V četrti letni študiji družbe IBM na temo kibernetske odpornosti (Cyber Resilience), v kateri je sodelovalo 4000 anketirancev po vsem svetu, so vprašani kot največjo težavo omenili, da v njihovem podjetju nimajo konsistentnega varnostnega načrta. Nad tem je zaskrbljenih kar 77-odstotkov podjetij. 54 odstotkov, torej več kot polovica pa izpostavlja še testiranje teh planov, saj jih neredno testirajo redno ali sploh. Če pogledamo denimo bančni sektor v Sloveniji – verjamem, da je ta v tem primeru na boljšem, saj je Banka Slovenije tovrstna testiranja zapovedala, nam pojasni direktor IBM Slovenija Michele Leonardi, s katerim smo se pogovarjali o kibernetski varnosti pri nas, kje se ta prične in kako poskrbeti za ustrezno zaščito. V raziskavi še 46 odstotkov podjetij odgovarja, da ob obletnici GDPR še nimajo polne skladnosti, zgolj 30 odstotkov anketirancev pa je odgovorilo, da imajo dovolj osebja za kibernetsko varnost. Pogosto se nam zdi, da so kiberkriminalci korak pred ponudniki kibervarnostnih rešitev, Leonardi pa je spregovoril o neumorni pomoči umetne inteligence in o pomembnosti spolno mešanih ekip varnostnih strokovnjakov.
Sektor bančništva na kibervarnosti resno dela in tudi resno razmišljajo o prihodnosti.
Klik na "da" preveč mikaven
Kje se torej začne skrb za kibernetsko varnost? "Seveda pri človeku, ampak vsak človek ne more poskrbeti za vse grožnje, ki prihajajo. Podjetja morajo zato biti zelo pozorna in poznati vse grožnje, ki se jim lahko zgodijo, ter se ustrezno zaščititi. Manjše kot je podjetje, manjše so običajno grožnje, saj imajo večje družbe več kontaktov navzven in so morda bolj zanimive, da jih nekdo napade. Gotovo so banke in veliki prodajalci najbolj zanimivi, saj imajo spravljene številke kreditnih kartic. Najbrž slovenske banke niso tako pogosta tarča napadov, saj glede na njihov obseg poslovanja morebitni vdor hekerjem ne bi prinesel tolikše vrednosti, kot denimo napad na večjo angleško banko. Zato je interes hekerjev tam toliko večji. Verjamem, da si težko nekdo izbere neko slovensko banko ali podjetje, da bi ga napadel, razen če bi s skeniranjem mreže ugotovil, da je varnost na ne dovolj visokem nivoju. Če nekdo poskusi odpreti vrata, najprej poskusi s tistimi, ki niso zaklenjena," pojasnjuje Leonardi.
Veliko vdorov na osebne računalnike se zgodi zato, ker smo navajeni klikati "da", razmišlja sogovornik. "Že pri namestitvi programov, ker ne veš točno, kako je treba inštalirati. Ko namestiš kakšno zadevo z Interneta, te pozove: 'zdaj pa preberi teh 16 strani določil o zaupnosti'. Kdo jih je prebral? Prvič je še pozoren, a ko to narediš deset krat, postane tipka 'da" tako zelo privlačna ... Tudi pri mobilnih aplikacijah predpostavljamo, da so te v trgovini preverjene. Mislim da je pri telefonih večja nevarnost dostop do mreže. Denimo na letališču - mobilnik namreč najprej poskenira vse mreže, in če se nekdo predstavi denimo kot podjetje, ki tam ponuja hrano, se telefon lahko priključi nanj tudi če to ni to dejansko podjetje. Tega marsikdaj ne prepoznamo, še posebej če se telefon sam priklaplja. Heker pa ima tako odprta vrata." Da je dostop do mreže lahko veliko bolj nevaren kot same aplikacije, za katere Leonardi verjame, da so stestirane - ne 100-odstotno, a v veliki meri, poudari.
Človek je najšibkejši člen
Tudi če nismo na internetu, pa to ne pomeni, da ne bo vdrl. "Tudi USB ključek je lahko vohunska naprava. Daš ga v računalnik, kjer se identificira kot tipkovnica. Računalnik ga zato ne preverja, v ozadju pa se vse namesti in heker ima dostop. Zaradi tega se v podjetjih cel kup stvari ne dela več." Oblak je po njegovem mnenju bolj varen, saj je tam maksimalna varnost, ki je mogoča. "Človek je najšibkejši člen, seveda. Če bo nekdo delil svoja gesla z drugimi, bo nekdo drug lahko prišel noter. Če mi omogočimo, da nekdo poganja zunanje aplikacije v oblaku, ni več tako varen. A sem prepričan, da je poslovanje v oblaku izredno varno."
Raziskave kažejo, da ima Slovenija največje zaupanje v oblak v Jugovzhodni Evropi, razlaga prvi mož IBM Slovenija. "Pred tremi leti smo imeli okroglo mizo, na kateri je sogovornik trdil, da bo čez pet let vse v oblaku. Menim, da bo sicer - neodvisno od časovnega obdobja - vse več podjetij preneslo svoje poslovanje v oblak, ampak obenem bo del podatkov vedno shranjen lokalno. Je pa jasno, da vsega 'on-site' nikakor ne bo več. Lep primer je elektronska pošta, ki je v oblaku."
Kot največjo varnostno grožnjo Michele Leonardi izpostavi delo z domačimi napravami v podjetjih, kar v tujini imenujejo kot "bring your own device". "Zaradi tega morajo biti politike varnost v podjetju zelo dobro osmišljene." O prepovedi sploh ne gre razmišljati, dodaja. "Tega ne bo. To je tako, kot če bi rekli, da ker obstajajo avtomobilske nesreče, se ljudje več ne bodo vozili z avtomobili." Je pa potrebna regulacija in podjetja morajo dobro paziti, kaj dovoljujejo ljudem. "Ljudje hočejo delati od doma, tega se ne da ustaviti. Znajo biti precej bolj produktivni, reagirajo lahko ob določenih urah," našteva tudi prednosti.
Zapoved obveščanja o incidentih
Najlažji vhod je še zmeraj, da od nekoga izveš uporabniško ime in geslo, pravi. "90 odstotkov ljudi uporablja isto uporabniško ime in geslo na vseh napravah. Če od vseh ponudnikov, kjer se je potrebno registrirati, nekdo ni varen, ti prijavni podatki pristanejo nekje, v kakšnem katalogu, ki je dostopen na mreži. Tega je ogromno in tisti, ki vdirajo, običajno to tudi preverjajo." Obstajajo tudi konference hekerjev. "Na internetu obstaja ogromna baza, 2,2 milijardi zapisov, kjer je mogoče preveriti, če je naše uporabniško ime hekano. Stvar je v tem, da kiber kriminalci izmenjujejo podatke. Obstajajo forumi, kjer se med sabo posvetujejo, kako vdreti v sisteme. Kar je pravzaprav neverjetno ampak, eni do drugega so pošteni in se pošteno dogovarjajo o tem, kako bodo delali nepoštene stvari." Za gesla svetuje sogovornik, da morajo biti čim daljša. "Prišli smo do tega, da ni pomembno, da ima šest do osem znakov. Veliko težje ga je razbiti, če je večje število znakov ali več izrazov. Je bolj zoprno za tipkanje, a si geslo lažje zapomnimo."
Med najpogostejšimi varnostnimi incidenti in tveganji pri nas Leonardi izpostavi, da nismo nič posebnega v primerjavi s svetom. Slovenci smo tako izpostavljeni predvsem ribarjenju, najpogosteje je, da nekdo namesti kakšno zlonamerno programsko opremo, srečujemo se z inficiranimi PDF datotekami, inficiranimi spletnimi stranmi. "Gre za klasične grožnje, večji napadi pa niso znani. Tudi mi ne smemo govoriti o njih. Pa tudi podjetja sama ne bodo govorila o tem."
Bi podjetja torej morala vseeno biti zavezana, da poročajo o vdorih? "Mislim da je popolnoma jasno, da bi morala biti vladna ali evropska regulativa, ki bi zahtevala od podjetij, da poročajo o svojem varnostnem stanju in da bi poročala o vdorih. Pri določenih industrijah - v bančni industriji, morajo podjetja poročati o likvidnosti, slabih kreditih, itd. Od leta 2018 morajo podjetja v Veliki Britaniji poročati regulatorju, v roku 72 ur, ali pa jih čaka kazen v višini 4 odstotkov njihovega prometa. Mislim da to je način, ki bi ga morali vzpostaviti. Zaradi varnosti podjetij samih."
"Manjša podjetja so manjša tarča. Tarča pa postanejo, če niso vsaj približno varna. Problem manjših podjetij je, da nimajo osebja, ki bi se s tem ukvarjalo. Mislim da je to precejšnji problem tudi srednje velikih podjetij, ker je IT precej manjši in se temu ne posvečajo dovolj."
Pomanjkanje strokovnih kadrov
Področje kibernetske varnosti označi kot atraktivno vejo IT-ja, "posebej za bolj ustvarjalne ljudi, tiste, ki imajo radi akcijo. A s težavo pomanjkanja strokovnih kadrov se ne srečujemo samo pri nas. Ocenjuje se, da bo do leta 2020 pomanjkanje 3 milijione kadrov za kibernetsko varnost. Tu ne gre samo za tehnološke kadre, ampak tudi z drugih področij. Ne samo za računalniške znanstvenike in raziskovalce, ampak tudi dizajnerje produktov, svetovalci, ustvarjalci politik v podjetjih. Vse to mora biti povezano z varnostjo. Vsi ti morajo imeti ustrezno varnostno izobrazbo. V Sloveniji situacija ni nič slabša kot drugje, po mojem mnenju je celo boljša zaradi tega, ker imamo precej tehnično izobraženega kadra so določene institucije, ki to še vzpodbujajo. Denimo Zavod 404 iz Ljubljane, ki skrbi za tehnično izobrazbo že srednješolcev. Ne kaže nam tako slabo."
S pomanjkanjem strokovnih kadrov na področju kibernetske varnosti se soočajo tako velike kot manjše družbe.
IoT prinaša nove grožnje
Na vprašanje, ali se stranke na njih obračajo dovolj zgodaj, ali (pre)pogosto takrat, ko je do nekega incidenta že prišlo, Leonardi odgovarja, da je od stranke do stranke odvisno. "Nekateri imajo varnostne sisteme zelo dobro osmišljene. Pohvalim lahko banke, ki imajo na tem področju tudi resne eksperte. Posebej pri bolj industrijskih strankah je pa to podcenjeno. Z razvojem interneta stvari (IoT, op. p.) bi se pa znalo zgoditi, da postanejo resne stranke tega. Kot piše Bruce Schneier (Ameriški kriptograf, strokovnjak za računalniško varnost, strokovnjak za zasebnost in pisatelj, op. p.), postaja internet računalnik, s katerim prihaja do kupa resnih težav. Nekoč je bila težava, če je nekdo vdrl na strežnik in ukradel podatke. Ti si ga ugasnil in potem imel lahko zaradi tega resne težave, vendar je bila zadeva omejena in tu se je zgodba končala. V času IoT pa lahko nekdo ugasne recimo hidrocentralo. Lahko pride v samovozeče vozilo in onemogoči volan, prevzame nadzor. Osebno sem mnenja, da katastrofe ne bo, posamezni primeri pa se bodo dogajali. Z razvojem IoT-ja se sistem varnostnih problemov zelo širi. O tem je treba precej razmišljati." In to že danes.
V prihodnosti bomo imeli vse več senzorjev, ki bodo lahko hkrati tarče in napadalci. Leonardi opozarja še na morebitne ranljivosti velikih sistemov, ki bi prizadele množice: "Lahko bi zmanjkalo elektrike v državi. Nekdo bi lahko v banki, ki ne bi imela ustreznih varnostnih politik, zbrisal vse podatke. Če bi kdo prišel do podatkov o zdravstvenih stanjih ljudi. Zaradi potreb po dodatnih kapacitetah ljudi v IT-ju se tudi medicina obrača v to, da ima podatke centralizirane. Zato je zelo pomembno, da so ti podatki anonimizirani. Ko podatki potujejo do oblaka, mora biti popolnoma jasno, da se ne ve, za koga gre."
Umetno inteligenco vidi kot čisto orodje. Zelo inteligentno orodje znotraj IT-ja. "Po nekaterih ocenah bo umetna inteligenca vseobsegajoča okrog leta 2050. Izredno hitro napreduje, ampak mi smo šele v začetnih fazah. Sem pa zelo optimističen glede človeka," odgovarja sogovornik na vprašanje, ali UI ogroža človeka in njegovo ustvarjalnost. "Upam, da nam bo UI pomagala rešiti veliko težav. Zdaj smo prišli do določenih sposobnosti človeka, ki jih lahko nadomesti umetna inteligenca. Kot smo nekoč s kalkulatorji pri računanju." Tudi na dejstvo, da je umetna inteligenca v filmih najpogosteje označena zelo temačno in predstavljena v najbolj negativni luči, ima Leonardi svoje mišljenje: "Seveda, kdo bi pa gledal film, v katerem bi bil UI božanski. To bi bil čisti dolgčas."