Strokovni prispevki ter praktične analize sodobnih trendov na področju kibernetske varnosti so na minuli konferenci Cyber Security: Prihodnost v kodah kibernetskega sveta v ljubljanskem hotelu Grand Plaza združili gospodarstvenike, akademike in vladne predstavnike. Dvanajst izkušenih in strokovno podkovanih govorcev in govork je ob priložnosti večkrat združila ista miselnost: kibernetska varnost danes ni več zgolj vprašanje tehnoloških zmogljivosti, pač pa zadeva poslovno strategijo podjetij in nenazadnje nacionalno varnost. Usposobljenih kadrov na tem področju je občutno premalo, čarobne paličice, s katero bi bilo mogoče dokončno opraviti s kibernetskimi napadi, pa nikoli ne bo.
Hladna vojna na spletu
Absolutne varnosti v kibernetskem prostoru ni, vedno smo nekako izpostavljeni in ranljivi – to je glavna lekcija delovanja v tem svetu številnih antagonizmov, je na prvem panelu Hladna vojna na spletu: Analiza napadov, reakcij in zaščite v dobi kibernetske varnosti uvodoma povedal dr. Uroš Svete, direktor Urada Vlade RS za informacijsko varnost. Meni, da smo v Sloveniji dolgo živeli v prepričanju, da smo neke vrste oaza miru. V kibernetskem prostoru pa je treba ločevati med dvema vrstama napadov, fokusiranimi in nefokusiranimi, poudarja. Za nefokusirane napade velja, da postaneš njihova tarča po naključju, kot žrtev avtomatiziranih napadalskih sistemov, ki so uspeli detektirati tvojo točko ranljivosti. V zadnjih dveh letih, ob burnem svetovnem geopolitičnem dogajanju, pa so v Sloveniji vse pogostejši fokusirani napadi, k čemur prispeva naša vpetost v več medržavnih zavezništev. Če kot država stremimo k informacijski digitaliziranosti velikih sistemov in vpetosti v kibernetsko okolje, je to treba upoštevati pri načrtovanju nacionalne varnostne politike, debato načne sogovornik.
Približno 30-odstotni letni porast števila kibernetskih napadov beležijo pri Telekomu Slovenije. Dve leti nazaj so na podlagi dotedanjih izkušenj in znanja na tem področju, zbranega za lastne potrebe, ustanovili Center kibernetske varnosti in odpornosti, ki danes sodi med največje ponudnike komercialnih storitev tega tipa v jugovzhodni Evropi in skrbi za vsak varnostni vidik IKT-tehnologije ter zagotavlja najvišjo stopnjo kibernetske zaščite 24/7. Strokovnjaki uporabljajo najmodernejša orodja, vključno z umetno inteligenco, pri čemer ta v določenih delih opravi več kot polovico analiz, namenjenih sanaciji varnostnih lukenj. »Danes je izjemno pomembno biti hiter, povezovati različne vire, treba pa je tudi vedeti, da ključne analize opravljajo strokovnjaki. Teh je v našem podjetju več kot sto – v tem smislu se mi zdi, da smo eno večjih in bolje pripravljenih podjetij. Absolutno pa je treba sistem, orodja in znanje prilagajati, saj so grožnje vsak dan kompleksnejše, tudi vse več jih je,« je povedala Vesna Prodnik, članica uprave Telekoma Slovenije, odgovorna za tehnologijo. V podjetju se zavedajo, da je kibernetska varnost eden izmed kritičnih elementov odpornosti družbe prihodnosti, kar se odraža tudi v njihovi novi poslovni strategiji. Dalibor Vukovič, specialist za kibernetsko varnost pri Telekomu Slovenije in etični heker, je ob priložnosti skupaj s sodelavcem Žanom Urbančičem občinstvu na intriganten način prikazal kibernetski napad v živo.
Za tradicionalno gledano najbolj varovan sektor velja bančni. »Tisto, kar je v bančnem sektorju lahko zelo naporno, so regulativa in regulatorji, po drugi strani pa je to tudi dobro, ko govorimo o kibernetski varnosti. Regulativa, specifično bančna, je na tem področju banke že leta nazaj prislila, da so razvile svoje interne strukture in postopke, verjetno precej bolj sofisticirane od večine v gospodarstvu. Hkrati smo podvrženi strogim nadzorom s strani regulatorjev. Ta formalni pritisk je pripeljal k temu, da so banke, po mojem mnenju, odpornejše na tovrstne grožnje,« je komentiral Rok Praprotnik, direktor skladnosti poslovanja in krepitve integritete pri NLB, d. d. Med drugim je postregel z naslednjimi podatki: na evropski ravni so v lanskem letu banke skupaj zabeležile 6 % incidentov, javni sektor 19 %, v 11 % kibernetskih napadov pa so bile tarče posamezne osebe. Zadnji podatek priča o ranljivosti posameznikov in je posebej zaskrbljujoč. Praprotnik je omenil znano metodo ribarjenja, s katero se danes pogosto srečujemo. Nova ljubljanska banka je v zadnjih letih prav zato izdatno investirala v osveščanje svojih strank o spletnih zlorabah – zaposleni s pomočjo zunanjih partnerjev proaktivno zaznavajo napade in razvijajo inteligenco, ki lahko detektira potencialno kaznivo zlorabo uporabnikovih identifikacijskih faktorjev. Slišali smo tudi o uspešnem primeru preprečevanja ribarjenja: Ko so v podjetju testirali za svoje potrebe posebej razvito inteligenco za pravočasno zaznavanje pripravljajočih se napadov, so po mesecu njene uporabe zabeležili skorajda 80-odstotni upad lažnih strani, na katerih so se napadalci predstavljali z njihovim logotipom. Namreč, takoj, ko so tako stran zaznali, so jo prijavili in sprožili njeno odstranitev. Storilci so bili torej do neke mere odvrnjeni od investicij v postavitev take strani, saj so ugotovili, da je tarča postala težja in da se jim napad preprosto ne izplača.
Da so izrednega pomena vlaganja v kadrovsko opolnomočenje na področju kibernetske varnosti, temu so pritrdili vsi sogovorniki. Mag. Gorazd Ažman, zadolžen za področje za informatiko in telekomunikacije v podjetju Eles, d. o. o., je poudaril nujnost zavedanja vsakršnega vodstva o pomenu vlaganja v kibernetsko odpornost: »Imam privilegij, da delam v podjetju, v katerem vodstvo razume, zakaj vlagamo sredstva.« Podjetje je tesno povezano z vključenimi v združenje evropskih operaterjev, saj da je nujno upoštevati stanje v elektroomrežjih sosednjih držav, združevanje strokovnjakov je neizogibno zaradi prepotrebne izmenjave informacij, je še pojasnil sogovornik. V ta namen omenjena mreža pripravlja posebne interne kodekse delovanja, ki pogosto pridejo še pred regulativo in zahtevajo prilagoditve vključenih.
Gregor Spagnolo – lastnik podjetja SSRD, d. o. o, podpredsednik sekcije za kibernetsko varnost pri Združenju za informatiko in telekomunikacije ter tehnični vodja slovenske ekipe na tekmovanju Natovega centra odličnosti za kibernetsko obrambo Locked Shields 2021 – je k vsemu omenjenemu dodal, da moramo kot družba stopiti korak nazaj in se zavedati, da je kibernetska varnost del splošne varnosti. »Naloga države je, da zaščiti državljane pred njihovo lastno neumnostjo, to je nacionalna varnost. Da lahko država prek lastnega aparata zavaruje državljane,« je prepričan dr. Svete. Vsaka kampanija ozaveščanja je izjemnega pomena, vendar ob dejstvu, da »vse več kritičnih napadov temelji na umetnointeligenčnih jezikovnih modelih, ki so bistveno bolj slovnično podkovani od nas tukaj sedečih, ne gre pričakovati, da bomo zgolj z ozaveščanjem končnih uporabnikov dosegli cilj. [...] Tako da je treba razmišljati, kako vzpostaviti kibernetski ekosistem tudi zakonsko«. Na ta način bi se zmanjšal pritisk na končne uporabnike, ki so izrazito na udaru. »Danes je ribarjenje, jutri bo nekaj drugega,« še komentira Spagnolo.
Poleg nujnosti splošnega dviga varnostne kulture je dr. Svete izpostavil odgovornost proizvajalcev tako programske kot strojne opreme. Situacijo je vzporejal s primerom iz avtomobilske industrije – ko v neki tovarni na določeni seriji avtomobilov niso delovale zavore, so padale tožbe in visoke odškodnine. »Koliko tožb je bilo sproženih proti proizvajalcem, ki imajo zelo očitne varnostne pomanjkljivosti? Tega mi sploh ne jemljemo kot problem, pač pa kot neke vrste normalno stanje razvoja programske opreme.« S tem, da bi morali ponudniki produktov že poskrbeti za kibernetsko varnost, se je strinjal tudi Spagnolo in dodal, da to pomeni, da bi bilo s tega vidika poskrbljeno tudi za podjetja, ki si dodatnih storitev varovanja preprosto ne morejo privoščiti. Pri Telekomu Slovenije so razvili več produktov, ki to že upoštevajo, doda Prodnikova. Danes še vedno ni lahko prepričati podjetja, da investirajo v kibernetsko varnost. To pa vse dokler so prepričana, da tako rekoč ni možnosti, da bi bila napadena. Ko pa pride do napada, se vrnejo po pomoč, je pojasnila. Podjetja se morajo torej zavedati, da so ali med »tistimi, ki so že bila napadena, ali med tistimi, ki so bila, pa tega še ne vedo«. Zloraba je le še vprašanje časa. »Naše kapacitete so zelo velike, praktično težko sledimo povpraševanju, ki ga imamo na tem področju. [...] Mislim, da je pomembno tudi, da se menedžerji zavedajo nevarnosti, da spodbujajo, da se v njihovih podjetjih implementira najvišji nivo varnosti. Direktiva bo podjetja tudi prisilila v to,« je zaključila Prodnikova.
Daniel Fazlić, moderator debate in odgovorni urednik regionalnega digitalnega uredništva Bloomberg Adria, je sogovornikom na koncu zastavil vprašanje, ali je dobro, da se kaznuje nekoga, ki je doživel napad in tega ni prijavil. Dr. Svete je odgovor povzel z angleško frazo sharing is caring. Podjetja se kljub velikim razsežnostim napada ne odločijo za prijavo, velikokrat zaradi skrbi za ugled, situacijo pa rešujejo sama: »Potrebna pa je obratna logika – to, da zaznaš, prijaviš incident, je tvoja zrelost, to ni tvoja pomanjkljivost,« misel zaključi direktor Urada Vlade RS za informacijsko varnost.
Od tehničnega vprašanja do vprašanja poslovnega tveganja in nacionalne varnosti
Ko je ameriški profesor Kevin R. Powers pred desetimi leti na bostonskem kolidžu ustanavljal magistrski program »Politika in upravljanje kibernetske varnosti«, so bili pristojni za obdelovanje informacij nadzornim organom primorani poročati o napadu v največ devetdesetih dneh po incidentu. Danes ne štejejo dnevi, temveč ure. Regulacija področja kibernetske varnosti se je po mnenju Powersa v zadnjih letih izboljšala, prelomno za ZDA pa da je bilo leto 2017, ko je oddelek za finančne storitve v New Yorku sprejel predpis o kibernetski varnosti (Cybersecurity Requirements For Financial Services Companies), s katerim so dejanski zalet dobile smernice kibernetske varnosti Nacionalnega urada za standarde in tehnologijo (NIST), nastale pod Obamovo administracijo in osredotočene na kritično infrastrukturo. Priprava teh smernic je pred desetletjem združila vladne predstavnike, znanstvenike in gospodarstvenike, da bi ti skupaj lahko preučili najboljše prakse.
O napredku ameriške regulative na področju kibernetske varnosti priča primer aplikacije Drizly, ki strankam na dom dostavlja alkoholne pijače. Zvezna komisija za trgovino (FTC) je ukrepala tako proti podjetju kot tudi njenemu izvršnemu direktorju Jamesu Coryju Rellasu zaradi varnostnih napak, ki so izpostavile podatke 2,5 milijona potrošnikov. Powers meni, da je bila v konkretnem primeru, pri naloženi kazni, ključna odgovornost, ki jo danes nosi direktor osebno. Če ta zapusti podjetje, ga zaveze, ki mu jih je naložila FTC, spremljajo naprej, na naslednjem vodstvenem položaju. Ta ukrep je del prizadevanj FTC za zagotovitev varnosti podatkov potrošnikov, saj da se na ta način neprevidno vodstvo nekega podjetja uči iz že storjenih napak pri upravljanju s podatki. »V Združenih državah Amerike je bilo prepoznano, da kibernetska varnost ni tehnično vprašanje, temveč vprašanje upravljanja poslovnih tveganj, ki ga je treba voditi od zgoraj navzdol,« je še dodal Powers in se v pogovoru z Danielom Fazlićem dotaknil več konkretnih zapletov, povezanih s kibernetsko varnostjo.
Med drugim sta se spomnila napada z izsiljevalsko programsko opremo februarja lani na kalifornijsko mesto Oakland. Mestne oblasti svojim prebivalcem več tednov niso mogle zagotoviti osnovnih omrežnih storitev. Bile so brez načrta ukrepanja in ker niso plačale odkupnine, ukradenih podatkov niso dobile nazaj. »Kdor misli, da je kibernetska varnost zgolj poslovno vprašanje – to je vprašanje nacionalne varnosti. Igra se je spremenila. Včasih je bil to boj vohuna proti vohunu. Vedel si, v kaj se spuščaš.« To premeno v zavedanju razsežnosti problema pa je v ZDA, tako Powers, med drugimi pospešila zlasti Kitajska. Ministrstvo za pravosodje ZDA je javnost seznanilo z obtožbo, v kateri je navedeno, da kar 97 % napadov na intelektualno lastnino ali podjetja prihaja s Kitajske. Ta prek svojih pooblaščencev cilja na zahodne korporacije. Podjetje U. S. Steel, eno največjih ameriških podjetij, je v tem smislu odličen primer – proizvajalec jekla trdi, da so hekerji kitajske vlade ukradli načrte za razvoj nove, lažje vrste jekla. Kitajci so to intelektualno lastnino ukradli in nato trg v Kanadi in Združenih državah Amerike preplavili z novim jeklom, je še dodal Powers.
Poudaril je tudi velik pomen usposabljanja in izobraževanja na področju kibernetske varnosti, tako zaposlenih v podjetjih kot tudi mladih, novih kadrov, ki jih ta trenutek izdatno primanjkuje: »Trenutno je na trgu premalo strokovnjakov. Mislim, da govorimo o štirih milijonih praznih delovnih mest, ki jih po svetu ta trenutek ne moremo zapolniti.« Ne gre pa le za pomanjkanje kadra, pač pa tudi zavesti o potrebi po nenehnem izpopolnjevanju. V nedavno objavljeni študiji standfordske univerze so raziskovalci ugotovili, da je 80 % kršitev varnosti podatkov posledica človeških napak. Te niso bile povzročene zlonamerno, pač pa je do njih prišlo zaradi malomarnosti. Pristop k usposabljanju kadrov mora biti oseben, je še poudaril Powers.
Kompleks Supermana
Po podatkih družbe Allianz bodo napadi z izsiljevalsko programsko opremo do leta 2031 žrtvam povzročili 265 milijard dolarjev škode. S tem podatkom je postregla Iva Lačan, moderatorka zadnjega panela Varnost na spletnih platformah: Orodja, izzivi in ozaveščenost.
Varnosti ni nikoli dovolj, je najprej poudaril Marko Zavadlav, ki ima več kot 25 let izkušenj na področju kibernetske varnosti in deluje kot višji svetovalec v podjetju PRO.astec – potrebno je nenehno usposabljanje primernih kadrov in testiranje orodij, pa zopet nadgrajevanje znanja in testiranje, pa seveda ozaveščanje. Varnost ni nekakšen končni produkt, pač pa nenehen proces, je k temu dodal dr. Miloš Jovanović, direktor podjetja OpenLink Group.
Simon Taylor, izvršni direktor in ustanovitelj podjetja za zaščito podatkov HYCU, je prepričan, da je nujno razumevanje tega, kje se naši podatki nahajajo, na tej podlagi pa je treba zagotoviti, da je vsak element teh podatkov varnostno kopiran in da ga lahko v primeru napada obnovimo. Pristop k vsem tem vprašanjem pa mora biti širši, opozarja dr. Jovanović. Ko razmišljamo o kibernetski varnosti, gre vedno tudi za nacionalno varnost, nenazadnje tehnološko suverenost, dodaja: »Moramo razumeti, da brez lastne strojne in programske opreme ter celotnega ekosistema ne moremo biti neodvisna država. Ne moremo ohraniti svoje nacionalne varnosti.«
Besede je stekla tudi o večplastnosti stroškov napada, ki jih nosi oškodovano podjetje. Dr. Jovanović meni, da je največji strošek za večino podjetij strošek ugleda. »Dejanski strošek napada z izsiljevalsko programsko opremo je izostanek v delovanju. To je čas, ko vaše podjetje dejansko ne posluje,« pa je prepričan Taylor, navedel je primer podjetja MGM Studios – ob napadu z izsiljevalsko programsko opremo je moralo to plačati 20 milijonov dolarjev, veliko večja škoda pa je nastopila zaradi izpada delovanja v naslednjih treh tednih, kar je podjetje stalo več kot 2,5 milijarde dolarjev. »Ključno je zavarovanje, da se lahko podjetje čim hitreje postavi nazaj na noge,« je še opomnil in dodal: »Iskreno povedano, nikoli ne bi investiral v podjetje, ki nima zavarovane kibernetske zaščite.«
Tisti s slabimi nameni nikoli ne pridejo skozi glavna vrata, saj so ta običajno dobro zavarovana, pač pa gredo skozi zadnji vhod, je povedal mag. Peter Filip Jakopič, direktor Službe za zavarovanje premoženja in premoženjskih interesov pri Zavarovalnici Triglav, d. d. Ta je bila prva v regiji, ki je ponudila zavarovanja za primer kibernetskega napada: »Potrebna je odločitev, kako se želite zaščititi in koliko ste pripravljeni plačati za fazo po tem, ko do nečesa pride. In to je seveda odvisno od tega, v kateri panogi delujete, koliko osebnih podatkov obdelujete, kakšen je vaš poslovni model, ali usposabljate svoje zaposlene in podobnega. [...] Zavarovanje krije to, kar se je zgodilo vašim poslovnim partnerjem, in škodo, ki je povzročena vašemu podjetju. Verjamemo, da je zavarovanje tisti del te zgodbe, ki ima največjo dodano vrednost, saj smo prepričani, da je ključno pri zmanjšanju izgube, ki se pojavi pozneje.«
Trg kibernetske varnosti bo po nekaterih ocenah do leta 2030 vreden več kot 500 milijard dolarjev. Do takrat bodo napadi vse pogostejši. Pa so podjetja res pripravljena na to? Problem je finančni, v veliki meri pa tudi kadrovski, odgovarja Jovanović: »Banka vam bo ponudila plačo v višini 5.000 ali 10.000 evrov na mesec. Vaša država pa vam bo plačala, če se odločite za delo za vlado, 1.000 evrov na mesec. Torej gre za denar. Če pa govorimo o poslovnem okolju, menim, da potrebujemo okvir za mala in srednja podjetja. V mislih imam osnovno zaščito podatkovne infrastrukture in tako naprej. [...] Hočem reči, da je naloga vlade, da oblikuje okvire in predlaga javnosti, zlasti pa poslovnemu okolju, kaj je treba storiti. Pri tem vedno rad navedem primer iz Združenega kraljestva, saj imajo tam zelo dober nacionalni center za kibernetsko varnost. To je res dobra ustanova, saj vsak dan javnosti, zlasti pa podjetjem, posredujejo informacije o tveganjih. To je tisto, kar potrebujemo tukaj na Balkanu, torej organizirano okolje.«
Taylor je poudaril tudi nenehno potrebo po napredku in sodelovanju: »Mislim, da je v svetu kibernetske varnosti prisoten kompleks Supermana, saj želimo verjeti, da lahko ustavimo vsak napad. Želimo verjeti, da bomo z nakupom enega čarobnega orodja rešili vse težave. A to preprosto ni res. Verjamem, da ne bo nikoli obstajala programska oprema, ki bo odporna na to, da napadalci z izsiljevalsko programsko opremo ne bodo ugotovili, kako jo obiti. Napadalcev je preveč. [...] Danes ste od Kevina Powersa slišali nekaj o njegovi poti. Menim, da mu je v ZDA uspelo nekaj, kar bi lahko posnemali na Balkanu ali v Srednji Evropi, in to je zamisel o povezovanju, v njegovem primeru FBI-ja in Boston Collegea. Vzpostavila sta skupni program kibernetske varnosti, ki je združil vse najboljše prakse vlade ter tajnih in varnostnih služb z zasebno industrijo. To je vrsta odnosa, za katero si moramo prizadevati. Najti moramo načine, kako izkoristiti vse strokovno znanje in talente v naših državah, da podpremo podjetja, od katerih smo odvisni in ki poganjajo naše gospodarstvo.«
Ne le plače, tudi načini usposabljanja so velik problem, so opozorili sogovorniki. Zavadlav: »Mladi verjetno sploh ne vedo, kaj je in da obstaja program kibernetske varnosti. To je ena stvar, ki bi se je morali lotiti, a verjetno že pred 30 leti. Ker tudi če se tega lotimo zdaj, bo trajalo, recimo, 10, 15 let, da vse vzpostavimo tako, kot je treba. [...] In, kot je dejal gospod Taylor, ni čarobnega orodja, ki bi lahko vse preprečilo. Ni orodja, ki bi ga lahko samo namestili in pustili tam, kajne? Za njim morajo stati ljudje. Zagotoviti morate ljudi, ki bodo to orodje uporabljali, ga posodabljali, skrbeli, da bo delovalo popolnoma brezhibno.«
Pogovor so sklenili premisleki o prihodnosti uporabe umetne inteligence: »Kaj predvidevam, da se bo zgodilo v naslednjih petih ali desetih letih, celo v naslednjih dveh ali treh letih? Sedeli boste tam in poklical vas bo vaš šef, vaš nadrejeni. Zvenel bo kot vaš šef. O vas bo vedel vse. In po telefonu vas bo preprosto vprašal: 'Ali mi lahko, prosim, samo poveste to geslo? Potrebujem ga, sem zaklenjen, delate zame, dajte mi te informacije.' In to bo glas, ki ga bo v celoti ustvarila umetna inteligenca z uporabo tehnologije za pridobivanje podatkov z umetno inteligenco, ki bo omogočila, da bo ta glas posredoval informacije tako, da boste prepričani, da je na drugi strani dejansko vaš nadrejeni. Prav ta raven kompleksnosti in prefinjenosti ustvarja ogromno tveganje za našo celotno človeško civilizacijo. Po mojem mnenju moramo zavzeti veliko bolj programski in vladni pristop k zakonodajnemu urejanju skladnosti področja kibernetske varnosti.«
Če poizkusimo za konec strniti misel, ki je bila ves čas nekako prisotna in morda lahko obvelja za eno glavnih sporočil konference Cyber Security: Prihodnost v kodah kibernetskega sveta: Kibernetska varnost se danes ne konča in začne pri tehnologiji, pač pa pri poslovni strategiji podjetja, nacionalni strategiji na tem področju in človeški iznajdljivosti.
Konferenco so podprli Telekom Slovenije, d. d., HYCU, NLB, d. d., Zavarovalnica Triglav, d. d., Eles, d. o. o., Actual I. T. Group, PRO.astec, d. o. o. in Grand hotel Plaza.