Kaj je naloga vašega urada v State Departmentu: obramba, načrti ... ?
State Department je naš oddelek ustvaril pred osmimi leti, ker se je pokazala potreba po boljši mednarodni komunikaciji in sodelovanju med državami, tudi pri identificiranju potencialnih groženj. To je bil cilj strategije o kibernetskem prostoru, zato so na State Departmentu ustanovili Urad za koordinacijo kibernetskih zadev. Če primerjamo takratni čas z današnjim, vidimo, da so tudi druge države v zadnjih letih naredile podobne urade, ki so pomagali izboljšati komunikacijo, deljenje mnenj in praks, kar pa je bilo zelo koristno za vse.
Ti uradi pomagajo spreminjati in usmerjati tudi državne politike in zakonodajo in so v zadnjih letih začeli sodelovati vsaj tako dobro, kot so uradi za odziv na kibernetske incidente že leta. Napad ali incident, ki se zgodi, pogosto ni omejen samo na eno državo, zato lahko skoraj klišejsko rečemo, da je internet brez meja.
S katerimi državami pa najbolj sodelujete?
Pri sodelovanju moramo vedno razmisliti o tem, kakšen pogled imajo v državi glede načina, kako naj bi se država obnašala. V State Departmentu nam veliko pomenijo norme o odgovornem obnašanju države v kibernetskem prostoru ...
Kaj to pravzaprav pomeni?
Kaj se pričakuje in kaj se ne pričakuje od držav? Kako ustvarimo podoben pogled na odgovorno obnašanje države? To se počne z zunanje političnimi procesi in pogovori v realnem svetu, ki se nato pretvori v kibernetskega. Ti okvirji sodelovanja nam vzamejo veliko časa, so zelo podobni procesom Združenih narodov, kar se tiče načel in načinov sodelovanja, zato pogosto iščemo načine v mednarodno-pravnih okvirjih, da ne bi potrebovali novega mednarodnega dogovora.
Gre tudi za to, kako se mi obnašamo, in zavežemo se, da se nacionalni CERTI (nacionalni odzivni center za kibernetsko varnost) ne uporabljajo v slabe namene, ampak zgolj v dobre. Države ne smejo napadati kritične infrastrukture druge države in še podobne takšne dogovore. Prav tako se trudimo povezati in navezati dobre stike med državami in centri, ki bi izboljšali zaupanje med osebami, in bi s tem, upamo, zmanjšali možnost za konflikt ali pa stopnjevanje le-tega.
Pravite, da je internet brez meja, po drugi strani pa imamo točno določene države, ki so vpletene, kako potem k temu pristopite? Kako glede človekovih pravic, ki jih omenjate na spletni strani?
Zadeve, ki se tičejo kibernetske varnosti, sploh ker govorimo o internetu, ki je vsedostopen, nismo mogli reševati ne tehnično ne politično. Potreben je bil obširnejši pristop, ki bi zajel vse te možnosti, o katerih razmišljamo in vemo, da obstajajo. Kaj lahko rešimo glede mednarodne varnosti v okviru Združenih narodov, kibernetska varnost, ki jo moramo sami zagotoviti, torej, da zaščitimo naša kibernetska in druga omrežja. Ne smemo pozabiti na različne načine, kako se na internetu "vlada" in se ga nadzoruje, tu so seveda bolj v ospredju tehnična javnost in strokovnjaki.
Ko pridemo na temo svobode interneta, pa se dotaknemo človekovih pravic, saj velja pravilo, da so vaše pravice v državi enake pravicam na spletu. Gre za LGBT pravice, pravice do zasebnosti, pravice žensk, borbo proti spletnemu nadlegovanju itd., in vse to je za nas del tega obširnega pristopa.
Kdo pa je potem prvi pristopil k reševanju težav v kibernetskem prostoru – vojska ali uradi, kot so vaši?
Vojska je to počela že kar nekaj časa pred drugimi. Po napadih na dvojčka v New Yorku leta 2001 je nastal Urad za domovinsko varnost, ki je imel tudi oddelek za nacionalno kibernetsko varnost, in mislim, da si mi veliko "izposojamo" od vojske, predvsem kar se tiče pogledov na določene težave. Razlika je v tem, da če se vojska bolj osredotoča na vojaška omrežja, se mi bolj na civilna, a se oba pristopa pogosto srečata in prekrivata, zato pogosto prihaja do koordinacije procesov in odzivov.
Kako pomembni pa so vam partnerji v Evropi, Sloveniji?
Odgovor na vprašanje je jasen, absolutno so nam pomembni, ker smo zavezniki, partnerji na različnih nivojih zunanjih in varnostnih politik, prav tako na področju človekovih pravic, pravzaprav res sodelujemo na številnih ravneh. Zelo je bilo pomembno, ko sta tako Evropska unija kot Nato začela kibernetsko varnost v zadnjih letih jemati zelo resno. EU je zelo hitro sprejela osredotočenost na zadeve v kibernetskem prostoru, tako na ravni Komisije kot na Uradu za zunanje zadeve in varnostno politiko. Prav tako Nato s svojimi projekti glede usmeritve na kibernetsko varnost. Ravno direktor vašega nacionalnega odzivnega centra za kibernetsko varnost (SI-CERT) Gorazd Božič je primer takšnega pozitivnega sodelovanja in razvoja zmožnosti za obrambo pred kibernetskimi nevarnostmi. Če sem lahko malo klišejska, smo tako močni kot najšibkejši člen.
Kako uspešno pa je sodelovanje s Slovenijo?
Predlagam, da na to odgovori kar direktor?
Božič: To počnemo ves čas, tako na operativni ravni delimo informacije, ki so pomembne za odkrivanje težav. Potrebujemo delitev informacij, moramo graditi zaupanje med partnerji, preden bi lahko res začeli delati naše delo. Ravno zato smo se dobili te dni, kjer smo združili ekipe odzivnih centrov iz Zahodnega Balkana, območja, ki je dolgo časa bila siva cona glede nacionalnih odzivnih centrov. Tudi mi smo bili zelo aktivni pri mentoriranju ekip, institucij, ki sestavljajo CERT-e ali pa se ukvarjajo s kibernetsko varnostjo. Imamo različne mehanizme, kako lahko komuniciramo z ljudmi, recimo z ZDA, kako si delimo informacije in kako lahko zaščitimo prenos informacij in podatkov.
Vse to se je že začelo v devetdesetih letih. Spomnim se enega incidenta, ko je hekerjem uspelo vstopiti v enega od sistemov ameriške mornarice in se je nato odzvala Enota za informacijsko bojevanje. To je bilo leta 1997, ko je oddelek obstajal in so razmišljali o tem. Po pregledu so spoznali, da niso ukradli nič pomembnega, neke programe ali podatke za učenje tujih jezikov.
Na začetku so bili čisto osnovni procesi in napadi, na katere smo se naučili odzivati. Bolj kot so napadi napredovali, bolj smo začeli komunicirati in deliti znanja, saj bi jih drugače veliko težje preprečili.
Torej, ali v prihodnjih desetih letih vidite možnost, da bo kibernetska varnost tudi postala del oziroma domena nacionalne varnosti?
Franz: Menim, da je kibernetska varnost element nacionalne pa tudi ekonomske varnosti.
Božič: Zagotovo gre za element nacionalne varnosti. Če so denimo napadeni vladni sistemi ali pa ključna infrastruktura, potem je to zagotovo domena nacionalne varnosti.
Ima Slovenska vojska sposobnost obrambe proti kibernetskemu napadu?
Božič: Vojska ima te sposobnosti, hkrati pa jih tudi izboljšuje, vendar so omejene na vojaške operacije in vojaške sisteme, kar je v skladu z zakoni. Ni pa jim dovoljeno delovati na civilnem področju.
Torej, če bi nekdo napadel Eles, kdo potem posreduje?
Božič: Mi. Vitalni deli infrastrukture spadajo pod domeno ministrstva za obrambo, zadeve, ki se tičejo kibernetske varnosti, pa pripadajo nam. Zakon o informacijski varnosti navaja, da morajo incidente prijaviti nacionalnemu CERT, torej nam. Mi pa nato poročamo administraciji za informacijsko varnost – ta je telo, ki bo vmesnik z ostalimi institucijami. Govorim o vojski, policiji, obveščevalnih službah itd. Ob tem bi rad poudaril, da če nekdo vdre v vaš računalnik, to ni vprašanje nacionalne varnosti, vendar boste vseeno potrebovali pomoč. Rad bi poudaril, da gre za pomembne stvari, vendar ne smemo pozabiti, da obstajajo tudi majhna podjetja, ki potrebujejo pomoč, da se znova postavijo na noge, ko se denimo zgodi napad. Prav tako širša javnost in uporabniki potrebujejo pojasnila in usmeritve. Na to ne smemo pozabiti, ko govorimo o velikih temah, ko so sponzorirani napadi s strani držav …
V zadnjih petih letih je bilo med ljudmi veliko zaskrbljenosti na tem področju. Kako ljudem razložite, kako naj se pred napadi zaščitijo? V Sloveniji je bilo v zadnjem letu nekaj primerov, ko so ljudje nasedli lažnim sporočilom, v katerih so jih domnevni predstavniki podjetja prosili za več tisoč evrov nakazil.
Franz: Ozaveščenost uporabnikov je brez dvoma ključni del naših naporov. Pred leti smo ravno zaradi tega ustanovili partnerstvo, Nacionalno kibernetsko zavezništvo, ki je nastalo med oddelkom za nacionalno varnost in neprofitno organizacijo. Mesec oktober je mesec kibernetske varnosti v ZDA. V tem času smo se povezali z našimi partnerji s celega sveta, da povečamo ozaveščenost uporabnikov.
Vprašanje za oba. V zadnjih desetih letih verjetno vidimo veliko pozitivnih sprememb, ampak katere so bile negativne spremembe v kibernetskem prostoru, na področju kibernetske varnosti in politik? Kaj bi morali posamezniki in država storiti v zadnjih petih letih?
Franz: Izpostavila bi problem porasti sofisticiranosti in izbiranja žrtev za napade. To je tako ZDA kot druge partnerske države gnalo k temu, da javno pripišejo odgovornost za napade drugim državam. V primeru Severne Koreje lahko izpostavimo napad na Sony. Podjetje sicer ni spadalo pod vitalni del infrastrukture, ampak zaradi napada, ki nam ga je uspelo povezati z naročnikom, gre namreč za ogrožanje filmske industrije, kinodvoran pa tudi svobode izražanja, ki se udejanja skozi film. Gre torej za več povezanih dejavnikov, ki so vplivali na naš odziv. Kljub temu pa ne smemo spregledati dejstva, da sta internet in možnost tovrstne komunikacije družbi prinesla ogromno koristi. Pomembno je, da se zavedamo, da gre za stvari, ki so naredile veliko za napredek družbe in človeka ter ga opolnomočile.
Božič: Najprej moramo pogledati vse lekcije, ki smo jih izkusili v zadnjih desetih letih. Če pogledamo na kibernetsko varnost z višje perspektive, lahko vidimo, da so nekatere zadeve tehnične narave – kako so napadi postali bolj sofisticirani, kako opažamo, da znamo ponavljati napake, kako sile trga ženejo podjetja, da proizvajajo produkte, ki so slabo zavarovani. Trg namreč prisili podjetja, da ta zmanjšajo stroške, kar zna privesti do tega, da se oprema ne preizkuša, razvijalci so plačani vse manj. Obstaja pa tudi drug pogled … gre za zrcalo delovanja naše družbe in geopolitične situacije. Torej, ko govorimo o globalnih stvareh, se sprašujemo, ali je danes mogoče doseči globalno kibernetsko varnost. Verjetno ne, a bi k temu morali stremeti. Vse težave pa niso le tehnične narave. Morda se dogaja kibernetska različica hladne vojne, sicer še z nekaterimi drugimi akterji. To, torej, moramo tudi obravnavati kot zadevo, ki je povezana z geopolitično situacijo in svetom, v katerem živimo.
Okrog hodimo z našimi karticami, telefoni, ki so postali del našega vsakdana. Sprašujemo se, ali bi morali storiti več za zavarovanje naših podatkov …
Božič: Ponavadi imamo mehanizme, ki se ukvarjajo z anomalijami. Denimo, odšla sva ven, da bi posnela fotografijo, tukaj pa sem pustil svoj plašč in denarnico. V kibernetskem jeziku bi rekli, da je bila denarnica ranljiva, saj bi nekdo lahko pršel in jo ukradel. V takšni situaciji in v tem mestu, se bo to težko zgodilo. Če bi jo recimo pustil na ulici, bi bilo verjetno drugače. Zavedaš se pričakovanj. Obstajajo kontekst in mehanizmi …
Vendar se v tem primeru ne bi zanašali na slovensko policijo?
Ne, obvestil bi jih. Ampak to je situacija, v kateri imate mehanizme, s katerimi se lahko spopadate s kriminalnimi aktivnostmi. Te zadeve lahko raziščete in ugotovite, zakaj določen tip prevare cveti, denimo v Nigeriji, Gani in Slonokoščeni obali. Obstaja razlog, zakaj. Obstaja družbeni kontekst, ki to omogoča.
Franz: Če še odgovorim na vprašanje, na katerega nisem v popolnosti odgovorila, in sicer, kaj bi posameznik lahko storil, da se zavaruje. Popolna varnost seveda ni mogoča, lahko pa upravljamo s tveganji. To velja za posameznike kot tudi za organizacije. Lahko potrdim, da so se te zadeve v zadnjih desetih letih izboljšale. Ne samo zaradi regulacij, ampak tudi zaradi okolja, večjega števila uporabnikov interneta, povezanosti entitet in na žalost tudi zaradi nekaterih incidentov. Osredotočenje na kibernetsko varnost se je v številnih organizacijah povečalo.
Še zadnje vprašanje. Imamo zavarovanje za avto, zdravje … bi morali razmišljati o kibernetskem zavarovanju?
Franz: Obstajajo podjetja, prepričana sem, da tudi v drugih državah, ki ljudem dajejo možnost kibernetskega zavarovanja. Mislim, da gre za izziv glede uporabnosti tovrstnih zavarovanj. Gre za način, da se spodbudi predvsem podjetja, da naslovijo problem, vendar morda ne gre za pravilni odgovor na vse izzive, ki so pred nami.
Božič: Se strinjam. Odvisno je od zavarovalniških podjetij, da prepoznajo, ali se jim izplača omogočiti tovrstna zavarovanja in ali bo to rešilo nekatere težave. Vendar moje vprašanje bi bilo, omenili ste avtomobile. Preden avto spravite na cesto, mora it čez rigorozen proces, da se ugotovi, ali je v skladu z vsemi varnostnimi standardi. Tega trenutno nimamo za programsko opremo, ki jo uporabljamo vsakodnevno, in mislim, da bi morali prav tako razmišljati v tej smeri. Morda bi zadevo morali razdeliti v več sektorjev, denimo, če gre za opremo, ki vpliva na varnost vitalne infrastrukture, potem bi morali uvesti nadzor nad tovrstnimi produkti in predolgo smo se izogibali problemu regulacije proizvajanja programske opreme. Torej, ne potrebujemo le zavarovanj, ampak tudi regulacijo.
KOMENTARJI (12)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.