Portreti

Popolna kibernetska varnost ni mogoča, moramo biti pripravljeni na vse

Ljubljana, 17. 11. 2019 07.00 |

PREDVIDEN ČAS BRANJA: 11 min
Avtor
Daniel Fazlić
Komentarji
12

Hekerski napadi in izsiljevanja so postali naš vsakdan, tarče napadov so lahko vsi, od podjetij, državnih organov do navadnih ljudi. Kibernetska varnost in načini, kako se lahko zavarujemo, pa postajajo del temeljnih državnih struktur in tudi politik. V Ljubljani smo se pogovarjali z ameriško strokovnjakinjo za kibernetsko varnost Liesyl Franz, ki dela v Uradu koordinatorja za kibernetska vprašanja na ameriškem State Departmentu, in vodjo slovenskega SI-CERTA Gorazdom Božičem.

Kaj je naloga vašega urada v State Departmentu: obramba, načrti ... ? 

State Department je naš oddelek ustvaril pred osmimi leti, ker se je pokazala potreba po boljši mednarodni komunikaciji in sodelovanju med državami, tudi pri identificiranju potencialnih groženj. To je bil cilj strategije o kibernetskem prostoru, zato so na State Departmentu ustanovili Urad za koordinacijo kibernetskih zadev. Če primerjamo takratni čas z današnjim, vidimo, da so tudi druge države v zadnjih letih naredile podobne urade, ki so pomagali izboljšati komunikacijo, deljenje mnenj in praks, kar pa je bilo zelo koristno za vse.

Ti uradi pomagajo spreminjati in usmerjati tudi državne politike in zakonodajo in so v zadnjih letih začeli sodelovati vsaj tako dobro, kot so uradi za odziv na kibernetske incidente že leta. Napad ali incident, ki se zgodi, pogosto ni omejen samo na eno državo, zato lahko skoraj klišejsko rečemo, da je internet brez meja.

S katerimi državami pa najbolj sodelujete?

Pri sodelovanju moramo vedno razmisliti o tem, kakšen pogled imajo v državi glede načina, kako naj bi se država obnašala. V State Departmentu nam veliko pomenijo norme o odgovornem obnašanju države v kibernetskem prostoru ...

Kaj to pravzaprav pomeni?

Kaj se pričakuje in kaj se ne pričakuje od držav? Kako ustvarimo podoben pogled na odgovorno obnašanje države? To se počne z zunanje političnimi procesi in pogovori v realnem svetu, ki se nato pretvori v kibernetskega. Ti okvirji sodelovanja nam vzamejo veliko časa, so zelo podobni procesom Združenih narodov, kar se tiče načel in načinov sodelovanja, zato pogosto iščemo načine v mednarodno-pravnih okvirjih, da ne bi potrebovali novega mednarodnega dogovora.

"Če sem lahko malo klišejska, dejansko smo tako močni kot najšibkejši člen."
"Če sem lahko malo klišejska, dejansko smo tako močni kot najšibkejši člen." FOTO: Aljoša Kravanja

Gre tudi za to, kako se mi obnašamo, in zavežemo se, da se nacionalni CERTI (nacionalni odzivni center za kibernetsko varnost) ne uporabljajo v slabe namene, ampak zgolj v dobre. Države ne smejo napadati kritične infrastrukture druge države in še podobne takšne dogovore. Prav tako se trudimo povezati in navezati dobre stike med državami in centri, ki bi izboljšali zaupanje med osebami, in bi s tem, upamo, zmanjšali možnost za konflikt ali pa stopnjevanje le-tega.

Pravite, da je internet brez meja, po drugi strani pa imamo točno določene države, ki so vpletene, kako potem k temu pristopite? Kako glede človekovih pravic, ki jih omenjate na spletni strani?

Zadeve, ki se tičejo kibernetske varnosti, sploh ker govorimo o internetu, ki je vsedostopen, nismo mogli reševati ne tehnično ne politično. Potreben je bil obširnejši pristop, ki bi zajel vse te možnosti, o katerih razmišljamo in vemo, da obstajajo. Kaj lahko rešimo glede mednarodne varnosti v okviru Združenih narodov, kibernetska varnost, ki jo moramo sami zagotoviti, torej, da zaščitimo naša kibernetska in druga omrežja. Ne smemo pozabiti na različne načine, kako se na internetu "vlada" in se ga nadzoruje, tu so seveda bolj v ospredju tehnična javnost in strokovnjaki.

Ko pridemo na temo svobode interneta, pa se dotaknemo človekovih pravic, saj velja pravilo, da so vaše pravice v državi enake pravicam na spletu. Gre za LGBT pravice, pravice do zasebnosti, pravice žensk, borbo proti spletnemu nadlegovanju itd., in vse to je za nas del tega obširnega pristopa.

Kdo pa je potem prvi pristopil k reševanju težav v kibernetskem prostoru – vojska ali uradi, kot so vaši?

Vojska je to počela že kar nekaj časa pred drugimi. Po napadih na dvojčka v New Yorku leta 2001 je nastal Urad za domovinsko varnost, ki je imel tudi oddelek za nacionalno kibernetsko varnost, in mislim, da si mi veliko "izposojamo" od vojske, predvsem kar se tiče pogledov na določene težave. Razlika je v tem, da če se vojska bolj osredotoča na vojaška omrežja, se mi bolj na civilna, a se oba pristopa pogosto srečata in prekrivata, zato pogosto prihaja do koordinacije procesov in odzivov.  

"Popolna varnost seveda ni mogoča, lahko pa upravljamo s tveganji. To velja tako za posameznike kot tudi za organizacije."
"Popolna varnost seveda ni mogoča, lahko pa upravljamo s tveganji. To velja tako za posameznike kot tudi za organizacije." FOTO: Aljoša Kravanja

Kako pomembni pa so vam partnerji v Evropi, Sloveniji?

Odgovor na vprašanje je jasen, absolutno so nam pomembni, ker smo zavezniki, partnerji na različnih nivojih zunanjih in varnostnih politik, prav tako na področju človekovih pravic, pravzaprav res sodelujemo na številnih ravneh. Zelo je bilo pomembno, ko sta tako Evropska unija kot Nato začela kibernetsko varnost v zadnjih letih jemati zelo resno. EU je zelo hitro sprejela osredotočenost na zadeve v kibernetskem prostoru, tako na ravni Komisije kot na Uradu za zunanje zadeve in varnostno politiko. Prav tako Nato s svojimi projekti glede usmeritve na kibernetsko varnost. Ravno direktor vašega nacionalnega odzivnega centra za kibernetsko varnost (SI-CERT) Gorazd Božič je primer takšnega pozitivnega sodelovanja in razvoja zmožnosti za obrambo pred kibernetskimi nevarnostmi. Če sem lahko malo klišejska, smo tako močni kot najšibkejši člen.

Kako uspešno pa je sodelovanje s Slovenijo?

Predlagam, da na to odgovori kar direktor?

Božič: To počnemo ves čas, tako na operativni ravni delimo informacije, ki so pomembne za odkrivanje težav. Potrebujemo delitev informacij, moramo graditi zaupanje med partnerji, preden bi lahko res začeli delati naše delo. Ravno zato smo se dobili te dni, kjer smo združili ekipe odzivnih centrov iz Zahodnega Balkana, območja, ki je dolgo časa bila siva cona glede nacionalnih odzivnih centrov. Tudi mi smo bili zelo aktivni pri mentoriranju ekip, institucij, ki sestavljajo CERT-e ali pa se ukvarjajo s kibernetsko varnostjo. Imamo različne mehanizme, kako lahko komuniciramo z ljudmi, recimo z ZDA, kako si delimo informacije in kako lahko zaščitimo prenos informacij in podatkov.

Vse to se je že začelo v devetdesetih letih. Spomnim se enega incidenta, ko je hekerjem uspelo vstopiti v enega od sistemov ameriške mornarice in se je nato odzvala Enota za informacijsko bojevanje. To je bilo leta 1997, ko je oddelek obstajal in so razmišljali o tem.  Po pregledu so spoznali, da niso ukradli nič pomembnega, neke programe ali podatke za učenje tujih jezikov.

Na začetku so bili čisto osnovni procesi in napadi, na katere smo se naučili odzivati. Bolj kot so napadi napredovali, bolj smo začeli komunicirati in deliti znanja, saj bi jih drugače veliko težje preprečili.

"Kljub grožnjam pa ne smemo spregledati dejstva, da sta internet in možnost tovrstne komunikacije družbi prinesla ogromno koristi."
"Kljub grožnjam pa ne smemo spregledati dejstva, da sta internet in možnost tovrstne komunikacije družbi prinesla ogromno koristi." FOTO: Aljoša Kravanja

Torej, ali v prihodnjih desetih letih vidite možnost, da bo kibernetska varnost tudi postala del oziroma domena nacionalne varnosti?

Franz: Menim, da je kibernetska varnost element nacionalne pa tudi ekonomske varnosti.

Božič: Zagotovo gre za element nacionalne varnosti. Če so denimo napadeni vladni sistemi ali pa ključna infrastruktura, potem je to zagotovo domena nacionalne varnosti.

Ima Slovenska vojska sposobnost obrambe proti kibernetskemu napadu?

Božič: Vojska ima te sposobnosti, hkrati pa jih tudi izboljšuje, vendar so omejene na vojaške operacije in vojaške sisteme, kar je v skladu z zakoni. Ni pa jim dovoljeno delovati na civilnem področju.

Torej, če bi nekdo napadel Eles, kdo potem posreduje?

Božič: Mi. Vitalni deli infrastrukture spadajo pod domeno ministrstva za obrambo, zadeve, ki se tičejo kibernetske varnosti, pa pripadajo nam. Zakon o informacijski varnosti navaja, da morajo incidente prijaviti nacionalnemu CERT, torej nam. Mi pa nato poročamo administraciji za informacijsko varnost – ta je telo, ki bo vmesnik z ostalimi institucijami. Govorim o vojski, policiji, obveščevalnih službah itd. Ob tem bi rad poudaril, da če nekdo vdre v vaš računalnik, to ni vprašanje nacionalne varnosti, vendar boste vseeno potrebovali pomoč. Rad bi poudaril, da gre za pomembne stvari, vendar ne smemo pozabiti, da obstajajo tudi majhna podjetja, ki potrebujejo pomoč, da se znova postavijo na noge, ko se denimo zgodi napad. Prav tako širša javnost in uporabniki potrebujejo pojasnila in usmeritve. Na to ne smemo pozabiti, ko govorimo o velikih temah, ko so sponzorirani napadi s strani držav …

V zadnjih petih letih je bilo med ljudmi veliko zaskrbljenosti na tem področju. Kako ljudem razložite, kako naj se pred napadi zaščitijo? V Sloveniji je bilo v zadnjem letu nekaj primerov, ko so ljudje nasedli lažnim sporočilom, v katerih so jih domnevni predstavniki podjetja prosili za več tisoč evrov nakazil.

Franz: Ozaveščenost uporabnikov je brez dvoma ključni del naših naporov. Pred leti smo ravno zaradi tega ustanovili partnerstvo, Nacionalno kibernetsko zavezništvo, ki je nastalo med oddelkom za nacionalno varnost in neprofitno organizacijo. Mesec oktober je mesec kibernetske varnosti v ZDA. V tem času smo se povezali z našimi partnerji s celega sveta, da povečamo ozaveščenost uporabnikov.

"Vitalni deli infrastrukture spadajo pod domeno ministrstva za obrambo, zadeve, ki se tičejo kibernetske varnosti, pa pripadajo nam. (SI-CERT)"
"Vitalni deli infrastrukture spadajo pod domeno ministrstva za obrambo, zadeve, ki se tičejo kibernetske varnosti, pa pripadajo nam. (SI-CERT)" FOTO: SI-CERT

Vprašanje za oba. V zadnjih desetih letih verjetno vidimo veliko pozitivnih sprememb, ampak katere so bile negativne spremembe v kibernetskem prostoru, na področju kibernetske varnosti in politik? Kaj bi morali posamezniki in država storiti v zadnjih petih letih?

Franz: Izpostavila bi problem porasti sofisticiranosti in izbiranja žrtev za napade. To je tako ZDA kot druge partnerske države gnalo k temu, da javno pripišejo odgovornost za napade drugim državam. V primeru Severne Koreje lahko izpostavimo napad na Sony. Podjetje sicer ni spadalo pod vitalni del infrastrukture, ampak zaradi napada, ki nam ga je uspelo povezati z naročnikom, gre namreč za ogrožanje filmske industrije, kinodvoran pa tudi svobode izražanja, ki se udejanja skozi film. Gre torej za več povezanih dejavnikov, ki so vplivali na naš odziv. Kljub temu pa ne smemo spregledati dejstva, da sta internet in možnost tovrstne komunikacije družbi prinesla ogromno koristi. Pomembno je, da se zavedamo, da gre za stvari, ki so naredile veliko za napredek družbe in človeka ter ga opolnomočile.

Božič: Najprej moramo pogledati vse lekcije, ki smo jih izkusili v zadnjih desetih letih. Če pogledamo na kibernetsko varnost z višje perspektive, lahko vidimo, da so nekatere zadeve tehnične narave – kako so napadi postali bolj sofisticirani, kako opažamo, da znamo ponavljati napake, kako sile trga ženejo podjetja, da proizvajajo produkte, ki so slabo zavarovani. Trg namreč prisili podjetja, da ta zmanjšajo stroške, kar zna privesti do tega, da se oprema ne preizkuša, razvijalci so plačani vse manj. Obstaja pa tudi drug pogled … gre za zrcalo delovanja naše družbe in geopolitične situacije. Torej, ko govorimo o globalnih stvareh, se sprašujemo, ali je danes mogoče doseči globalno kibernetsko varnost. Verjetno ne, a bi k temu morali stremeti. Vse težave pa niso le tehnične narave. Morda se dogaja kibernetska različica hladne vojne, sicer še z nekaterimi drugimi akterji. To, torej, moramo tudi obravnavati kot zadevo, ki je povezana z geopolitično situacijo in svetom, v katerem živimo.

Okrog hodimo z našimi karticami, telefoni, ki so postali del našega vsakdana. Sprašujemo se, ali bi morali storiti več za zavarovanje naših podatkov …

Božič: Ponavadi imamo mehanizme, ki se ukvarjajo z anomalijami. Denimo, odšla sva ven, da bi posnela fotografijo, tukaj pa sem pustil svoj plašč in denarnico. V kibernetskem jeziku bi rekli, da je bila denarnica ranljiva, saj bi nekdo lahko pršel in jo ukradel. V takšni situaciji in v tem mestu, se bo to težko zgodilo. Če bi jo recimo pustil na ulici, bi bilo verjetno drugače. Zavedaš se pričakovanj. Obstajajo kontekst in mehanizmi …

"Na začetku so bili čisto osnovni procesi in napadi, na katere smo se naučili odzivati. Bolj kot so napadi napredovali, bolj smo začeli komunicirati in deliti znanja, saj bi jih drugače veliko težje preprečili."
"Na začetku so bili čisto osnovni procesi in napadi, na katere smo se naučili odzivati. Bolj kot so napadi napredovali, bolj smo začeli komunicirati in deliti znanja, saj bi jih drugače veliko težje preprečili." FOTO: Dreamstime

Vendar se v tem primeru ne bi zanašali na slovensko policijo?

Ne, obvestil bi jih. Ampak to je situacija, v kateri imate mehanizme, s katerimi se lahko spopadate s kriminalnimi aktivnostmi. Te zadeve lahko raziščete in ugotovite, zakaj določen tip prevare cveti, denimo v Nigeriji, Gani in Slonokoščeni obali. Obstaja razlog, zakaj. Obstaja družbeni kontekst, ki to omogoča.

Franz: Če še odgovorim na vprašanje, na katerega nisem v popolnosti odgovorila, in sicer, kaj bi posameznik lahko storil, da se zavaruje. Popolna varnost seveda ni mogoča, lahko pa upravljamo s tveganji. To velja za posameznike kot tudi za organizacije. Lahko potrdim, da so se te zadeve v zadnjih desetih letih izboljšale. Ne samo zaradi regulacij, ampak tudi zaradi okolja, večjega števila uporabnikov interneta, povezanosti entitet in na žalost tudi zaradi nekaterih incidentov. Osredotočenje na kibernetsko varnost se je v številnih organizacijah povečalo.

Še zadnje vprašanje. Imamo zavarovanje za avto, zdravje … bi morali razmišljati o kibernetskem zavarovanju?

Franz: Obstajajo podjetja, prepričana sem, da tudi v drugih državah, ki ljudem dajejo možnost kibernetskega zavarovanja. Mislim, da gre za izziv glede uporabnosti tovrstnih zavarovanj. Gre za način, da se spodbudi predvsem podjetja, da naslovijo problem, vendar morda ne gre za pravilni odgovor na vse izzive, ki so pred nami.

Božič: Se strinjam. Odvisno je od zavarovalniških podjetij, da prepoznajo, ali se jim izplača omogočiti tovrstna zavarovanja in ali bo to rešilo nekatere težave. Vendar moje vprašanje bi bilo, omenili ste avtomobile. Preden avto spravite na cesto, mora it čez rigorozen proces, da se ugotovi, ali je v skladu z vsemi varnostnimi standardi. Tega trenutno nimamo za programsko opremo, ki jo uporabljamo vsakodnevno, in mislim, da bi morali prav tako razmišljati v tej smeri. Morda bi zadevo morali razdeliti v več sektorjev, denimo, če gre za opremo, ki vpliva na varnost vitalne infrastrukture, potem bi morali uvesti nadzor nad tovrstnimi produkti in predolgo smo se izogibali problemu regulacije proizvajanja programske opreme. Torej, ne potrebujemo le zavarovanj, ampak tudi regulacijo.

UI Vsebina ustvarjena brez generativne umetne inteligence.
  • praznicna
  • razvlazilec
  • kosilnica
  • orodje bosch
  • vrtna hisa
  • agregat
  • vegira
  • kovinski regal
  • ceplinik
  • radiator
  • lestev
  • cistilec
  • plastici regal
  • delovna miza
  • kovinska omara
  • kovcek

KOMENTARJI (12)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

Transformerji
18. 11. 2019 16.40
+1
A je to tudi kibernetski napad - nekatere novice na beli, druge pa na črni podlagi?
Ramzess
17. 11. 2019 12.57
+1
Če ste gledali film Mreža, potem veste česa je najbolj bati. Ker potem pristojnih in birokratov, ki verjamejo samo temu kar vidijo na monitorju, ne boste več prepričali v svoj prav.
BITINOVINAR
01. 04. 2021 11.51
Že davno smo priklopljenji na mrežo. Kar Matrica ni pokazala dovolj natančno je, da se nas večina zaveda odvisnosti od matrice, a smo še vedno tu.
Domendo
17. 11. 2019 11.21
-2
Zanima me ali Iranci vohunijo v Sloveniji oz. NLB ali niso dovolj kibernetski, da bi to ugotovili?
Uporabnik8879
17. 11. 2019 10.21
+3
Tu smo v primežu in ni izhoda. Brez inerneta ne moremo več funkcionirati, ne v poslovnem in ne v zasebnem lifu. Po drugi strani je pa prav vsaka poteza, ki jo naredimo sledljiva, shranjena in lahko za nekoga zanimiva. Prav nič na netu ni zastonj, pa čeprav je "kao" brezplačno. Kako se zaščititi, edino kar lahko narediš je, da prerežeš kabel. Antivirusni programi so za male hekerčke, tisti pravi, pa nas lahko sledijo in motijo, ne glede na to kako zaščito imamo. Največja napaka je, ko iz spletne knjižnice nalagamo aplikacije in pri tem odkljukamo vse, kar od nas ta zahteva, od tu dalje pa ni več povratka, pa četudi jo kasneje odstranimo z naprave. Iz zgodovine se nič ne naučmo, ko je Ainštajn pogruntal čarobno formulo, tudi slučajno ni pomislil, da se bo koristila tudi v slabe namene, pa se je, izdelali so atomsko bombo.
Janko Ig
17. 11. 2019 09.50
-2
A dejte no nakladate....:) , ko pa nam zatrjujejo, da bo avtonomna vožnja in omrežje G5 vse popedenal in bo oh in sploh.....:)
User1538643
17. 11. 2019 09.25
+2
Zanimiva jima je univerzalna poza. Če se prav spominjam, jo je prvi vpeljal računalniški strokovnjak Peter Norton na naslovnici ene svojih knjig.
Aleksander55
17. 11. 2019 08.48
-1
Preveč tehnologija, ubija folk k zombiji čez cesto, tok not u mobitelu se ne zaveda okolice 🙄 Pa slušalke še not 🙃
User1538643
17. 11. 2019 08.17
+6
"Vendar se v tem primeru ne bi zanašali na slovensko policijo? Ne, obvestil bi jih. Ampak to je situacija, v kateri imate mehanizme, s katerimi se lahko spopadate s kriminalnimi aktivnostmi." - Tranzicija oblasti na nadnacionalne in superpolitične, globalne strukture. Sovražnik je ustvarjen, hackerji in zločinci koncentrirani pretežno v, v članku omenjenih nedostopnih eksotičnih državah. Le te se ne tika, ker so nujno potreben element koncepta obrambe. Obramba od le teh, v tem vse bolj pretežno digitalno dominantem svetu, potrebuje globalno enoumje realizirano skozi Digitalno globalno diktaturo. NWO.
anakondabox
17. 11. 2019 08.04
+8
S kibernetsko tehnologijo je človek skopal grob do socialnih odnosov, medsebojne komunikacije, skupinskega prijateljevanja pa tudi do zasebnosti. Naslednje vojne ne bodo več s klasičnim orožjem, pač pa bodo to kibernetske vojne, kjer je sovražnik 'neviden' v 'ozadju'. Kakšni paradoksi , ko smo še pred pol stoletja mislili, da bo kibernetika s svetovno komunikacijo in (nad) številčno bazo podatkov odrešila svet. #drugače!
lumpimonster
17. 11. 2019 07.35
+2
Tarče smo lahko vsi praute hahahahahahaha k pa to na 24ur vids ti pa tut vse jasn
lumpimonster
17. 11. 2019 07.36
+1
Spet kopiraj/prilepi sploh neveste kaj pisete