investitorji bi ponoreli, cene delnic bi drastično padle. Dejansko bi lahko, če bi eskaliralo, povzročilo razpad državnega sistema.

Koliko ljudi na svetu ima znanje, sposobnosti in opremo, da kaj takega izvede?

Vsi strokovnjaki za kibernetsko varnost. Teh bo do leta 2020 okoli 4,5 milijona. V naši ekipi recimo prav izvajamo vajo, pri kateri razmišljamo, kaj bi lahko naredili, da bi poslabšali situacijo.

Kako pogosto pri napadih sodeluje nekdo z notranjimi informacijami?

Kar pogosto. Banke imajo recimo zelo natančne evidence znanja in pristojnosti trenutnih in nekdanjih zaposlenih in v skoraj vsaki je kdo, ki so ga zaradi nedovoljenih operacij odpustili. In taki se včasih maščujejo. Ali obratno, da bi prišli do podatkov konkurence, najamejo nekdanje zaposlene, da vdrejo v sistem. Taki ljudje se za plačilo vedno najdejo, a o tem se ne govori.

Kodo, ki je bila uporabljena za petkov napad, so razvili v NSA. Koliko verjetno je, da je bila od tam ukradena?

Najverjetneje je bila res ukradena ali pa podarjena. Svet je majhen in v tem malem svetu se stvari včasih obrnejo v drugo smer od načrtovane. Ne bi rada špekulirala, vem pa, da včasih kdo hoče, da bi vsi mislili, da je bilo nekaj ukradeno, da potem izpade kot velik rešitelj.

Lahko pričakujemo novo različico?

Naj se zgodi. A spet, dokler se zares ne bo zgodila katastrofa, se naša varnost ne bo izboljšala. Se pa lahko zgodijo tudi nepopravljive posledice. Opozorila bi še, da naraščajo napadi ne na državne in poslovne sisteme kot v preteklosti, saj so ti vedno bolj zaščiteni, ampak na posameznike.

Jure Eržen

TRETJE OKO: David Modic, raziskovalec v računalniškem laboratoriju univerze v Cambridgeu

Posamezniki vse pogosteje tarča spletnih prevar

David Modic se ukvarja s psihologijo kibernetskega kriminala. Pravi, da so metode spletnih prevar, usmerjenih proti posameznikom, vedno bolj izpopolnjene. Nedavno se je v korporaciji z več kot 30.000 zaposlenimi zgodila precej uspešna prevara, ki pa ne bi bila uspešna, če storilec obenem ne bi pretental še ljudi, ki so jo nezavedno izpeljali. Z metodo ribarjenja so od zaposlenih dobili podatke o bančnih računih. V istem času so mlajšim zaposlenim poslali ponudbo za popoldansko službo z normalnim plačilom, okoli dvajset ljudi se je prijavilo, opravilo intervju po skypu in bilo sprejetih.

V istem času, tik pred novim letom, je prevarant pridobil še podatke o drugih zaposlenih, a tokrat tistih na visokih položajih z visokimi plačami, okoli 15 tisoč dolarjev. Nato je v sistemu spremenil bančne račune in jih zamenjal z računi mlajših zaposlenih, po novem njegovih popoldansko zaposlenih. Bančni računi so bili spremenjeni v ponastavitvah, elektronska sporočila, ki so jih prejeli zaposleni, pa izbrisana, saj je imel dostop do elektronske pošte. Podjetje je tako plače zaposlenih na višjih položajih nakazalo tistim na nižjih položajih. Ker je bilo to v času praznikov, organizacija pa je imela navado, da je plače izplačevala že pred božičem, si je večina ogoljufanih mislila, da jih tokrat pač niso izplačali prej. V istem času je prevarant poslal svojim novim zaposlenim sporočilo, da so se pri nakazilu zmotili, da naj si za stroške vzamejo deset odstotkov, preostalo pa nakažejo na ta in ta račun. Ti računi so bili na Kitajskem, v Rusiji ali Ukrajini.

Po novem letu je nato podjetje ljudem, ki so se pritoževali, da še vedno niso prejeli denarja, poslalo potrdilo o nakazilu in zraven še elektronsko pošto, ki je dokazovala, da so si spremenili številko bančnega računa. Preiskava je potem razkrila, kdo so bili mlajši zaposleni, ki so prejeli denar in ga prenakazali na prevarantove račune. Zaradi tega bodo zdaj sedli na zatožno klop. Obtoženi so pranja denarja, za kar je v državi, kjer se je to zgodilo, zagrožena kazen od štiri do 14 let zapora. Po Modičevem mnenju se bodo na sodišču pravnoformalno težko zagovarjali. »Celoten proces je mehansko nezahteven in ga z ukrepi kibernetske varnosti pravzaprav ne bi mogli preprečiti. Taka prevara je uspešna zaradi človeškega dejavnika, torej, da dobiš ljudi, ki se prijavijo v novo službo, potem vzamejo provizijo in denar prenakažejo,« pravi Modic.