Justin Taft, svetovalec za informacijsko varnost

Računalniški hekerji dobivajo vse več filmskih in televizijskih vlog. Včasih igrajo nevarne teroriste, ki z napadi na telekomunikacije, prometno infrastrukturo in orožarske sisteme povzročajo zmedo in spodkopavajo mirne zahodnjaške vsakdanjike. Drugič jih zaposlujejo policijski in obveščevalni oddelki, da jim pomagajo reševati zapletene primere in predvidevati bombne napade.

Prva objava: Sobotna priloga Dela, 7. april 2012, foto Jure Eržen

Njihova filmska podoba se vse bolj prepleta z medijskimi poročili o krajah elektronske identitete, računalniških vdorih in velikanski prisluškovalni infrastrukturi, ki jo upravljajo tajne službe svetovnih velesil. Razvoj virusa stuxnet, s katerim so neznani napadalci onesposobili iranske jedrske elektrarne, je po ocenah poznavalcev zahteval toliko znanja in denarja, da si ga lahko privoščijo le države, ki načrtno razvijajo kibernetsko orožje (med glavnimi osumljenci za razvoj virusa so bili ZDA in Izrael). Spletni aktivisti so lani množično »osvobajali« podatke (wikileaks, anonymous), strah pred elektronskimi napadi pa so dobro izrabili ponudniki varnostnih rešitev, ki v zadnjih letih dosegajo rekordne prihodke.

Kako krmariti med strahovi in realnimi nevarnostmi? Najprej se moramo opomniti, da računalnike in druge tehnološke naprave uporabljajo ljudje, je povedal svetovalec za informacijsko varnost Justin Taft, ki ga je prejšnji teden gostilo slovensko predstavništvo ameriške gospodarske zbornice (AmCham). Zato se vsako načrtovanje informacijske varnosti začne pri ljudeh – njihovih motivih in slabostih, je prepričan sogovornik. Ne glede na to, ali skrbimo za malo spletno trgovino, mednarodno korporacijo ali ameriško zvezno vlado, za katero dela Taftovo podjetje.

Ameriški obrambni sekretar Leon Panetta je lani povedal, da se lahko ZDA kadarkoli zgodi elektronski pearl harbor. Je verjetnost katastrofalnega kibernetskega napada res tako velika?

Ne morem govoriti v imenu ameriške vlade ali gospoda Panette, vendar menim, da je hotel sekretar z dramatično primerjavo verjetno opozoriti, da je elektronska varnost zelo resen problem, ki ga nobena sodobna država ne sme zanemariti. Primerjavam s pearli harborji, apokalipsami in koncem sveta se raje izogibam, ker se mi ne zdijo najbolj posrečene. Posledice morebitnega kibernetskega napada bi bile precej manj slikovite.

Kako bi potekal kibernetski napad?

Taki napadi niso splošni, ampak so ponavadi zelo dobro premišljeni in usmerjeni v natančno določeno tarčo: informacijski sistem, električno omrežje, jedrsko elektrarno in podobno. Ljudje bi kibernetski napad najverjetneje občutili posredno – kot električni ali komunikacijski mrk, prometni kaos ali slabšo preskrbo z življenjskimi potrebščinami. Uničenja ali velikega števila žrtev kibernetski napadi doslej še niso povzročili. Bi pa zelo negativno vplivali na naš način življenja in povzročili ogromno škode, saj je današnja družba močno odvisna od informacijske infrastrukture in digitalne ekonomije.

Je Panettov pogled preveč vojaški? Kraja podatkov je v spletnem kriminalu bistveno pogostejša kot povzročanje škode.

Elektronsko bojevanje je postalo pomembna sestavina sodobnih spopadov. Vojske uporabljajo kibernetska orožja za napad, obrambo, izboljšanje taktike in pridobivanje informacij o nasprotniku. Vendar se res ne smemo omejiti samo na vojaško rabo kibernetskih orožij, saj tovrstne grožnje za podjetnike in običajne uporabnike spleta niso tako pereče. Njih ogrožajo predvsem mali spletni vlomilci, ki se igrajo s hekerskimi orodji, preizkušajo varnostne ranljivosti in pogosto niti nimajo jasnega načrta, kaj početi z ugrabljenimi računalniki. Še pomembnejše tveganje pa pomenijo organizirane kriminalne skupine, ki delujejo na svetovnem spletu. Te ne bodo napadle komunikacijske infrastrukture, saj želijo, da bi se uporabniki na spletu počutili čim bolj varno.

In zato brezskrbno?

Seveda. Spletni kriminalci hočejo, da bi se ljudje v elektronskem okolju dobro počutili – da bi pridno uporabljali povezane pametne mobilnike in tablice, na katerih tečejo spletne storitve, da bi objavljali čim več osebnih podatkov … Organizirane kriminalne družbe niso čustveno vezane na mamila ali trgovino s človeškim blagom, ampak se prilagajajo trgu. Če kriminalci presodijo, da lahko s krajo kreditnih kartic, intelektualne lastnine in elektronske identitete veliko zaslužijo in so tveganja manjša kot pri mamilih, bodo hitro spremenili dejavnost.

Prilagodili poslovne modele?

Tudi tako lahko rečemo (nasmešek). Poznavalci opažajo, da veliki južnoameriški narkokarteli, ruska mafija in druge znane kriminalne združbe ustvarijo vse več denarja z novimi oblikami elektronskega kriminala – zlasti industrijskim vohunjenjem in preprodajanjem strateško pomembnih informacij, ki jim pomagajo organizirati transportne poti: kaj počne policija, kakšni so varnostni sistemi, kakšne so vladne strategije za boj proti kriminalu … Za pridobivanje teh podatkov pa jim spet koristijo brezskrbni uporabniki spleta, saj so nezaščiteni računalniki zelo učinkoviti za prikrivanje elektronskih sledi, pa tudi za ustvarjanje elektronskega šuma, za katerega se lahko skrijejo napadalci. Ta šum je zelo koristen tudi pri vzdrževanju kriminalne komunikacijske infrastrukture, ki se laže skrije med legalne ali navidez neškodljive dejavnosti. Tak primer so denimo skrite internetne tržnice, na katerih potekajo elektronske dražbe, zelo podobne ebayu. Tam kriminalci trgujejo z orožjem, informacijami, poslovnimi skrivnostmi in drugimi dobrinami, ki jih je mogoče prodati.

Nedavna študija ameriškega telekomunikacijskega podjetja Verizon je pokazala, da so lani večino podatkov ukradli kibernetski aktivisti. Njihov motiv ni zaslužek, ampak razgaljanje vlad, korporacij in razkrivanje drugih nepravilnosti, zato javnost in mediji njihovih dejanj večinoma niso obsodili.

Kiberaktivizma je vse več, vendar med varnostnimi incidenti še vedno prevladuje kiberkriminal. Pri analitskem čikaškem podjetju Trustways Spiderlab so ugotovili, da je odmevnih napadov na vladne službe, infrastrukturo in korporacije razmeroma malo, saj so tvegani, zahtevajo veliko znanja in so podobni obleganju dobro utrjenih gradov, skritih za elektronskimi zidovi in zaščitnimi jarki. Daleč največ kibernetskih napadov se zgodi na področju trgovine. Napadalci imajo najraje manjša podjetja, saj večinoma nimajo lastnih informatikov in niso dobro vzdrževana, čeprav zbirajo veliko osebnih in plačilnih podatkov. Take žrtve pogosto niti ne vedo, da so bile napadene, zato kibervlomilcev ne zaznajo, dokler se ne zgodijo prve zlorabe.

Ali jih ne prijavijo, ker se bojijo, da bi zapravili zaupanje strank? Evropska komisija je opozorila, da podjetja večkrat prikrijejo varnostne vdore in kraje osebnih podatkov, zato so v novi podatkovni direktivi predvideli obvezno poročanje nacionalnim informacijskim pooblaščencem.

Upam, da imajo pripravljavci te direktive zelo veliko tehničnega znanja in so dobro premislili, kakšno bo to poročanje. Pri kraji podatkov le redko govorimo o posamičnem vdoru. Tatovi so previdni in nočejo predramiti varnostnih sistemov, zato lahko tudi po več let neopazno prisluškujejo pretoku informacij, spoznavajo informacijski sistem, zbirajo gesla in druge podatke o uporabnikih. Varnostniki se prav tako ne odzovejo takoj, ampak opazujejo, kaj počnejo vlomilci, in čakajo na pravi trenutek, da jih razkrijejo in onemogočijo. Zato si težko predstavljam, kdaj bi bil pravi čas za prijavo vdora. Ko je bil uspešno nameščen prvi vohunski program? Ko so ga upravljavci omrežja odkrili? Ko so ga prijavili preiskovalcem? Ko se je zgodila prva zloraba? Nisem prepričan, da je to najboljši način.

Kakšen je boljši način?

Tole ne bo zvenelo preveč izvirno, ampak najpomembnejše je ozaveščanje – tako uporabnikov kot upravljavcev in načrtovalcev informacijskih omrežij, ki prevečkrat pozabljajo, da je elektronska varnost bolj človeški kot tehnološki problem. Poznate primere, ko so podjetja izgubila ogromno dragocenih podatkov, ker so uslužbencu na parkirišču vlomili v avto in mu ukradli prenosnik? Morda se sliši neumno, ampak marsikdo se v takih primerih jezi na proizvajalca avtomobila, ki da je preslabo poskrbel za protivlomno zaščito, ali na lahkomiselnega uslužbenca, ki postane grešni kozel. Zame so pomembnejša čisto druga vprašanja: Zakaj je smel imeti uslužbenec na prenosniku tako občutljive podatke? Zakaj ga je smel odnesti iz podjetja? Zakaj niso bili samodejno šifrirani? Zakaj na računalniku ni bilo sledilca ali zaščite pred nepooblaščenim dostopom? Vse to so scenariji, ki jih mora dober načrtovalec informacijske varnosti znati predvideti: se vživljati v kriminalce in navadne uporabnike, poznati njihove motive in šibkosti …

Zakaj tega informacijski arhitekti pogosto ne znajo? Tom Standage v knjigi o zgodovini elektronskega telegrafa The Victorian Internet opisuje prebrisane tatove, ki so plezali na telegrafske drogove sredi prerije, od tam poslali sporočilo o nakazilu v banko, njihovi pajdaši pa so dvigovali te zneske, preden je banka ugotovila, da gre za prevaro. Po več kot 150 letih še vedno učinkujejo skoraj enaki triki …

Razlogov je več. Združevanje telekomunikacijske panoge in interneta je prineslo veliko nepričakovanih težav, saj internet in njegovi protokoli niso bili načrtovani za elektronsko poslovanje, ampak za čim bolj odprto izmenjavo idej in informacij med raziskovalci. Elektronska varnost ni bila pomembna sestavina tega poslanstva, zato je treba danes internet varovati z nenehnim odkrivanjem in krpanjem varnostnih lukenj, ki se pogosto pokažejo šele, ko začne deževati in streha pušča. Drugi razlog je ekonomski. Podjetja morajo nenehno loviti ravnotežje med varnostjo in fleksibilnostjo. Ker je želja po hitrem uvajanju novih izdelkov, storitev in procesov zelo močna, argument hitrosti pogosto prevlada nad varnostjo. Podoben hitrostni pritisk velja tudi za proizvajalce varnostnih rešitev, ki tekmujejo za uporabnike in investitorje, zato izdelkov ne preizkusijo dovolj, da bi odkrili in odpravili glavne pomanjkljivosti. Če na slabo načrtovan informacijski sistem namestite nepreizkušeno varnostno rešitev, pa se varnostna tveganja še pomnožijo, namesto da bi se zmanjšala.

Se naročniki zavedajo, da kupujejo nepreizkušene izdelke?

Ne samo, da kupujejo nepreizkušene izdelke, ampak jih tudi sami ne preizkusijo. Včasih slepo zaupajo proizvajalcu, ki jim je seveda prodal »najboljšo rešitev«, drugič kupijo neustrezen izdelek ali ga uporabljajo neprimerno. Dodatna težava je pomanjkanje standardov, ki bi kupcem pomagali pri izbiri varnostnih izdelkov, saj vsak proizvajalec razvija nekaj svojega. Vse to so razlogi, zakaj interneta ni mogoče preprosto popraviti in se znebiti njegovih varnostnih pomanjkljivosti.

So kriva tudi različna sporočila, s katerimi nagovarjamo uporabnike komunikacijskih tehnologij? Od njih pričakujemo, da bodo v službi in doma skrbeli za informacijsko varnost, hkrati pa trgovci in ponudniki družabnih omrežij spodbujajo najbolj »nevarno« obnašanje: javno objavljanje osebnih podatkov, udobno nakupovanje z enim klikom …

Marsikaj bi bilo drugače, če bi ljudje upoštevali najbolj osnovna pravila, ki veljajo v fizičnem svetu in so jih slišali že od staršev, ko so bili še otroci: ne pogovarjaj se s tujci, ne jemlji njihovih daril … Na svetovnem spletu nič od tega ne velja. Pogovarjamo se z neznanci, odpiramo njihove priponke, javno objavljamo stvari, ki jih ne bi zaupali niti partnerju, pišemo misli, ki jih nikoli ne bi rekli v živo, a niti ne pomislimo, kdo bo vse to prebral. Informacijsko varnost lahko zato izboljšamo le s premišljeno uporabo različnih ukrepov: z izobraževanjem uporabnikov in menedžerjev, s pametnimi varovalkami v omrežju in z upoštevanjem dobrih varnostnih ukrepov pri zasnovi informacijskega sistema ali storitve. Veliko bo odvisno od telekomunikacijskih podjetij in piscev programja, ki bodo postavljali ali nadgrajevali infrastrukturo, a tudi od naročnikov, ki bi morali od ponudnikov zahtevati boljše izdelke.

Je to pričakovanje realistično? V praksi je prodaja varnostnih rešitev odvisna predvsem od tržne moči, lobiranja in prepričljivosti marketinškega oddelka.

Merila se zaostrujejo, prav tako tveganja in nevarnost odškodninskih tožb, zato verjamem, da se bo stanje izboljšalo. Strinjam pa se, da je preveč odvisno od velikosti marketinškega proračuna, tržne moči in dobrih povezav z naročniki. Upam le, da sprememb ne bo spodbudila šele kaka odmevnejša kibernetska katastrofa, ki jo bo zagrešil človeški napadalec, in ne napaka ali splet nesrečnih okoliščin.

Kaj zahtevajo vaše stranke – gasilca varnostnih požarov ali arhitekta?

Zelo različno. Zvezna vlada je velik in zahteven naročnik varnostnih rešitev. Zanimajo jo finančne ocene varnostnih naložb – koliko denarja porabijo posamezne agencije in kako učinkovite so pri javnem naročanju –, a tudi preverjanje tehničnih rešitev in analize varnostnih tveganj. Veliko sodelujemo s ponudniki varnostnih rešitev in jim pomagamo spoznavati vladne varnostne standarde, skoraj največji izziv pa je poenotenje teh meril po celotni komunikacijski mreži. Orožarska industrija, recimo, je tesno povezana z vojsko in ministrstvom za obrambo, zato je lahko vsak izvajalec potencialna tarča interesnih skupin – kot vir informacij ali ranljiva varnostna točka. Takih izvajalcev je na tisoče, kar zelo poveča varnostna tveganja.

Je strategija Kitajske, da hoče sama razviti in postaviti varnostno infrastrukturo, smiselna? Ker ne mara biti odvisna od tuje tehnologije, ki je ne pozna dovolj?

Želja, da bi uporabljali tehnologijo, ki ji zaupate, je vsekakor smiselna. Tudi ameriška vlada želi poznati celotni proizvodni cikel tehnoloških izdelkov – od programja do čipov.

So ZDA tudi zato predvsem izvoznik informacijsko-komunikacijskih tehnologij? Evropski ponudniki programja se večkrat pritožujejo, da je ameriški trg zanje zaprt.

Ali to velja tudi za komercialni trg? Te pritožbe težko komentiram, vendar ne verjamem, da so razlogi zgolj politični ali strateški. Ameriška vlada ima veliko specifičnih zahtev, ki jih tuja podjetja verjetno težko izpolnijo, saj težko dovolj dobro spoznajo delovanje informacijskih sistemov in razmišljanje naše administracije, naložbene cikle in poslovno kulturo. Pri sklepanju poslov večinoma ni dovolj, da imate boljši izdelek od obstoječega. Ne samo na področju informacijske varnosti.

Med drugim boste obiskali tudi slovensko obrambno ministrstvo, ki ni tako pomembna tarča kot ameriški industrijsko-vojaški kompleks. So zato možnosti večjih kibernetskih napadov v Sloveniji kaj manjše?

Ekonomika kibernetskih napadov je podobna vlomom v avtomobile na parkirišču. Kakšni avtomobili so parkirani? Katerega lahko ukradem z najmanjšim tveganjem? Kateri imajo alarme? Je kak voznik pozabil ključ? Podobno bi razmišljal napadalec, ko bi opazoval državo, kot je Slovenija. Kaj se tam dogaja? Katera podjetja in ustanove obstajajo? S čim se ukvarjajo? Imajo kaj vrednega? Imam naročnika, ki bi ga zanimala informacija ali izdelek, ki ga razvijajo slovenska podjetja? Vas je mogoče izrabiti za zakrivanje sledi ali napad na kako drugo tarčo? Nič od naštetega ni nemogoče, zato mora za informacijsko varnost dobro poskrbeti tudi majhna država.