Nedelja, 29. 9. 2024, 22.02
1 teden, 3 dni
Dalibor Vukovič: Prvi odziv na kibernetski napad je vedno panika #intervju
"Napad se je zgodil sredi tedna ob treh zjutraj. Zaposleni so začeli prihajati v službo ob sedmih zjutraj in hitro ugotovili, da je nekaj narobe. Na tem mestu je treba poudariti, da bo podjetje vse procese ustavilo takoj, tudi če je okuženih le nekaj računalnikov. Prvi odziv je vedno panika," tipičen primer dogajanja ob kibernetskem napadu v Sloveniji opiše strokovnjak Telekoma Slovenije za kibernetsko varnost Dalibor Vukovič.
Dalibor Vukovič je večino življenja posvetil kibernetski varnosti. S tega področja končuje doktorsko disertacijo, ima pa tudi več kot 20-letne izkušnje iz prakse prek dela za različna podjetja. Vendar Vukovič poudarja, da je področje kibernetske varnosti, kot jo poznamo danes, pravzaprav staro šele deset let. Pred tem je bil to le del sveta IT.
Vukovič ima številne mednarodne certifikate, med drugim je certificirani etični heker. Sicer poudarja, da pravih šol za kibernetsko varnost pravzaprav ni. "Prava šola je praksa, vsakodnevna," poudarja Vukovič, ki je danes kot produktni menedžer del ekipe Telekoma Slovenije za kibernetsko varnost.
Na začetku pogovora ste poudarili, da je svet kibernetske varnosti star šele deset let. Kaj ste mislili s tem?
Pred tem kibernetska varnost v očeh večine uporabnikov ni bila pomembna. Govorim za Slovenijo ter za povprečne uporabnike, v Telekomu Slovenije in verjetno še kje smo to področje podrobno spremljali že dosti prej.
Samo v zasebnem sektorju ali tudi …
Generalno gledano. Šele pred desetimi leti smo v Sloveniji začeli bolj množično razmišljati, da antivirusni programi morda niso dovolj. Vsak virus, pa naj bo računalniški ali biološki, ima namreč podpis. Na primer covid-19 – na začetku se je moral nekdo okužiti, da smo prepoznali podpis virusa. To je omogočilo razvoj metod za zaznavanje okužbe v človeku. Enako je pri računalniških virusih.
In antivirusni programi so bili kar nekaj časa na podlagi prepoznavanja podpisov virusov učinkovit način zaščite. Pred približno desetimi leti pa se je na področju informatike zgodil preskok v razvoju. Ključna je bila predvsem umetna inteligenca, ki jo danes poznamo tudi kot ChatGPT.
Ko govorite o umetni inteligenci, verjetno govorite o strojnem učenju?
Da, tudi ta tehnologija je virusom omogočila, če spet naredim primerjavo s covid-19, mutacijo. Torej nove "seve". V svetu kibernetske varnosti temu rečemo napadi "zero-day". In antivirusni programi temu niso več kos, saj ima vsak nov "sev" drugačen podpis. To spoznanje je bilo ključno za začetek razvoja kibernetske varnosti kot samostojnega področja.
"V Estoniji imajo na primer že danes študijske podsmeri kibernetske varnosti, kot sta na primer digitalna forenzika in obveščevalna dejavnost v kibernetskem prostoru. Zakaj? Pred leti so ruski hekerji napadli informacijski sistem države in to jih je spodbudilo k razvoju kibernetske odpornosti," poudarja Dalibor Vukovič.
Glede na "mladost" sektorja verjetno zelo primanjkuje strokovnjakov za kibernetsko varnost?
Večina strokovnjakov za kibernetsko varnost in odpornost je izšla iz IT-področja. V Telekomu Slovenije smo strokovnjake načrtno razvijali na področju kibernetske zaščite, pridobivali znanje in vedno nove kompetence.
Veliko pozornosti namenjamo interni mobilnosti, skrbimo za redna izobraževanja, prenos izkušenj in kompetenc. Na ta način znotraj družbe strokovnjakom, ki jih področje zanima, omogočamo dostop do zahtevanega znanja in njegovo neprekinjeno nadgrajevanje.
Danes ima Telekom več kot sto strokovnjakov na tem področju. Ko spremljam druga manjša podjetja v tem sektorju, ki strokovnjake iščejo na trgu, so izzivi veliki.
Eden od izzivov na tem področju je tudi v tem, da v Sloveniji trenutni izobraževalni sistem nima programa, ki bi omogočal ciljno izobraževanje tovrstnih strokovnjakov. To bo v prihodnje treba spremeniti. V Estoniji imajo na primer že danes študijske podsmeri kibernetske varnosti, kot sta na primer digitalna forenzika in obveščevalna dejavnost v kibernetskem prostoru. Zakaj? Pred leti so ruski hekerji napadli informacijski sistem države in to jih je spodbudilo k razvoju kibernetske odpornosti.
Slovenci se radi primerjamo s Hrvaško. Ta je bila v zadnjih mesecih kar nekajkrat tarča kibernetskih napadov, verjetno je najbolj v spominu ostal napad na bolnišnico, ki je zaradi hekerjev imela velike težave pri osnovnem delovanju. Kako je kibernetska varnost v Sloveniji razvita v primerjavi s Hrvaško?
Brez lažne skromnosti lahko rečem, da smo v Sloveniji na področju zagotavljanja kibernetske varnosti na višji ravni. Hrvaška ima sicer veliko več zaposlenih, predvsem v zasebnem sektorju, zato so se sposobni hitro odzvati na kibernetske incidente. V Sloveniji ima verjetno samo Telekom Slovenije primerljive oziroma večje kapacitete.
A glede znanja o kibernetski varnosti je Slovenija pred Hrvaško. Mi se primerjamo z najbolj razvitimi zahodnimi državami in z njimi tekmujemo.
Omenili ste že zasebni sektor kibernetske varnosti v Sloveniji. Se torej dobro razvija?
Danes je to postal relativno velik posel predvsem zaradi regulatornih zahtev, zato je na trgu vse več podjetij, ki naj bi se ukvarjala s kibernetsko varnostjo. Vendar jih ima večina do deset zaposlenih, ki se ukvarjajo z vsem. Resnih akterjev, ki so sposobni samostojno poskrbeti za celovito zaščito svojih strank, je malo. Dva, največ trije.
Pred meseci je imel Elon Musk intervju z Donaldom Trumpom na omrežju X, ki je bil ravno tarča kibernetskega napada DDoS – ko hekerji preplavijo strežnike s prometom, tako da ti praktično ne morejo več delovati. Hekerji, ki so sami sebe povezovali z Rusijo, so tako napadli tudi slovenske institucije. Kako je mogoče, da je po desetletjih obstoja napad DDoS še realna grožnja?
DDoS je splošno ime in oblika napadov se je zelo razvila. Če ponazorim. Klasični napad DDoS je volumetrični napad, torej strežnik obremenimo z večjim številom klicev, kot jih ta lahko sprejme. Napredni napadi DDoS pa se dogajajo na aplikativni ravni. Obramba pred klasičnimi napadi DDoS je relativno preprosta, za napredne napade pa potrebujemo rešitve, ki temeljijo na umetni inteligenci. Ta je zmožna v realnem času ugotoviti in ustaviti volumetrični napad, ki lahko navidezno poteka tudi prek strežnikov iz Slovenije, pri čemer so lahko storilci od koderkoli.
Torej rešitve obstajajo. Kako da potem niso implementirane?
Ko smo v preteklosti podjetjem ponujali tovrstne rešitve, smo pogosto dobili odgovor, da tega ne potrebujejo, saj ne delajo nič takšnega, zaradi česar bi bili potencialna tarča. To se zdaj spreminja.
Torej današnja težava v svetu kibernetske varnosti ni tehnologija, temveč zavedanje o obstoju težave?
Da. Ljudje kibernetski svet enačijo s fizičnim svetom. Na primer, kot fiktiven primer, v neki soseski je bil kriminalec, ki je v le nekaj mesecih vdrl v tri hiše. V soseski je nastajala panika, vse več ljudi je razmišljalo o alarmnem sistemu. Potem so kriminalca aretirali. Super, ni nam več treba kupiti alarmnega sistema. Splet pa ne deluje tako, spletni kriminalci in hekerji gledajo na stvari drugače.
"Osnovna raven je zbiranje elektronskih naslovov. Sledi tipični 'phishing', torej iskanje odprtih poti. In ko jih najdejo, sledi napad," začetek "tipičnega kibernetskega napada" opiše Dalibor Vukovič.
Kako?
Bom poskusil poenostavljeno razložiti tipičen način dela. Če je napadalec ujet, to ne pomeni nič. Napadalcev je namreč ogromno in so medsebojno praviloma nepovezani. Včasih gre zgolj za programe, ki iščejo priložnost za napad, in šele ko jo najdejo, se vmešajo tudi ljudje, recimo jim "hekerji".
Osnovna raven je zbiranje elektronskih naslovov. Sledi tipični "phishing", torej iskanje odprtih poti. In ko jih najdejo, sledi napad. Hekerji se ne bodo ukvarjali s tem, ali so vsi iz določene soseske ali iz istega podjetja. Osnovna raven se dogaja na ogromni množici podatkov, prav tako iskanje odprtih vrat. Rešitve obstajajo, vendar se kljub vedno večji ozaveščenosti glede problematike še vedno ne prodajajo toliko, da bi zaščitile večino uporabnikov.
Če za primer vzamemo proruski hekerski napad. Na koncu je edina stvar, ki je preostala slovenskim pristojnim institucijam, da so del državnih spletnih storitev kar zaprli pred dostopom iz tujine. In to je mnogim slovenskim podjetjem povzročilo ogromne stroške ...
Jaz bi storil enako, kot so storile pristojne slovenske institucije.
Kaj se torej mora še zgoditi, da se bo kibernetsko varnost jemalo bolj resno tako v podjetjih kot v državnem sektorju?
Po mojih izkušnjah delujeta samo dve stvari. Prva je zakonodaja. Če država nekaj zapove, potem relativna večina to spoštuje. Druga stvar pa je osebna izkušnja. Skorajda vsak, ki je bil žrtev kibernetskega napada, danes skrbi za varnost.
Vmesne poti na žalost ni. V zadnjih petih letih je bilo le malo primerov, ko je do nas prišlo podjetje ali organizacija, da jih skrbi dogajanje v svetu in da bi se radi zaščitili. Pogosto se je nekaj zgodilo, če ne njim pa nekomu, ki ga dobro poznajo, in je bila ta neprijetna izkušnja dovolj, da so postali previdnejši.
Kdo je lahko tarča hekerjev?
Tarče smo, hočeš – nočeš, kar vsi, le da je poskusov veliko več, kot je javno razkrito. Mnogi pa napada sploh ne zaznajo, torej ne vedo, kaj se jim dogaja v sistemih in omrežjih … dokler ni prepozno!
Koliko je resnih napadov v Sloveniji? Deset na leto?
(Smeh) SI-CERT vsako leto objavi statistiko. Zadnja objava je omenjala več kot štiri tisoč napadov, torej skoraj 15 napadov dnevno. Ampak to so samo prijavljeni napadi. Glede na moje izkušnje govorimo o vsaj 150 napadih dnevno.
Imate kakšno oceno o škodi? Koliko napadi stanejo gospodarstvo, državo, prebivalce?
To bi zelo težko ocenil. SI-CERT ocenjuje, da je škoda več tisoč evrov na napad. Za podjetja lahko rečem, da vsak napad povzroči ogromno škodo, ne samo materialno, lahko tudi v obliki (ne)zaupanja strank, poslovnih partnerjev. Bi pa poudaril še to, da nikoli niso napadena podjetja in organizacije, ki imajo dovolj napredno zaščito. Večina žrtev ima žal le antivirusni program in preprost požarni zid.
Lahko poskusiva izračunati škodo?
Lahko. Bom razložil na enem primeru iz Slovenije. Napad se je zgodil sredi tedna ob treh zjutraj. Zaposleni so začeli prihajati v službo ob sedmih zjutraj in hitro ugotovili, da je nekaj narobe. Na tem mestu je treba poudariti, da bo podjetje vse procese ustavilo takoj, tudi če je okuženih le nekaj računalnikov.
Prvi odziv je vedno panika. Sledi klic k nam, na lokacijo pošljemo skupino strokovnjakov, ki s posebnimi orodji pregledajo celotno IT-infrastrukturo, vse računalnike, ne samo tiste, ki so prizadeti.
Reševanje takšnega primera v povprečju traja pet dni, vpetih je več strokovnjakov, ki delajo v treh izmenah, kar pomeni, da je vloženih nekje od 500 do 600 ur dela različnih visokospecializiranih strokovnjakov. Torej, če ocenim, je samo za reševanje posledic napada potrebnih do 50 tisoč evrov ali še več, če je treba tudi nadgraditi kakšne zastarele sisteme in programsko opremo v podjetju.
Potem so tu še drugi stroški. Zaposleni so na prisilnem dopustu. Dva dneva celoten kolektiv. Potem se vsak dan počasi vračajo v službo, odvisno, kateri del poslovanja nam je uspelo pregledati in rešiti. Ob tem podjetje plača kazni na obstoječe pogodbe s svojimi strankami zaradi zamud pri dostavi storitev ali izdelkov. Številke hitro pridejo čez sto in več tisoč evrov. V skrajnem primeru lahko takšen napad podjetje spravi pod vodo.
"Če si lahko privoščite, investirajte nekaj denarja tudi v napredno kibernetsko zaščito za fizične osebe. Pri Telekomu Slovenije jo imamo, cena je primerljiva s ceno ene dobre kave na mesec," svetuje Dalibor Vukovič.
Ta primer govori verjetno o večjem podjetju. Imate izkušnje z manjšimi organizacijami?
Seveda, vzemimo za primer računovodski servis z nekaj zaposlenimi. Zaradi kibernetskega napada so imeli, čez palec, več kot 15 tisoč evrov škode. Zaščita bi stala okoli sto evrov na mesec. Pa si sami izračunajte, kaj se bolj izplača.
Velik del kibernetskih napadov se danes zgodi zaradi nekega dobavitelja v verigi razvoja programske opreme. Torej na primer hekerji pridejo v napadeno podjetje prek sistema CRM drugega podjetja, to pa je bilo penetrirano prek programske opreme, ki jo je razvil podizvajalec njihovega podizvajalca. Se da zaščititi tudi pred takimi napadi?
Da. In napredna podjetja v Sloveniji, ki v večini primerov zaposlujejo več tisoč ljudi, imajo te rešitve skoraj vedno že integrirane.
Kako pa je videti taka rešitev?
Gre za orodja, ki ves čas nadzorujejo celoten splet, skupaj s temnim delom, in javljajo, če se kje pojavijo kakršnikoli podatki, povezani s potencialno tarčo, njenimi dobavitelji in njihovimi dobavitelji in njihovimi dobavitelji ... Torej za celotno verigo. Podatki, kot so na primer poverilnice zaposlenih za vstop v programske rešitve. Torej uporabniško ime in geslo.
Omenili ste napredna podjetja v Sloveniji. Lahko daste kakšen primer?
Zavarovalnice, banke … Vsa velika podjetja.
Kaj pa državni sektor? Ustrezno skrbi za kibernetsko varnost? Lani so bili javno razkriti vdori v MZEZ, vrhovno sodišče, NIJZ … Kaj se dogaja s sistemom HKOM? Državljani se morda ne počutimo najbolj varno, ko spremljamo, kaj se dogaja z našimi osebnimi podatki …
Težko komentiram. Sam z vidika kibernetske varnosti bolj podpiram idejo decentraliziranih informacijskih sistemov.
Kako pa preverite, ali so kriminalci profesionalci? Verjetno podatki OSINT ne zadostujejo?
Če že začnete komunicirati z napadalci, potem od njih najprej zahtevajte, da odklenejo del podatkov. Če to storijo, potem vedo, kaj delajo.
Se da z napadalci tudi pogajati o odkupnini?
Vsekakor odsvetujem pogajanja, sploh če žrtev ni strokovnjak za to področje. Se pa da z resničnimi argumenti veliko storiti. Profesionalni napadalci vedno preverijo poslovanje svoje žrtve – ti podatki so namreč javni – in temu prilagodijo odkupnino. Velikokrat so se pripravljeni pogajati, če jim s pomočjo javno dostopnih bilanc dodatno obrazložiš, zakaj je določena vsota previsoka.
Za konec. Intervju je potekal o kibernetski varnosti za podjetja. Kako pa vi skrbite za svojo lastno digitalno varnost?
Poudaril bi, da morda nisem prava oseba za to vprašanje, saj imam zaradi dnevnega reševanja težav drugih na tem področju specifičen pogled. To pomeni, da zelo skrbim tako za fizično kot digitalno varnost. Zato bom odgovor zapeljal drugače, in sicer, kaj sam svetujem drugim na področju osebne kibernetske varnosti.
Ukrepi niso nič novega. SI-CERT se zelo trudi z obveščanjem javnosti in njihovi nasveti so odlični. Torej, redno menjajte gesla, ki naj bodo bolj kompleksna. Ne ponavljajte gesel, kupujte licenčne programe. Proaktivno posodabljajte programsko opremo svojih naprav. In pa seveda – uporabljajte zdravo kmečko pamet. Če vam nekdo na Facebooku obljublja neverjeten popust za karkoli, je najverjetneje nekaj narobe.
Če si lahko privoščite, investirajte nekaj denarja tudi v napredno kibernetsko zaščito za fizične osebe. Pri Telekomu Slovenije jo imamo, cena je primerljiva s ceno ene dobre kave na mesec.