Pred dobrim desetletjem je Milan Gabor ustvaril podjetje Viris, ki se ukvarja pretežno z informacijsko varnostjo. Spekter njihovih strank je širok, ponujajo jim varnostne preglede sistemov, aplikacij, simuliranje vdorov v informacijske sisteme kot tudi različna izobraževanja z odzivi na raznovrstne incidente.
Kdo je etični heker in kako človek to postane?
"Etični hekerji so zelo podobni pravim, saj uporabljajo enake metode, tehnike in orodja, le z eno razliko. To je, da imajo dovoljenje naročnika za izvajanje teh aktivnosti. Termin etičnih hekerjev se je pojavil kot protiutež pravim hekerjem. Klasične poti, da nekdo postane etični heker, ni. V veliki večini primerov smo to postali nekdanji razvijalci programske opreme ali sistemski administratorji, ki smo ugotovili, da je dosti lažje razbijati programsko opremo, kot jo razvijati. Današnji kandidati imajo več možnosti kot mi, ki smo začeli pred več leti. Obstajajo tečaji, platforme, kjer se je možno pripravljati in brusiti svoje sposobnosti."
Koliko vas je v Sloveniji?
"To je težko oceniti. Obstaja nekaj podjetij, ki se ukvarjajo samo s tem, potem imamo podjetja, ki se poleg osnovne dejavnosti ukvarjajo še malo s tem, ter imamo nekaj samostojnih in sposobnih posameznikov."
Nacionalni odzivni center za kibernetsko varnost SI-CERT je ugotovil, da so goljufi s pridom izkoristili epidemijo covida-19. Lani so našteli 2775 incidentov, pri čemer so zaznali izrazito povečanje tako imenovanih phishing napadov. Bomo z večjo in hitrejšo digitalizacijo vse pogosteje in tudi lažje tarča tovrstnih nepridipravov?
"Treba se je zavedati, da napadalci vedno izbirajo tarče na podlagi najšibkejšega člena in v veliki večini primerov se namesto tehnologije raje lotijo človeških tarč. Poleg tega gredo vedno tja, kjer je mogoče dobiti finančno korist. Denar je največja motivacija. Torej številke kreditnih kartic, kriptovalute, bančni računi so tarča pravih hekerjev. Za to velikokrat uporabijo različne phishing napade. Letos spomladi smo videli tudi napade, ko so klicali v živo, se predstavljali kot tehnična podpora Microsofta in tako skušali pridobiti dostope do sistemov in računov. Glede na to, da je naše življenje vse bolj digitalizirano, so se napadi prilagodili tudi temu. Napadalci tehnologijo in dobre strani, ki jih je prinesla digitalizacija, s pridom izkoriščajo. Velikokrat jim pomaga tudi kopica informacij na družbenih omrežjih, ki jih je mogoče enostavno pridobiti in jih neozaveščeni uporabniki brez premisleka delijo z vsemi. Opažamo vedno več napadov na ljudi, še bolj zanimivo pa je, da so napadi vedno bolj sofisticirani in jih je vedno težje odkriti."
Za vožnjo po cestah potrebuješ izpit, za divjanje po internetu pa ne
Za varno in kritično uporabo tehnologij informacijske družbe je potrebna tudi razvita digitalna pismenost. Menite, da se tej kompetenci, ki postaja vse bolj ključna v našem vsakdanjiku, pri nas posveča dovolj pozornosti?
"Mogoče bi digitalni pismenosti sam rekel vozniški izpit za krmarjenje po spletu. Trenutno lahko vlečem vzporednice s tem, saj se sin pripravlja za vozniški izpit. Zdravniški pregled, prva pomoč, teorija, praksa, končna izpitna vožnja. Vse to je potrebno, da lahko samostojno voziš avto po naših cestah. Za divjanje po internetu pa ne potrebuješ nič od tega. A nekateri bi potrebovali izpit, saj vidimo, da ne znajo primerno 'šofirati' med vsemi nevarnostmi, ki smo jim lahko izpostavljeni pri tem. Glede na to, da smo dobili ministra za digitalizacijo, obstaja možnost, da se bo vsaj nekaj premaknilo na bolje. Bi pa bilo po mojem dobro uvesti kakšen predmet v šoli ali vsaj tečaj, ki bi prispeval k varnejšemu digitalnemu življenju."
Kaj lahko posameznik naredi za varno in odgovorno uporabo informacijskih tehnologij?
"Marsikatere zlorabe ali kraje ne bi bilo, če bi ljudje vsaj malo tudi v digitalnem svetu uporabljali zdravo kmečko pamet. Da bi se malo ustavili in pomislili, da nam neki princ ne bo nakazoval denarja kar tako ali da nimamo sreče, da bi nas klicala podpora Microsofta. Tako da je ozaveščanje uporabnikov ključnega pomena. A sam ugotavljam, da se pogosto na to pozabi in se ne izvaja. Ker če ne poznamo preteklih ali aktualnih tipičnih napadov, jih ne moremo prepoznati in se jim potem tudi uspešno zoperstaviti. Vsekakor je pomembno, da so naše naprave posodobljene in imajo aktivno zaščito. To velja za vse naprave, tudi mobilne. Antivirusni programi so še vedno precej dobra zaščita za veliko večino uporabnikov, ker odbijejo veliko klasičnih napadov. A če so napadi res zelo dobro pripravljeni, tudi antivirusni program žal ne bo pomagal. Bo pa pomagalo, če bodo uporabniki znali prepoznati tip napada."
Lani je odmevala zgodba, da je slovenska vlada Huawei uvrstila med visoko tvegane dobavitelje. Predstavniki kitajskega podjetja so dejali, da nastaja nov digitalni Berlinski zid. Zdi se, da se vojskovanje med Zahodom in Vzhodom povsem odkrito seli na kibernetsko polje. Kako vi gledate na kibernetski prostor kot razmeroma novo področje geopolitičnega delovanja?
"Zgodba podjetja Huawei ima po mojem mnenju še kakšna druga ozadja in najverjetneje nimamo vseh informacij. Po mojem je bil to predvsem boj za prevlado na 5G-področju. Digitalna vojna se dogaja že nekaj let in zanimivo je, da se digitalno vojskovanje dogaja zunaj našega vidnega polja. V realnem svetu vidimo vojake, ki zasedajo polotoke ali druge strateške cilje, v digitalnem svetu te vidljivosti ni in tudi paketi na omrežju ne kažejo svojih potnih listov pri prehodu digitalnih mej. Vsekakor je kibernetsko vojskovanje zelo pomembno, saj so naša življenja zelo odvisna od digitalne tehnologije. Nekajkrat smo že videli, kako veliko vlogo ima ta v našem resničnem življenju. Naj samo spomnim na primer Lekarn Ljubljana in njihovega incidenta, zaradi katerega v Ljubljani ni bilo mogoče dobiti zdravil. Danes in tudi v prihodnje bodo zmagovali tisti, ki bodo imeli to področje najbolj razvito in bodo lahko najhitreje procesirali veliko količino podatkov, iz njih izluščili ključne in jih potem tudi uporabili pri odločitvah."
Premier Janez Janša je junija na posvetu slovenske diplomacije dejal, da mora EU zgraditi skupni požarni zid, saj da je lahko kibernetski napad hujša nevarnost kot pandemija.
"S pandemijo imamo izkušnjo in vidimo, kako hitro nas lahko preseneti, pa smo mislili, da smo bili pripravljeni. Koordiniran, dobro zamišljen in pripravljen kibernetski napad bi lahko imel zelo velike posledice za naša življenja. Ali bi bil hujši od pandemije, je težko ocenjevati, ker večjim kibernetskim napadom nismo bili priča in je ocenjevanje precej nehvaležno. Se pa lahko strinjamo z oceno, da bi lahko imel dobro pripravljen napad precej velike posledice. Seveda je poleg samega napada še dobro imeti oceno, kako hitro bi ga identificirali, kako hitro bi okrevali po napadu in kakšno škodo bi povzročil."
Imamo v Sloveniji dovolj strokovnjakov za kibernetsko varnost?
"Pomanjkanje kadra je največja težava. S tem se ne srečujemo samo pri nas, ampak tudi na globalni ravni. Nekatere napovedi pravijo, da bo do konca leta na evropski ravni primanjkovalo več kot 100.000 strokovnjakov s področja kibernetske varnosti. Tu seveda ne govorimo samo o etičnih hekerjih. Eden izmed razlogov je tudi ta, da se izobraževalne ustanove prepočasi prilagajajo. Zato moramo te kadre sami vzgojiti in to zahteva precej energije ter lastnega vložka, saj s fakultet ne pridejo z osnovami s tega področja."
Pa je področje finančno dovolj podprto?
"Kar se sredstev tiče, se stanje izboljšuje. To je dolgotrajen proces, da se začnejo nekatere strukture zavedati pomembnosti področja, potem se mora narediti načrt, kako se bo to področje razvijalo. In ne nazadnje so še sredstva, ki niso neomejena. Kolikor opazujem, se stvari premikajo na bolje, vendar mogoče malce prepočasi."
Afera Pegasus je razburkala svetovno javnost. Kako varne so naše naprave in spletna življenja pred radovednimi očmi "države"?
"Vsaka tehnologija, tudi zelo sofisticirana in napredna, ima dve plati. Tako ima svojo dobro plat, za katero je bila prvotno namenjena, in drugo, s katero se lahko zlorabi. Naj to ponazorim na primeru noža. Z njim lahko razrežete dobro prekmursko šunko ali pa nekoga umorite. Enako sredstvo, dva različna načina uporabe. Vohunjenje se je dogajalo in se bo. Spremenile so se samo tehnike in tehnologija je spremenila klasične vohune iz filmov o Jamesu Bondu v kibernetske vojščake. Treba se je zavedati, da so pri tem programu že bile neke omejitve, komu so prodajali, in tudi v tem primeru se je pokazalo, da bi lahko programska oprema pristala na telefonih uporabnikov, ki niso bili v prvotnem načrtu. Mogoče edina olajševalna okoliščina je, da je ta oprema tako draga, da si je nekatere države ne morejo privoščiti, po drugi strani pa tudi ciljanje uporabnika stane kar dosti. Nekaj sto tisoč evrov stroška po tarči ni malo in je nemogoče, da bi lahko vsem prisluškovali kar vsevprek."
Smo lahko povsem mirni?
"Dovoljenje, da nam nekdo vedno sledi, smo že pred nekaj leti 'prodali' za zastonj aplikacije Googla, Appla in še koga. Če smo mirno živeli od takrat, bomo najbrž lahko tudi v prihodnje. Vsekakor pa zgodbe, kot je Pegaz, odpirajo diskusije, kje so meje in kako daleč lahko gre kibernetsko vojskovanje, in kje so dejanske meje, preko katerih naj ne bi šli."
Obiščite spletno stran brez oglasov.
