Petek, 4. 3. 2016, 11.21
4 leta, 11 mesecev
Intervju: strokovnjak računalniške varnosti David Emm
Če vsebine ne želiš videti na naslovnici nacionalnega medija, je sploh ne deli na spletu!
Stoodstotne računalniške varnosti ni, a smo strokovnjaka računalniške varnosti med drugim vprašali, kako prepoznati grožnje in kako zmanjšati tveganje, da danes in v prihodnje ne bi postali žrtve.
Kako se je svet interneta spremenil v zadnjih desetih letih? Ali smo danes bolj ali manj varni kot pred desetletjem?
Zelo se je spremenil. Pred desetimi leti se je dnevno pojavilo okoli 1.400 novih groženj, danes pa jih je vsak dan že 300 tisoč! Spremenila se je tudi narava računalniških groženj: do okoli leta 2004 je bila zlonamerna programska oprema namenjena kibernetskemu vandalizmu, torej za povzročanje motenj, a je danes velika večina zlonamernih programov namerno ustvarjena za kibernetski kriminal, to je nezakonito pridobivanje denarja. Opažamo tudi porast števila usmerjenih napadov na organizacije, s katerimi želijo predvsem krasti zaupne podatke.
Zakaj ta sprememba in zakaj ravno takrat?
To odseva širše spremembe v družbi – našo naraščajočo odvisnost od tehnologije in spletne povezanosti ter predvsem njun pomen za spletno trgovanje. Danes smo veliko bolj odvisni od računalnikov kot pred desetimi leti. Samo poglejte razširjeno uporabo mobilnih naprav: zdaj smo vedno dosegljivi in posledično morebitnim napadalcem dajemo veliko več priložnosti. Ta trend se bo z internetom stvari, ki prinaša digitalizacijo vsakdanjih stvari, samo še stopnjeval, zato bo ustrezna zaščita računalniških sistemov vse bolj nujna.
Katere so največje grožnje kibernetskega sveta za posameznike in katere za podjetja?
Tveganja se ne razlikujejo in se pravzaprav prekrivajo. Za posameznike so največje nevarnosti izguba zasebnosti zaradi kraje osebnih podatkov in finančne izgube. Te se včasih pripetijo zaradi vdora v zasebnost, na primer, ko napadalec ukrade zaupne informacije in jih uporabi za dostop do spletnega bančnega računa za krajo denarja.
Na drugi strani se s tovrstnimi težavami srečujejo tudi podjetja, a pri njih je lahko učinek še večji: ukradeni poslovni podatki lahko škodujejo ugledu podjetja ter njegovi zmožnosti ohranjanja konkurenčnosti ali pa celo ogrozijo njihov obstoj.
Kateri je najpogostejši razlog, da so računalniški nepridipravi uspešni?
Človeški vidik pri zagotavljanju varnosti. Tako pri naključnih, špekulativnih napadih na potrošnike kot pri usmerjenih napadih na organizacije napadalci običajno dobijo dostop do sistema, ko ukanijo posameznike, da storijo nekaj, kar ogroža varnost. Največkrat je to klik na okuženo priponko ali povezavo.
Iz katerih držav najpogosteje prihajajo tovrstni napadi in kam so najpogosteje usmerjeni?
Za razliko od kriminala v realnem svetu, ki zahteva fizično prisotnost, so kibernetska kazniva dejanja lahko usmerjena na ljudi in organizacije povsod. Tako lahko vidimo žrtve po vsem svetu in napadalce, ki delujejo iz različnih krajev. Seveda obstajajo geografske razlike. Države, kjer so računalniške tehnologije že dolgo vzpostavljene, predvsem v Evropi in Ameriki, predstavljajo večji bazen morebitnih žrtev in več priložnosti za krajo osebnih podatkov in denarja. Prav tako ponujajo robustno infrastrukturo, ki se jo lahko uporabi kot platformo za kibernetske napade – napadalci izkoristijo prednosti visoke dostopnosti do spleta in računalniške tehnologije. Na drugi strani prav te države že dlje časa posvečajo pozornost razvoju strategij za spopadanje z napadi.
Orodja za kibernetsko varnost so široko dostopna, a je kljub temu neverjetno, kako ranljivi so nekateri sistemi tako za potrošniško kot korporativno uporabo. Kdo je odgovoren za to?
Mnogo je razlogov. Lahko so sistemi, ki niso ustrezno popravljeni in imajo varnostne pomanjkljivosti oziroma niso segmentirani in tako napadalcu omogočajo vdor v en del omrežja ter nato razširitev dostopa na druge sisteme. Lahko so to človeške napake ljudi z administratorskim dostopom, ki v resnici ne potrebujejo tako visoke ravni dostopa. Ali pa neuspešna namestitev zaščite v globino, na primer uspešna zaščita določenega območja omrežja, a neuspešno varovanje podatkov. Ne smemo pozabiti družbenega inženiringa, ko so ljudje ukanjeni in dopustijo delovanje zlonamerne programske opreme.
Obstajajo primeri sumljivih ponudnikov, ki trdijo, da ponujajo varnostna orodja, v resnici pa ravno njihovi programi izvajajo napade. Kako torej izbrati dobro varnostno zaščito za računalnike in mobilne naprave?
Ključno je, da uporabniki programsko opremo, vključno s spletno varnostno programsko opremo, kupijo od uglednega vira. V nasprotju s tem ni priporočljivo odpirati naključnih povezav v elektronski pošti ali drugih sporočilih ter klikati na oglase prek pojavnih oken ali zadetke v rezultatih brskalnika. Najbolje je preveriti neodvisne rezultate testov, kot sta AV-Test in AV-comparatives, in tako spoznati, katera programska oprema se dobro odreže, ter nato takšno programsko opremo kupiti prek uradne spletni strani ponudnika.
Brezplačna ali plačljiva – katero različico varnostnih orodij izbrati?
V splošnem so brezplačne rešitve okrnjene različice rešitve posameznega ponudnika, ustvarjene z namenom, da uporabnik ta izdelek preizkusi in ga na koncu nadgradi v polno različico. S tega vidika brezplačne rešitve morda ne vključujejo celostnega nabora varnostnih funkcij, ki jo ponujajo plačljive različice. Poleg tega je ena izmed stvari, ki jih uporabnik dobi s plačilom, podpora – torej možnost, da uporabnik dobi ustrezno pomoč ponudnika, ko jo potrebuje.
Kolikšna je verjetnost, da posameznik postane žrtev kibernetskega napada? Napad katere vrste je najbolj verjeten, da se zgodi posamezniku ali podjetju?
V današnjem povezanem svetu je prav vsak lahko žrtev. Organizacije so lahko tarča kibernetskega vohunjenja, sabotaž, oškodovanj ugleda, pridobivanja premoženjske koristi in tako imenovanega hektivizma (to so napadi, ustvarjeni s političnim ali družbenim namenom). Pri posameznikih je običajno cilj zaslužiti, največkrat z bančnimi trojanci, izsiljevalskim programjem in ribarjenjem, ali ogroziti osebne podatke.
Tveganja ni mogoče natančno opredeliti, čeprav tudi mi raziskujemo tveganja v informacijski tehnologiji. Toda uporabnik mora vedeti, da pri spopadanju s kibernetsko grožnjo ni nemočen. Tveganja sicer ne moremo odpraviti, obstajajo pa stvari, ki jih kot organizacije ali potrošniki lahko naredimo, da bi zmanjšali izpostavljenost tveganju.
Kakšen je značilen kibernetski napadalec, če ta sploh obstaja? Ne verjamem, da obstaja profil značilnega kibernetskega napadalca. Odvisnost družbe od tehnologije pomeni, da nas lahko napadejo ljudje z različnimi motivi, vključno s tistimi, ki želijo zaslužiti, ukrasti zaupne informacije, sabotirati sistem oziroma imajo njihovi napadi političen oziroma družben vpliv.
Kaj pa napadi in vdori, ki jih podpirajo države? Katere države so najpogostejše storilke in kakšen je njihov cilj?
Imamo dolgoletne izkušnje pri analiziranju naprednih trajnih groženj ATP, vključno z grožnjami Stuxnet, Duqu, Flame, Gauss Careto, Equation in drugimi. Kljub temu je izjemno težko določiti odgovornost, zato raje ne špekuliramo o tem, kdo stoji za določenim napadom.
Internet stvari je opevan kot naslednja velika stvar – kdaj mislite, da bo to res postal in kako bo ta olajšal naša življenja?
Internet stvari je že tukaj. Čedalje več predmetov za vsakodnevno uporabo je že zdaj digitalnih. To vključuje kamere za videonadzor CCTV, zapestnice za fitnes, pametne števce, gospodinjske aparate, zdravstvene naprave, avtomobile in otroške igrače – vsi so zelo priročni in v nekaterih primerih ponujajo možnosti boljše kakovosti življenja.
Če vsakdanji predmeti niso zgrajeni z mislijo na varnost, obstaja dvojno tveganje. Prvič, obstaja tveganje, da naše osebne podatke prestreže napadalec. Drugič, obstaja nevarnost negotovih naprav interneta stvari, ki so uporabljene kot sredstvo za dostop do širšega omrežja. To je lahko domače ali poslovno omrežje. S tanko ločnico med domačim in poslovnim življenjem lahko izkoriščena pomanjkljivost doma postane sredstvo za infiltriranje v korporativni sistem.
V čem vidite rešitev, da se to ne bi zgodilo?
Ključnega pomena je, da proizvajalci takšnih naprav varnost upoštevajo že v fazi snovanja, ne nazadnje tudi zato, ker je naknadna vključitev varnosti veliko težja kot pri tradicionalnih računalnikih. Prav tako je pomembno, da potrošniki razumejo morebitne nevarnosti, ki jih prinašajo negotove naprave interneta stvari, in storijo vse potrebno, da bi zmanjšali svojo izpostavljenost napadu.
Ali hiter razvoj informacijske tehnologije resnično ustvarja varnejši svet in ali se srečujemo z nekaterimi novimi grožnjami, ki jih mnogi morda niso sposobni obvladovati?
Na vseh področjih človekovega delovanja se bodo vedno našli ljudje, ki želijo spodkopati tisto, kar storimo za njihovo korist. To velja tudi za to, kar počnemo na spletu. Ključna razlika med kriminalom v realnem svetu in kriminalom na spletu je, da je doseg kibernetskega kriminala večji, saj geografsko ni omejen, hkrati pa se stvari odvijajo z večjo hitrostjo. Stoodstotna varnost ne obstaja, vedno pa obstajajo stvari, s katerimi zmanjšamo lastno izpostavljenost napadom. Ključno je, da so uporabniki varnostno naravnani: kot velja za gospodinjska opravila, gre tudi tu za kontinuirano dejavnost in ne za enkratno nalogo.
Se počutite varneje na spletu ali v realnem življenju?
Oba načina imata svoja tveganja in od nas zahtevata sprejem ukrepov za zmanjšanje nevarnosti, ki smo ji v obeh primerih izpostavljeni. Na žalost smo manj izkušeni pri lastni zaščiti na spletu, zato korakov, ki jih samodejno sprejemamo za varnost v fizičnem svetu, ne moremo tako zlahka ponoviti tudi na spletu.
Ena izmed največjih ovir koncepta računalništva v oblaku je, da se uporabniki počutijo neprijetno, ker ne vedo, kje so njihovi podatki shranjeni in kaj se z njimi dogaja. So ti strahovi upravičeni ali ne?
Razumljivo je, da so ljudje in podjetja pri predajanju podatkov v roke nekoga drugega previdni. In pri tem so tveganja. Prvič, če ponudnika oblaka napadejo hekerji, lahko napadalec pridobi dostop do podatkov, ki pripadajo veliko ljudem in/ali podjetjem. Drugič, če nas napadalci prevarajo na način, da jim damo dostop do podatkov v oblaku, lahko napadalci zadnje ukradejo tako preprosto, kot če bi bili pod našim nadzorom.
Ključno pri tem je, da pri zaščiti podatkov sprejmemo enake ukrepe kot pri zaščiti samega sebe. To pomeni krpanje sistemov, ki jih zaščitimo s spletno varnostno programsko opremo, kodiranje občutljivih podatkov in uporaba edinstvenih kompleksnih gesel za zaščito računov na oblaku. Podjetja morajo biti pozorna na to, kje in kako so shranjeni podatki, kakšna je pravna podlaga, kako hitro lahko zamenjajo ponudnika …
Ali ni skrb vzbujajoče, da ne vemo, kdo lahko – legalno ali nelegalno – dostopa do naših pomembnih in občutljivih podatkov?
Pomembno je, da so uporabniki previdni pri upravljanju občutljivih podatkov. To vključuje tako potrošnike kot zaposlene. Ni le vprašanje varnosti občutljivih podatkov, recimo bančnih gesel ali podatkov za dostop do korporativnega omrežja, ampak tudi osebnih podatkov, ki so lahko zbrani za začetek izvršitve napada. Kibernetski kriminalci uporabljajo informacije s spletnih strani, računov na družbenih omrežjih in tako delčke združijo v sliko podjetja in ljudi, ki so tam zaposleni.
Osebne podatke lahko uporabijo za ustvarjanje usmerjenega zvabljanja (spear-phishing attacks). Pri tem je videti, kot da bi napade storil zaupanja vreden vir, namenjeni pa so pridobitvi dostopa do podjetja. Pametno je, da so uporabniki previdni, kakšne informacije delijo oziroma jih ne delijo z uradnimi podjetji. Uporabnikom priporočam, da če določene vsebine ne želijo videti na naslovnici nacionalnega medija, naj je sploh ne delijo na spletu.
Česa uporabniki ne počnemo dovolj dobro oziroma kako bi morali ukrepati, ko želimo zaščititi svojo identiteto ter zavarovati svoje podatke in računalniške sisteme?
Uspešnost kibernetskih kriminalcev je dokaz, da veliko ljudem in podjetjem ne uspe izpeljati korakov za zaščito sistemov in podatkov. Jasno, obstajajo razlike med posamezniki in organizacijami, zato ni ene splošne rešitve za oboje. A pristop bi moral biti enak. Najprej preučite, kaj imate, kar bi lahko napadalcu predstavljalo vrednost, nato premislite, kako bi napadalci lahko dobili dostop do tega, nato razvijte strategijo, kako jim dostop preprečiti. Zaščita sistemov, krpanje lukenj v sistemih in varnostna naravnanost so pri tem ključni koraki.
Ne nazadnje, zavedajte se trikov, ki jih uporabljajo kibernetski kriminalci, bodite previdni pri odpiranju prilog in povezav ter odgovarjanju na naključna sporočila. Ne sklepajte, da je nekdo to, za kar se izdaja, kodirajte občutljive podatke, izvajajte redno varnostno kopiranje podatkov in ne pretiravajte z deljenjem informacij. V današnjem povezanem svetu je nujno, da ukrepe razširimo tudi na mobilne naprave. Zavedajte se, da sta uporabljena koda PIN ali geslo na napravi edina ovira med vami in tretjo osebo, ki pridobi dostop do telefona, na primer v primeru kraje. Prav tako javna brezžična omrežja uporabljajte le za transakcije, ki niso zaupne narave.