Od izplena digitalnih kriminalcev sta večji le gospodarstvi ZDA in Kitajske #intervju

"Z razmahom uporabe tehnologije v vsakdanjem življenju se razvijajo tudi metode, ki jih uporabljajo sodobni kibernetični kriminalci. A ne spreminjajo se samo načini uporabe, temveč tudi motivacija v ozadju. Dandanes jih ne žene le želja po odtujitvi finančnih sredstev, temveč si želijo dostopati do podatkov, promovirati politično ideologijo ali preprosto povzročiti zmedo," opozarja Nizozemec Rigo Van den Broeck, izvršni podpredsednik, ki je pri podjetju Mastercard odgovoren za kibernetsko varnost in produktne inovacije.

Z njim smo se o varnosti slovenskih bank, kvantnih računalnikih in tem, kako mladim razložiti, kaj sploh je kibernetska varnost, pred kratkim pogovarjali v Ljubljani.

Ali Mastercard sam razvija rešitve za digitalno varnost?

Pri Mastercardu je zaupanje v središču poslovanja. Zadnjih pet let gradimo rešitve za kibernetsko varnost, s katerimi želimo zmanjšati kibernetsko tveganje v našem digitalnem ekosistemu in zaščititi naše uporabnike pred kibernetskimi grožnjami. Pred tem smo se bolj osredotočali na finančne goljufije, in sicer z vidika toka finančnih transakcij.

Poenostavljeno povedano, če je bila finančna transakcija smiselna, potem najverjetneje ne gre za goljufijo. A ko smo analizirali celotno "pot" goljufije, smo ugotovili, da se je vse skupaj najverjetneje začelo s krajo podatkov stranke. Prišli smo torej do sklepa, da moramo za bolj učinkovit boj z goljufijami pomagati uporabnikom, da bolje zaščitijo svoje podatke.

Na začetku smo pomagali bankam in drugim finančnim institucijam. Nato smo ugotovili, da moramo pomagati pravzaprav vsem akterjem v trgovinskem sektorju, med drugim tudi prodajalcem. Danes torej sodelujemo z vsemi vpletenimi v posamezno finančno transakcijo, od kupca, trgovca, banke … In ne govorim samo o poslovanju s končno stranko, temveč tudi o poslovanju med podjetji.

Zakaj ste se za to odločili pred točno petimi leti? Ste opazili določene trende?

Živimo v dobi pomembnih tehnoloških sprememb in digitalni ekosistem je spremenil način delovanja naših podjetij. Zaupanje je lepilo, ki vse to povezuje. Ohraniti zaupanje v središču vseh naših odnosov s strankami je bistvenega pomena, saj bodo vedno obstajali tisti, ki bodo poskušali škodovati potrošnikom ter poslovanju podjetij s kibernetskimi napadi in prevarami, kar je lahko za žrtve uničujoče.

Če pogledamo le pomembnejše geopolitične dogodke v zadnjih letih, lahko vidimo, da je kibernetično vojskovanje postalo del mednarodnih konfliktov. Zgolj v letu 2022 je število napadov DDoS naraslo za 22 odstotkov. Danes lahko že rečemo, da so boji v digitalnem prostoru bolj obsežni kot v realnem svetu. Dober primer je Švedska. Vodstvo države je po napadu Rusije na Ukrajino povedalo, da razmišlja o članstvu v severnoatlantskem zavezništvu (Nato). Takoj po objavi novice so vsa kritična infrastruktura, najpomembnejša švedska podjetja in vladne institucije postale tarča digitalnih napadov.

Vse več različnih skupin je torej danes aktivnih v svetu digitalnega kriminala, namesto želje po odtujitvi finančnih sredstev jih žene politična ideologija, poleg tega pa imajo na razpolago zelo kompleksna orodja za izvajanje napadov. Obenem so napadi postali bolj prefinjeni. Danes torej ni večje samo število napadov, temveč tudi njihova kompleksnost. K sreči pa tako kot kibernetski kriminalci postajajo bolj prefinjeni, tudi mi razvijamo in ustvarjamo rešitve, s katerimi smo dva koraka pred njimi.

"Okoli 80 odstotkov vseh primerov vdorov v podjetja in druge organizacije se zgodi skozi rešitve dobaviteljev," opozarja strokovnjak za digitalno varnost, Nizozemec Rigo Van den Broeck iz Mastercarda. Foto: Bojan Puhek

Če sem vas prav razumel, so torej danes za večino digitalnega kriminala odgovorne skupine, ki jih podpirajo države?

Naša naloga ni, da preučimo motive za kibernetskim napadom, temveč metode in nastajajoče trende. Kibernetski napad je lahko uničujoč za posameznika ali podjetje, saj ne ruši zgolj ugleda, temveč napada tudi zaupanje, ki ga imajo potrošniki do podjetja, da ne omenjamo finančne izgube, ki jo tovrsten napad povzroči. Povprečni strošek kibernetskega napada je v zadnjih treh letih narasel za 15 odstotkov in v letu 2023 znaša 4,45 milijona ameriških dolarjev.

Stereotipno gledano je spletni kriminalec 45-letni samski moški, ki živi v kleti svoje mame. Kdaj se je zgodil preobrat, kdaj je ideologija za spletne kriminalce postala pomembnejša od denarja?

Z razvojem digitalne tehnologije se razvija tudi kibernetska grožnja. Čeprav so motivi raznoliki, to ne pomeni, da je politični motiv nastal zdaj, le bolj opazen je zaradi medijskega poročanja. Včasih so kibernetski kriminalci želeli le vdreti v sistem in pridobiti podatke. Danes pa uporabljajo orodja, kot so napad DDoS in zlonamerne programske kode, ki jih žrtev prej ali slej zazna. Ti sodobni kibernetski kriminalci želijo biti vidni, želijo si, da njihova politična agenda dobi prostor v medijih.

Koliko škode na leto pa povzročijo digitalni kriminalci?

Če digitalni kriminal primerjamo z državami, bi bila vrednost njegovega "gospodarstva" tretja največja na svetu, takoj za ZDA in Kitajsko. In številka je vsako leto večja.

Kako pa po vaših izkušnjah digitalni kriminalci najpogosteje vdrejo v sisteme?

Okoli 80 odstotkov vseh primerov vdorov v podjetja in druge organizacije se zgodi skozi rešitve dobaviteljev. Recimo, da imam podjetje, ki uporablja sto različnih programskih rešitev, ki so jih seveda razvili zunanji partnerji. Vsak od zunanjih partnerjev ima sto drugih dobaviteljev programskih rešitev. To v teoriji pomeni, da lahko digitalni kriminalci vdrejo v moje podjetje prek deset tisoč različnih podjetij.

Zato pri Mastercardu veliko pozornosti namenjamo dobaviteljem programskih rešitev, dobaviteljem dobaviteljev programske opreme in dobaviteljem dobaviteljev dobaviteljev programske opreme. Nadzor takega števila podjetij pa ni mogoč brez avtomatizacije. Je pa nadzor nujen, saj je po naših izkušnjah večina uspešnih napadov na digitalno infrastrukturo opravljena prav prek dobaviteljev programske opreme na tretji, četrti ali še nižji ravni.

Torej nadzorujete, pavšalno rečeno, kar cel svet?

Tega digitalnega ekosistema ne omejujejo geografske ločnice ali ekonomski sektor. Naš pristop je naslednji. Vsako podjetje analiziramo, kot da smo mi digitalni kriminalci. Poskušamo najti vse pomanjkljivosti in odkriti vse potencialne nevarnosti. Na podlagi svojih odkritij pripravimo poročilo, ki ga pošljemo vsem bankam na svetu. Vključno s slovenskimi.

In kako dobro so na napade digitalnih kriminalcev pripravljeni v slovenskih bankah?

Vsakemu podjetju in organizaciji na podlagi storitve RiskRecon dodelimo oceno na lestvici od 0 do 10. Višja ko je številka, bolje je banka pripravljena. Slovenske banke so v povprečju dobile oceno 8,7, kar je dobro. Svetovno povprečje je 8,3.

Kaj pa druga podjetja in organizacije v Sloveniji?

Največ težav v Sloveniji ima izobraževalni sektor. Predvsem univerze, ker imajo najbolj odprte informacijske sisteme, kar je glede na njihovo dejavnost seveda pričakovano. Dali smo jim oceno 6,9.

Nepripravljeni na digitalne napade pa so tudi v transportnem in javnem sektorju. Drugi je dobil oceno 7,7, kar pa je primerljivo s svetovnim povprečjem.

Kaj pa spletni trgovci?

Za svetovno povprečje lahko rečem, da so trgovci, ne samo spletni, dobili oceno 7,9. To ni preveč slabo. Tako kot v drugih sektorjih imajo največ težav pri obrambi pred digitalnimi kriminalci majhna in srednje velika podjetja. To je sicer logično, saj podjetja takega velikostnega razreda nimajo notranjih kompetenc za digitalno varnost.

Mastercard prav na tem področju, torej pri obrambi majhnih podjetij pred digitalnimi kriminalci, vidi enega izmed glavnih izzivov današnje družbe z vidika digitalne varnosti. Mastercard zato v številnih državah sodeluje z vladami in telekomunikacijskimi podjetji s ciljem pomagati majhnim pri izboljšanju obrambe pred digitalnimi kriminalci. Glavni izziv pri majhnih pa je dejstvo, da bo šest od desetih podjetij v prihodnjem letu bankrotiralo.

"Vsako transakcijo torej primerjamo s seznamom potencialnih znakov, da gre za prevaro. Tako za vsako transakcijo izračunamo verjetnost, ali gre dejansko za prevaro. Gre pa za zelo kompleksen sistem, ki je tudi prilagojen posamezni državi," pristop Mastercarda do digitalne zaščite razloži Rigo Van den Broeck. Foto: Bojan Puhek

Podjetja imajo zagotovo svoje izzive. Kaj pa izobraževanje ljudi o zaščiti pred digitalnimi kriminalci?

Mastercard veliko dela tudi na tem področju, v nekaterih državah recimo sodelujemo z univerzami s ciljem, da bi pritegnili več mladih v kibernetsko varnost. Zagotovo je treba tudi v šolske sisteme uvesti izobraževanje o digitalni varnosti. Sam recimo vsako leto kot prostovoljec nekaj dni namenim za izobraževanje mladih. Obiskujem osnovne šole in predavam o tej tematiki. Pred kratkim pa smo v sodelovanju s tehnološko univerzo v Singapurju (NTU Singapur) zagnali tudi magistrski program Cybersecurity FlexiMasters, ki je specializiran posebej za razvoj talentov in krepitev strokovnega znanja ter izkušenj v boju proti naraščajoči grožnji kibernetske kriminalitete.

Veliko pa za zaščito končnih uporabnikov delajo tudi sama podjetja in eno izmed področij, ki je v zadnjih letih močno napredovalo, predvsem zaradi pametnih mobilnikov, je zaščita dostopa s pomočjo biometrije. Pri tem pa se pojavljajo pomisleki, ali bi lahko te informacije zlorabile korporacije in države. Kje je torej meja med kibernetsko varnostjo in zaščito osebnih podatkov?

Evropska unija veliko vlaga v regulacijo zbiranja in obdelave osebnih podatkov. Pri družbi Mastercard upoštevamo pravila Evropske unije, saj so ena najstrožjih na svetu. Zaščita zaupanja je v središču našega poslovanja, pri čemer je varovanje podatkov ljudi ključno.

V zadnjem letu se veliko govori o umetni inteligenci, tudi Mastercard veliko govori o tem. Preden se spustiva v samo debato, pa bi rad vprašal, o čem pravzaprav govorite, ko govorite o umetni inteligenci. O tehnologiji strojnega učenja ali tehnologiji nevronskih mrež in z njo povezanih rešitvah?

Pri Mastercardu uporabljamo rešitve, ki slonijo tako na strojnem učenju kot na nevronskih mrežah. Naj povem primer iz prakse. Pri Mastercardu letno zaznamo okoli 140 milijard transakcij. Manj kot pet odstotkov teh transakcij je povezanih z goljufijami. Večino primerov goljufij uspešno "ujamemo" in preprečimo. To pa naredimo tako, da v realnem času spremljamo vse transakcije in ugotavljamo, ali so povezane z goljufijami. Lovljenje teh pa nam omogoča rešitev, ki temelji na strojnem učenju. Imamo namreč ogromno bazo transakcij iz preteklih let, za katere vemo, da so bile povezane z goljufijami. Vsako transakcijo torej primerjamo s seznamom potencialnih znakov, da gre za prevaro. Tako za vsako transakcijo izračunamo verjetnost, da gre dejansko za prevaro. Gre pa za zelo kompleksen sistem, ki je tudi prilagojen posamezni državi.

"Če pogledamo kvantne računalnike – ti prinašajo pravzaprav le eno novost. To je ogromna rast kalkulacijske moči računalnikov, zato že danes obstaja simetrična kriptografija, ki je rešitev za vzpon kvantnih računalnikov. Mastercard ima patent in že danes izdaja bančne kartice s čipom, ki je kos današnjim kvantnim računalnikom. Zagotovo pa bomo aktivno spremljali vse tehnološke spremembe, tudi na področju kvantnih računalnikov, in bili pripravljeni nanje," pravi strokovnjak za digitalno varnost, Nizozemec Rigo Van den Broeck iz Mastercarda. Foto: Bojan Puhek

Kako pa umetna inteligenca vpliva na razvoj kibernetske varnosti?

Največji doprinos umetne inteligence je zagotovo prediktivna analitika. Mastercard analizira okoli 19 milijonov podjetij po vsem svetu, spremlja vdore v njihove sisteme, stopnjo njihove zaščite … Posledično do določene mere že lahko napovedujemo nekatere parametre kibernetskega kriminala.

Poglejva še malo v morda ne tako daljno prihodnost. Veliko se govori o nevarnosti umetne inteligence. Ali je, če to tehnologijo združimo s kvantnimi računalniki, to recept za konec kibernetske varnosti?

Pri Mastercardu se veliko ukvarjamo s prihodnostjo in novimi tehnologijami, ki bi lahko ogrozile dosedanje načine boja z digitalnim kriminalom. Pri tem sodelujemo z mnogo deležniki, od univerz do javnih institucij. Skupaj z njimi izvajamo različne simulacije. Ena izmed njih je ta, ki ste jo omenili, torej kaj se zgodi, če digitalni kriminalci dobijo dostop do kvantnih računalnikov.

Če pogledamo kvantne računalnike – ti prinašajo pravzaprav le eno novost. To je ogromna rast kalkulacijske moči računalnikov, zato že danes obstaja simetrična kriptografija, ki je rešitev za vzpon kvantnih računalnikov. Mastercard ima patent in že danes izdaja bančne kartice s čipom, ki je kos današnjim kvantnim računalnikom. Zagotovo pa bomo aktivno spremljali vse tehnološke spremembe, tudi na področju kvantnih računalnikov, in bili pripravljeni nanje.

Za konec bi se vrnil k izobraževanju in razumevanju pomena kibernetske varnosti. Večina ljudi je danes nevedna glede nevarnosti, ki prežijo nanje v digitalnem svetu. Omenili ste, da sami prostovoljno učite osnovnošolce o digitalni varnosti. Kako 12- ali 13-letnikom razložite kibernetsko varnost? Kako sploh začnete pogovor o tem?

Zelo preprosto. Pridem v učilnico in vse prosim, naj na list papirja napišejo svoje ime, svoj domači naslov, svoj elektronski naslov, številko svojega mobilnega telefona in geslo do spletne pošte.

Vprašam, kdo je napisal vse, kar sem želel, na list papirja, in vsi v učilnici dvignejo roko.

Potem jih vprašam, ali sploh vedo, kdo sem jaz. Ali mi zaupajo samo zato, ker sem v učilnici? Ali sploh vedo, kaj delam tukaj?

Razložim, da je enako na spletu. Komu zaupati? Komu dati svoje podatke? Prav to delajo digitalni kriminalci. Ustvarjajo občutek nujnosti, verodostojnosti … Na spletu je vedno treba biti pozoren.

Novice Kakšne so razmere v HSE po odmevnem hekerskem napadu?

Novice Po enem večjih varnostnih incidentov pri nas: "Zaznali so ga zelo hitro"

Novice Znane so nove podrobnosti kibernetskega napada na skupino HSE