Posvet Inštituta Naprej o kibernetski varnosti
Naraščajoče grožnje kibernetskih napadov: Kako lahko en klik ogrozi vse
Na posvetu, ki ga je sredi oktobra organiziral Inštitut Naprej, so strokovnjaki opozorili na naraščajoče grožnje kibernetskih napadov, ki ogrožajo tako poslovni kot osebni svet ter predstavljajo resno tveganje za državo. V času, ko je bila večina tehnologije še analogne, je bil klik na računalniški miški samo nedolžen stik s takrat povsem nevsiljivim digitalnim svetom, danes pa lahko en sam klik povzroči neslutene posledice za uporabnika.
Dr. Urban Sedlar s Fakultete za elektrotehniko Univerze v Ljubljani, ki je vodil pogovor, je v uvodu predstavil vpogled v to, kaj se dogaja na internetu v vsakem trenutku. Med povabljenimi razpravljalci so bili Gorazd Božič, vodja Nacionalnega odzivnega centra za kibernetsko varnost SI-CERT, Marjan Kavčič iz Urada vlade za informacijsko varnost, Gregor Spagnolo, etični heker, in Damjan Matičič iz podjetja Koofr.
Dr. Sedlar je opozoril, da kibernetska varnost postaja vse bolj pereč izziv v današnjem digitaliziranem svetu. Razgrnil je tri ključne dimenzije kibernetske varnosti: zaupnost, kar pomeni, kdo lahko vidi določene informacije; celovitost, ki se nanaša na to, kdo lahko spreminja podatke; in razpoložljivost, ki se osredotoča na to, ali so podatki dostopni, ko jih potrebujemo.
Gorazd Božič: “Pripravlja se regulacija računalniške industrije, ki bo od programerjev zahtevala, da se bodo morali ustrezno legitimirati, če bodo hoteli razvijati softver.”
Digitalna zoologija hroščev in trojanskih konjev
Temna plat digitalizacije je, da ustvarja vse več občutljivih podatkov in programske opreme, ki se zbirajo v informacijskih sistemih. Še večjo nevarnost predstavljajo mobilni telefoni, ki jih dr. Sedlar opisuje kot “največje bot omrežje na svetu”, saj preko njih upravljamo z našim domačim in delovnim okoljem ter z vsemi segmenti družbe, od transporta do zdravstva.
Internet, ki povezuje vse te digitalne ‘mehanizacije’, se opira na več desetletij stare protokole. Dr. Sedlar je obseg problema ilustriral s primerjavo: “Leta 2011 smo merili, koliko neželenih obiskov imamo na naših straneh. Trend je pokazal 160 obiskov, danes pa jih je že 7000 na dan. Če je v sistemu luknja, jo bo ob takšni gneči nekdo našel.”
Poleg tega je opozoril na kompleksnost sodobnega programske opreme, ki vsebuje milijone vrstic kode. “Windows ima 100 milijonov vrstic kode, Office 100 milijonov, brskalnik Google 20 milijonov, novi avto pa ima približno 150 milijonov vrstic kode. V povprečju pa je na vsakih 150 vrstic računalniške kode 10 hroščev,” je dodal.
Dr. Sedlar je izpostavil tudi, da so danes amaterji tisti, ki hekirajo sisteme, medtem ko profesionalci napadajo ljudi. “Smo dovzetni za prevare, ker smo leni in nočemo dolgih gesel,” je opozoril. Normalizacija deviantnosti se kaže v vsakodnevnem kršenju pravil, ki je ravno tako tvegano kot je v materialnem svetu prečkanje ceste pri rdeči luči.
V razpravi o umetni inteligenci (UI) je dr. Sedlar izpostavil, kako lahko je ponareditislike, glasove in videoposnetke, kar predstavlja dodatno grožnjo. “Facebook celo promovira programe za ustvarjanje deep fake vsebin,” je dodal.
Gorazd Božič je povedal, da pri Sicertu zaznavajo, da se v večini primerov goljufij povečuje delež človeških napadov, medtem ko se delež tehničnih napadov zmanjšuje. “V resnici smo čedalje bolj preplavljeni z goljufijami, ki so sicer računalniške, a se zgodijo, ker človek nasede človeku. Digitalizacija sili ljudi v ekosistem, ki je zelo ranljiv,” je dejal.
Opozoril je tudi na ranljivosti v bančnih sistemih, ki jih goljufi izkoriščajo.Naši sistemi so ranljivi že samo zato, ker opozoril, ki jih pošiljamo, uporabniki bodisi ne prejmejo, ker je obvestil preveč, strokovnjakov za računalniško varnost pa premalo, ali ne razumejo, ker gre za drugačnega poklicnega profila, ali takšna sporočila prejemajo v skupinske predale.
Zakonodaja in regulacija
„Gre za dirko v kateri mi ne moremo zmagati, saj se plaz digitalizacije nezadržno veča. Nekaj upanja nam zbuja priprava zakonske regulative računalniške industrije. Dokler ta ni regulirana, lahko vsakdo brez dokazil o usposobljenosti programira, postavi program splet in z njim trži. Z regulacijo pa se bodo morali programerji ustrezno legitimirati, če bodo hoteli razvijati softver,“ je še dodal Božič.
Gregor Spagnolo je komentiral ranljivost knjižnic, kot je Lock4j, in opozoril, da so ranljivosti aplikacij, ki uporabljajo takšne knjižnice del problema varnosti. “Vendar pa ranljivosti pri bančnih aplikacijah pogosto nastanejo zaradi napak, ki jih naredimo sami,” je dodal.
Na posvetu so se dotaknili tudi vprašanja zakonodaje in regulacije v kibernetski varnosti. Marjan Kavčič je opozoril, da 90 odstotkov vseh družb predstavljajo mala podjetja, ki bodo potrebovala pomoč pri razvoju varnostnih programov. “Z razvojem zmogljivosti in izobraževanjem mladih lahko izboljšamo stanje v EU, kjer danes primanjkuje že več kot 400 tisoč strokovnjakov s tega področja ,” je dodal.
Gesla naprodaj
Damjan Matičič je izpostavil, da so se načini napadov na uporabnike spremenili, močno so usmerjeni na kripto valute in shrambe v oblaku, kar danes množično, takorekoč institucionalno počnejo celo nekatere države. “V zadnjih dneh smo bili priča napadom, ki so bili izvedeni s strani več stotisoč kompromitiranih domačih naslovov uporabnikov enega od italijanskih telekomov,” je opozoril.
Ob tem je poudaril, da se varnostni mehanizmi pred napadi ne sprožijo takoj, ampak šele po nekaj že uspešnih poskusih, ko sistem prepozna, da gre za napad in ga začne zavračati. Tudi sam napad se je lahko začel že veliko pred dejanskim udarom, to je v tistem trenutku, ko je uporabnik namestil neko aplikacijo, sprožil pa se je več mesecev zatem.
Ranljivost pred napadi je še toliko večja tudi zato, ker je mogoče na spletu za majhen denar kupiti sezname z stotinami milijonov imen in pripadajočih gesel. V samo eni uri lahko heker s pomočjo takšnega seznama preizkusi pol milijona kombinacij na katerem koli strežniku. Hekanje je danes gospodarska panoga, ki jo ponekod na vzhodu celo ščitijo oblasti, in ne več igra golobradih gikov, ki se želijo dokazati.
Na koncu so strokovnjaki poudarili, da je nujno potrebno izobraževanje o kibernetski varnosti že v najmlajših letih. “Otroci se morajo naučiti, da kar vidijo na internetu, ni samoumevno,” je zaključil Gregor Spagnolo.
Avtor: Brane Maselj
Inštitut NAPREJ d.o.o.
Stegne 23a
1000 Ljubljana
T: +386 (0) 30 484 488
Registration number: 9509283000
Tax number: 23813806
We are not liable for VAT.
TRR: SI56 6000 0000 1309 765, odprt pri Hranilnici LON
