Milan Gabor je pred dobrim desetletjem ustvaril podjetje Viris, ki se ukvarja pretežno z informacijsko varnostjo. Spekter njihovih strank je širok, ponujajo jim varnostne preglede sistemov, aplikacij, simuliranje vdorov v informacijske sisteme kot tudi različna izobraževanja z odzivi na raznovrstne incidente.
Kdo je »etični heker« in kako človek to postane?
»Etični hekerji so zelo podobni pravim hekerjem, saj uporabljajo enake metode, tehnike in orodja kot pravi hekerji, le z eno razliko. To je, da imajo dovoljenje naročnika za izvajanje teh aktivnosti. Termin etičnih hekerjev se je pojavil kot protiutež pravim hekerjem. Klasične poti, da nekdo postane etični heker, ni. V veliki večini primerov smo to postali nekdanji razvijalci programske opreme ali sistemski administratorji, ki smo ugotovili, da je dosti lažje razbijati programsko opremo kot jo razvijati. Današnji kandidati imajo več možnosti kot mi, ki smo začeli pred več leti. Obstajajo tečaji, platforme, kjer se je možno pripravljati in brusiti svoje sposobnosti.«
Koliko vas je v Sloveniji?
»To je težko oceniti. Obstaja nekaj podjetij, ki se ukvarjajo samo s tem, potem imamo podjetja, ki se poleg osnovne dejavnosti ukvarjajo še malo s tem, in imamo nekaj samostojnih ter sposobnih posameznikov.«
Nacionalni odzivni center za kibernetsko varnost SI-CERT je v zadnjem poročilu ugotovil, da so goljufi s pridom izkoristili epidemijo covida-19. Lani so našteli 2775 incidentov, pri čemer so zaznali izrazito povečanje t. i. phishing napadov. Bomo z večjo in hitrejšo digitalizacijo, ki se trenutno dogaja, vse pogosteje in tudi lažje tarča tovrstnih nepridipravov?
Preberite še
Odpri v novem zavihku
Bukovniško jezero: dokler ne odstranijo mulja, bo ostalo prazno
Če dela ne bodo opravili v sklopu ukrepov interventnega zakona, ga bodo v okviru načrta za okrevanje in odpornost.
»Treba se je zavedati, da napadalci vedno izbirajo tarče na podlagi najšibkejšega člena in v veliki večini primerov se namesto tehnologije raje lotijo človeških tarč. Poleg tega gredo vedno tja, kjer je mogoče dobiti finančno korist. Denar je zanje največja motivacija. Torej številke kreditnih kartic, kriptovalute, bančni računi so tarča pravih hekerjev in za to velikokrat uporabijo različne phishing napade. Letos spomladi smo videli tudi napade, kjer so klicali v živo, se predstavljali kot tehnična podpora Microsofta in tako skušali pridobiti dostope do sistemov ter računov. Glede na to, da je naše življenje vse bolj digitalizirano, so se napadi prilagodili tudi temu. Napadalci tehnologijo in dobre strani, ki jih je prinesla digitalizacija, s pridom izkoriščajo. Velikokrat jim pomaga tudi kopica informacij na družbenih omrežjih, ki jih je mogoče enostavno pridobiti in jih neozaveščeni uporabniki brez premisleka delijo z vsemi. Opažamo vedno več napadov na ljudi, še bolj zanimivo pa je, da so napadi vedno bolj sofisticirani in jih je vedno težje odkriti.«
Za varno in kritično uporabo tehnologij informacijske družbe je potrebna tudi razvita digitalna pismenost. Menite, da se posveča tej kompetenci, ki postaja vse bolj ključna v našem vsakdanjiku, pri nas dovolj pozornosti?
»Mogoče bi digitalni pismenosti jaz rekel vozniški izpit za krmarjenje po spletu. Trenutno lahko vlečem vzporednice s tem, saj se sin pripravlja za vozniški izpit. Zdravniški pregled, prva pomoč, teorija, praksa, končna izpitna vožnja. Vse to je potrebno, da lahko samostojno voziš avto po naših cestah. Za divjanje po internetu pa ne potrebuješ nič od tega. A nekateri bi potrebovali izpit, saj vidimo, da ne znajo primerno 'šofirati' med vsemi nevarnostmi, ki smo jim lahko izpostavljeni pri tem. Glede na to, da smo dobili ministra za digitalizacijo, obstaja možnost, da se bo vsaj nekaj premaknilo na bolje. Bi pa bilo po mojem dobro uvesti kakšen predmet v šoli ali vsaj tečaj, ki bi prispeval k varnejšemu digitalnemu življenju.«
Kaj lahko posameznik naredi za varno in odgovorno uporabo informacijskih tehnologij?
»Velikokrat rečem, da marsikatere zlorabe ali kraje ne bi bilo, če bi ljudje vsaj malo tudi v digitalnem svetu uporabljali zdravo kmečko pamet. Da bi se malo ustavili in pomislili, da nam neki princ ne bo nakazoval denarja kar tako ali da nimamo sreče, da bi nas klicala podpora Microsofta. Tako da je ozaveščanje uporabnikov kritičnega pomena, a sam ugotavljam, da se pogosto na to pozabi in se ne izvaja. Ker če ne poznamo preteklih ali aktualnih tipičnih napadov na uporabnike, jih ne moremo prepoznati in se jim potem tudi uspešno zoperstaviti. Vsekakor je pomembno, da so naše naprave posodobljene in imajo aktivno zaščito. To velja za vse naprave, tudi mobilne. Antivirusni programi so še vedno precej dobra zaščita za veliko večino uporabnikov, saj odbijejo veliko klasičnih napadov. A če so napadi res zelo dobro pripravljeni, tudi antivirusni program žal ne bo pomagal. Bo pa pomagalo, če bodo uporabniki znali prepoznati tip napada.«
Lani je odmevala zgodba, da je slovenska vlada Huawei uvrstila med visoko tvegane dobavitelje. Predstavniki kitajskega podjetja so dejali, da nastaja nov digitalni berlinski zid. Zdi se, da se vojskovanje med Zahodom in Vzhodom povsem odkrito seli na kibernetsko polje. Kako vi gledate na kibernetski prostor kot razmeroma novo področje geopolitičnega delovanja?
»Zgodba podjetja Huawei ima po mojem mnenju še kakšna druga ozadja in najverjetneje nimamo vseh informacij, kaj se je dogajalo v ozadju. Po moje je bil to predvsem boj za prevlado na 5G-področju. Digitalna vojna se dogaja že nekaj let in zanimivo je, da se digitalno vojskovanje dogaja zunaj našega vidnega polja. V realnem svetu vidimo vojake, ki zasedajo polotoke ali druge strateške cilje, v digitalnem svetu te vidljivosti ni in tudi paketi na omrežju ne kažejo svojih potnih listov pri prehodu digitalnih mej. Vsekakor je kibernetsko vojskovanje zelo pomembno, saj so naša življenja zelo odvisna od digitalne tehnologije in nekajkrat smo že videli, kako veliko vlogo ima ta tehnologija v našem resničnem življenju. Naj samo spomnim na primer Lekarn Ljubljana in njihovega incidenta, zaradi katerega v Ljubljani ni bilo mogoče dobiti zdravil. Danes in tudi v prihodnje bodo zmagovali tisti, ki bodo imeli to področje najbolj razvito in bodo lahko najhitreje procesirali veliko količino podatkov, iz njih izluščili ključne in jih potem tudi uporabili pri odločitvah.«
Premier Janša je junija na posvetu slovenske diplomacije dejal, da mora EU zgraditi skupni požarni zid, saj da je lahko kibernetski napad hujša nevarnost za državo kot pandemija. Se strinjate z njegovo oceno?
»S pandemijo imamo izkušnjo in vidimo, kako hitro nas lahko preseneti, pa smo mislili, da smo bili pripravljeni. Koordiniran, dobro zamišljen in pripravljen kibernetski napad bi lahko imel zelo velike posledice za naša življenja. Ali bi bil hujši od pandemije, je težko ocenjevati, ker večjim kibernetskim napadom nismo bili priča in je ocenjevanje precej nehvaležno. Se pa lahko strinjamo z oceno, da bi imel lahko dobro pripravljen napad precej velike posledice. Seveda je poleg samega napada še dobro imeti oceno, kako hitro bi ga identificirali, kako hitro bi okrevali po napadu in kakšno škodo bi povzročil.«
Imamo v Sloveniji dovolj strokovnjakov za kibernetsko varnost?
»Pomanjkanje kadra s tega področja je največja težava kibernetske varnosti. S tem se ne srečujemo samo pri nas, ampak tudi na globalni ravni. Nekatere napovedi pravijo, da bo do konca leta na evropski ravni primanjkovalo več kot 100.000 strokovnjakov s področja kibernetske varnosti. Tu seveda ne govorimo samo o etičnih hekerjih, ampak na splošno o področju kibernetske varnosti. Eden izmed razlogov je tudi ta, da se izobraževalne ustanove prepočasi prilagajajo pomanjkanju kadrov na tem področju. Zato moramo te kadre sami vzgojiti in to zahteva precej energije ter lastnega vložka, saj s fakultet ne pridejo z osnovami s tega področja.«
Pa je področje finančno dovolj podprto?
»Kar se sredstev tiče, se stanje izboljšuje. To je dolgotrajen proces, da se začnejo nekatere strukture zavedati pomembnosti področja, potem se mora narediti načrt, kako se bo to področje razvijalo, in ne nazadnje so še sredstva, ki niso neomejena. Kolikor opazujem, se stvari premikajo na bolje, vendar mogoče malce prepočasi.«
Ne moreva mimo afere Pegasus, ki je razburkala svetovno javnost. Kako varne so naše naprave in spletna življenja pred radovednimi očmi »države«?
»Vsaka tehnologija, tudi zelo sofisticirana in napredna, ima dve plati. Tako ima svojo dobro plat, za katero je bila prvotno namenjena, in drugo, s katero se lahko ta tehnologija zlorabi. Naj to ponazorim na primeru noža. Z njim lahko razrežete dobro prekmursko šunko ali pa z njim nekoga umorite. Enako sredstvo, dva različna načina uporabe. Vohunjenje se je in se bo dogajalo. Spremenile so se samo tehnike in tehnologija je spremenila klasične vohune iz filmov o Jamesu Bondu v kibernetske vojščake. Treba se je zavedati, da so v primeru tega programa že bile neke omejitve, komu so prodajali, in tudi v tem primeru se je pokazalo, da bi lahko programska oprema pristala na telefonih uporabnikov, ki niso bili v prvotnem načrtu. Mogoče edina olajševalna okoliščina je, da je ta programska oprema tako draga, da si je nekatere države ne morejo privoščiti, po drugi strani pa tudi ciljanje uporabnika stane kar dosti. Nekaj sto tisoč evrov stroška po ciljani tarči ni malo in je nemogoče, da bi lahko vsem prisluškovali kar vsevprek.«
Smo lahko povsem mirni?
»Dovoljenje, da nam nekdo vedno sledi, smo že pred nekaj leti 'prodali' za zastonj aplikacije Googla, Appla in še koga, tako da če smo mirno živeli od takrat, bomo najbrž lahko tudi v prihodnje. Vsekakor pa zgodbe, kot je pegaz, odpirajo diskusije, kje so meje in kako daleč lahko gre kibernetsko vojskovanje in kje so dejanske meje, prek katerih naj ne bi šli.«