Kako bi čutili kibernetski napad na Slovenijo?

Po napadu virusa WannaCry so v novomeškem Revozu znova zagnali proizvodnjo, v Sloveniji je bilo še sedem prijavljenih napadov. Med napadenimi v Sloveniji (še) ni bilo javnih ustanov, medtem ko so nekatere britanske bolnišnice obstale z zamrznjenimi informacijskimi sistemi.

Bilanca minulega konca tedna: 200.000 napadenih tarč v 150 državah. Če ste se spraševali, kako bi bila videti kibernetska vojna, ste minuli konec tedna dobili del odgovora.

Kitajski spletni iskalnik Baidu pa je razkril, da jim »tolpa hekerskih plačancev« skuša ukrasti tehnologijo za avtonomna vozila. »Ta podzemna dejavnost se krepi, zato si moramo pomagati v boju proti podzemni industriji. Nismo podjetja med seboj sovražniki, oni so naši sovražniki,« pravi šef kibernetske varnosti na Baiduju Ma Jie.

Pexels

Koliko smo varni, kje je sovražnik?

Čeprav šolski sistem pri nas izšola dobre strokovnjake informacijske tehnologije, se je težko znebiti vtisa, da smo kot država zaspali pri kibernetski varnosti. »Na tem področju ni treba divjati, kar smo zamudili, smo zamudili. Postopno moramo naprej, pogledati najboljše rešitve po tujini in premisliti, kaj bi nam najbolj ustrezalo,« pravi Dobran Božič, v. d. direktorja vladnega urada za varovanje tajnih podatkov.

Dobran Božič, vladni urad za varovanje tajnih podatkov: Vojaki znamo organizirati in voditi zadeve in delovati tudi v kriznih razmerah. To ne pomeni, da smo v vojni, smo pa pod stalnimi napadi hekerjev, posameznikov in kriminalcev

Šef urada, ki postavlja sistem kibernetske obrambe Slovenije, je generalmajor. V dolgoletni vojaški karieri je bil med drugim načelnik generalštaba, poveljnik 1. brigade in 15. kontingenta slovenske vojske v Afganistanu. Dejstvo, da kibernetsko obrambo snuje general, ne pomeni, da smo v vojni. Podoben urad na Norveškem vodi general, v ameriški zvezni državi Kolorado, ki si jo pri nas glede obrambe pogosto jemljemo za zgled, je za to področje prav tako pristojen upokojeni general. »Vojaki znamo organizirati in voditi zadeve in delovati tudi v kriznih razmerah. To ne pomeni, da smo v vojni, smo pa pod stalnimi napadi hekerjev, posameznikov in kriminalcev,« poudarja Božič.

Število kibernetskih napadov se v Sloveniji vsako leto poveča za okoli 30 odstotkov, vendar vrednost škode, ki jo povzročijo, ni javno znana. Svet je globalna vas brez meja, kibernetski svet pa je ves čas bolj ali manj brez meja, zato je težko natančno določiti, od kod prihajajo največja tveganja za našo kibernetsko varnost. Po Božičevi oceni je ta v primerjavi z drugimi razvitimi državami nekje na sredini.

Pexels

Zmagalo bo dobro

Kako varna je naša kritična infrastruktura? Kako ranljive so naše elektrarne, tudi jedrska, vodovodi in podobno? »Absolutne varnosti ni. Če danes domnevno vdrejo v volilni sistem v ZDA in če je bil izpeljan napad na iranski jedrski program, je zelo težko govoriti o varnosti. Kdor pravi, da je varen, se ne zaveda resnosti tega področja,« pravi Božič. Slovenija ni država, ki bi koga neposredno varnostno ogrožala, vendar se ne more zanašati, da je zgolj zaradi tega varna pred tveganji. »Sam nisem nič naredil virusu gripe, pa zgolj zato nisem varen pred njim. Tako kot je cepljenje pametna odločitev, je tudi naložba v varnost vedno dobra naložba,« ponazori Božič.

Kako varna je naša kritična infrastruktura? Kako ranljive so naše elektrarne, tudi jedrska, vodovodi in podobno? Popolne varnosti ni.

Sogovornik opominja, da se v zadnjih tri tisoč letih ni veliko spremenilo: vojne, pobijanje, begunci, ograje, zidovi. »To je vse že videno, vendar dobri ljudje delamo na tem, da na koncu dneva dobro zmaga nad zlim, in prepričan sem, da bo tako tudi pri kibernetski varnosti.« V Sloveniji imamo dovolj sposobnih in izobraženih ljudi, treba jih je združiti in postaviti celoten ekosistem, ki bi učinkovito povezal gospodarstvo, znanstvene ustanove in državo v celoto.

Virusi, ne bombe

V Sloveniji danes nihče, niti Božič, ne pričakuje kibernetskega napada uničujočih razsežnosti. »Če pa bi zadeve šle v smeri proti vojni, bo kibernetski napad prvo bombardiranje.« Kar je bil nekoč letalski napad z bombami in raketami, je danes kibernetski napad. Kako bi ljudje čutili to bombardiranje? Najprej bi zmanjkalo denarja, ker bi bančni sistem klecnil, trgovine ne bi delovale, izpad elektrike bi za seboj potegnil celo verigo, težave v prometu, delovanje bolnišnic, oskrbo s toplotno energijo in vodo. Po bolj črnih scenarijh bi posegi v sisteme v kemičnih tovarnah lahko povzročili hudo tveganje za okolje. »Vsekakor bi lahko pričakovali kolaps celotnega sistema večjih razsežnosti, ki bi lahko trajal teden ali dva,« meni Božič. Za lažjo predstavo, kakšen bi bil videti napad hekerjev, se je dovolj spomniti posledic žledoloma, ko ljudje ob zamrznjeni infrastrukturi niso mogli zadovoljiti niti vsakdanjih potreb.

Googlu zaupamo bolj kot državi

Na osebni ravni pa so tujci v naše življenje, večinoma z našim privoljenjem, vdrli bistveno bolj, kot to velja za državno infrastrukturo. Podatki, ki jih v zameno za lagodnejše življenje in poslovanje zaupamo spletnim velikanom, kot so Google, Booking in Tripadvisor, o nas razkrivajo več, kot se zavedamo in kot bi si želeli. »Tragikomično je, da imajo Tripadvisor in podobni dostop do vseh možnih podatkov o vas, če pa bi jih hotela imeti država, bi bil to poseg v zasebnost. In prav je, da država varuje ustavne pravice in pravico do zasebnosti, to je črta, ki je ne kaže prestopiti, razen v izjemnih primerih z odredbo sodišča,« dodaja Božič.

Pametne hiše so občutljive

Skorajda ni nove hiše brez pametnih in povezljivih naprav, zato je tudi naš dom vse bolj ranljiv za posege od zunaj. »Nekoč ste imeli v hiši morda le ruter, kak prenosni računalnik in tablico, danes pa imate pametne ventile, kamerice, stikala, štedilnike, pralne stroje, regulacijo ogrevanja, avtomatizirana senčila. Čim več je v stanovanju teh naprav, tem večja tarča je za morebitni napad,« pravi strokovnjak za kibernetsko varnost Milan Gabor, lastnik in direktor družbe Viris.

Viris skrbi za kibernetsko varnost podjetij, med drugim tudi bank. Naročniki družbo, kot je Viris, najamejo, da s hekerskimi prijemi preveri, kje in kako je mogoče vdreti v sistem podjetja, hekerji po opravljenem pregledu napišejo poročilo in naročniku predlagajo ukrepe, s katerimi lahko izboljša varnost podjetja pred zunanjimi vpadi.

Varnost skozi oči etičnega hekerja

Nam državna strategija kibernetske varnosti zagotavlja ustrezno stopnjo varnosti? »Vsi vemo, da ni ravno dobro, če nam kdo sesuje telekomunikacije, energetiko, vodovod. Kritično infrastrukturo smo definirali in pripravili strategijo kibernetske varnosti na državni ravni. Druga stvar pa je, ali je to mrtva črka na papirju. Zdi se mi, da se situacija počasi izboljšuje in tudi zavest se dviga. Varnost je proces, ne moremo je kar kupiti v trgovini,« pravi Gabor.

Če vas vsebina toliko prepriča, da odprete priponko, je »game over«: napadalec je že na vašem računalniku in v vlogi vaše digitalne identitete.

Po njegovi oceni je za kibernetsko varnost razmeroma zadovoljivo poskrbljeno v bančnem sektorju in drugih finančnih ustanovah, pri čemer pojasnjuje: »Tako je, ker imajo vsako leto dril, vsako leto jih pregledajo, zato je težje odkriti pomanjkljivosti. V bankah je raven varnosti res visoko postavljena. Drugače je v nekaterih podjetjih, kjer opravimo varnostni pregled. Ta bodo potrebovala še nekaj časa, da bodo dosegla zadovoljivo raven varnosti, čez noč ne gre.«

Otroci, učite se!

»Družbe, kot je naša, bomo imele še kar nekaj časa dovolj dela, sploh glede na trende tehnološkega razvoja, denimo internet stvari. Veliko start-upov razvija zelo zanimive produkte in storitve, toda če jih podrobneje proučimo, se pojavljajo enake napake v razvoju programske opreme kot pred dvajsetimi leti, zato je ta precej ranljiva. Dela nam tako zanesljivo ne bo zmanjkalo. Vsaj dokler umetna inteligenca ne bo začela programirati, vendar takšni poskusi še niso preveč uspešni,« pravi Gabor.

Zgolj tehnično znanje pri Gaborjevem delu ni dovolj. Pri nekaterih preizkusih kibernetske varnosti uporabljajo tudi psihološke prijeme, spoznati morajo, kako naročnikovi zaposleni živijo, kako se vedejo na spletu. Ko spoznajo njihov profil, jim poskušajo z elektronskim sporočilom, usb-ključkom ali kako drugače na računalnik poslati škodljivo vsebino, s katero lahko okužijo celoten sistem. To je eden od načinov preverjanja, koliko varen je ekosistem, torej od uporabnikov do samega sistema.

Pexels

Kako najlažje prepoznati hekerja

Če vam heker pošlje vsebino, ki se vam bo zdela precej avtentična in bo za nameček videti, da vam jo je poslal kolega, s katerim komunicirate na facebooku ali twitterju, jo boste precej verjetno odprli. Pomembno je vedeti, da se škodljiva vsebina skriva v priponki, zato sogovornik odsvetuje odpiranje sumljivih priponk v wordu ali excelu; te lahko vsebujejo kodo s škodljivim programom, ki se lahko izvaja na vašem računalniku. »Če vas vsebina toliko prepriča, da odprete priponko, je 'game over'. V tistem trenutku sem že v vašem računalniku in v vlogi vaše digitalne identitete,« pravi Gabor.

Takšne priponke najlažje prepoznamo po končnicah imena datoteke, kot sta docm in xlsm. Word in excel uporabnika posvarita pred škodljivo vsebino, to je prva raven zaščite, a pri tem je treba opozoriti na socialne in psihološke spretnosti hekerjev, ki igrajo na človeško radovednost in ponudijo vsebino, ki si jo uporabnik kljub omenjenim opozorilom želi videti. Radovednost premaga razumsko zavedanje, zato so ti napadi še vedno zelo uspešni, edina rešitev pa je izobraževanje uporabnikov.

Prihaja digitalni komunizem?

V dobi, ko stroji vedo vse o nas, ko vse pametnejši roboti iz človekovih rok prevzemajo vse večji del nalog, tako v službi kot doma, so umestne razprave o tem, kaj bomo delali v prihodnje in kako. Od česa bodo živeli ljudje, ki jih bodo proti mrazu, vročini in utrujenosti odporni roboti izrinili s trga dela? Družba se tudi zaradi tehnološkega napredka spreminja hitreje kot kadarkoli doslej. Univerzalni temeljni dohodek v tem kontekstu zveni kot še toliko bolj realistična možnost.

»Izbira popolne odprtosti je neprepričljiva in skrb vzbujajoča, spominja na hipijevsko komuno, v kateri ni pravice do zasebnosti in so ljudje socialno goli. Prinaša tveganje digitalnega komunizma, ki podobno kot politični komunizem lahko ustvari superentiteto, ki ve vse, o vsem odloča in upravlja ključne zadeve v imenu vseh. To bi osiromašilo svet, ker bi z odvzeto lastnino in zasebnostjo ljudi – v digitalnem svetu to pomeni, da bi jim odvzeli ideje – uničilo njihovo vrednost,« meni odvetnik Luca Bolognini, predsednik italijanskega inštituta za zasebnost in član vodstva evropskega združenja za zasebnost. Kaj o možnosti digitalnega komunizma meni general Božič? »Težko to ocenjujem. Je pa precej verjetno, da nas na poti do tja, če ne bomo previdni, čakajo žeja, mraz in splošen kaos,« odgovarja.