Intervju Gorazd Božič, Si-CERT: Ljudje s(m)o temelj varnosti

Objavljeno: 11.6.2019 | Avtor: Miran Varga | Kategorija: Na zvezi | Revija: Posebna 2019

Z Gorazdom Božičem, direktorjem slovenskega centra za posredovanje pri omrežnih incidentih SI-CERT, ki deluje v okviru javnega zavoda Arnes, smo se pogovarjali o kondiciji kibernetske varnosti v državi.

Ves svet govori o hekerjih. So res tako zlobni, kot mnogi menijo?

Ne, hekerji sami po sebi niso zlobni. Heker je oznaka za posameznika s specifičnim znanjem in z željo po globljem raziskovanju rešitev ter sistemov. Išče namreč načine, kako naprave ali sisteme izkoristiti za doseganje rezultatov ali drugačno delovanje, tako, ki v osnovi ni bilo zamišljeno. Skratka, želijo prelisičiti sistem, da bi deloval drugače, kot je bil zasnovam. Delovanje hekerja je lahko zabava, učenje ali pa slab cilj, tudi protizakonito dejanje. Pojem heker je bil pred 20 leti sinonim za mozoljastega fanta starega med 15 in 23 leti, ki je užival v računalništvu in se ni kaj prida družil z vrstniki. To je bil stereotip, ki je temeljil na lastnostih najbolj znanih hekerjev tistega časa. Danes je heker večplastna oznaka. Lahko gre za etično osebo ali pa kriminalca, nekoga, ki svoje znanje uporablja za protipravno doseganje finančne koristi.

Kaj pa etični hekerji? Oni so »dobri fantje«. Kako velik je razkorak med enimi in drugimi?

Težko je dati splošen odgovor, saj je na delu več dejavnikov, veliko je odvisno od posameznika in njegovih nazorov. Priročnik o etičnih hekerjih ne obstaja. Različni ljudje se danes opredeljujejo kot etični hekerji. Hkrati si zelo različno predstavljajo meje, do katerih lahko gredo. Tako kot etos tudi te meje niso točno določene. Etični hekerji naj bi skrbeli za odgovorno razkrivanje ranljivosti, a lahko kaj hitro storijo kak korak preveč. Nekateri imajo jasne omejitve, spet drugi so v svojem raziskovanju bolj prožni. Toda prožnost je problematična, saj se lahko hitro znajdejo v območju, kjer bodo preganjani. Stvar je podobna analogiji iz potapljaštva – če gre potapljač pregloboko in to prepozno ugotovi, ima težave.

Etični hekerji nam mahajo z različnimi certifikati. Kako zanesljivi so?

Certifikat še ne naredi etičnega hekerja. Odvisno, na kakšni osnovi je podeljen. Nekateri certifikati se sčasoma uveljavijo, drugi nikoli. Le čas bo pokazal, kateri so pravi. Kdor najema etičnega hekerja, mora poleg njegovih certifikatov preveriti predvsem reference in kompetence.

Toda tisti, ki najemajo etične hekerje, navadno nimajo teh kompetenc, da bi znali (raz)soditi.

Drži. Zato pa naj poiščejo strokovnjaka, ki bo to oceno opravil zanje. Podobno kot v podjetjih, kjer nimajo lastnega IT-oddelka – najamejo zunanjega IT-izvajalca na osnovi dokazljivih rezultatov.

Česa bi se morala slovenska podjetja najbolj bati in zakaj? To verjetno niso hekerji?

Podjetja bi se morala najbolj bati scenarija, po katerem bodo ranljivost prepoznala, ko bo že prepozno. Šele takrat se bodo zavedela, da bi morala vlagati v sposoben kader. Ta je namreč osnova informacijske varnosti. Podjetja preprosto potrebujejo ljudi, ki so ustrezno usposobljeni in spremljajo dogajanje v svetu varnosti. Taka oseba (ena ali več) je lahko zaposlena v podjetju ali pa je zunanji sodelavec. Brez tega pa letijo v megli in upajo, da bodo dosegli cilj. Nekateri se, žal, tudi zaletijo. Opažam, da veliko podjetij, sploh manjših, že na kader s področja IT gleda kot na strošek, ki je morebiti nepotreben. In ga želi minimizirati. Na področju kibernetske varnosti je še slabše. Podjetja si ne predstavljajo, zakaj bi potrebovala nekoga za kibernetsko varnost.

Danes med napadalci niso le posamezniki in kriminalne združbe – napadajo celo države oziroma njihovi hekerji. Obstaja sploh obramba pred napadalci, ki jih sponzorirajo države?

Seveda obstaja. Ta je lahko uspešna, a odvisno od tega, kako je zastavljena. Treba je imeti vizijo in načrt. Začne se pri osnovnem dejstvu, da sama preventiva ni dovolj – vedno lahko pride do napadov in vdorov v sisteme državne infrastrukture. Rešitev je mehanizem odzivanja na napade. To je prava preventiva. Obrambni zid je sicer dobrodošel, a organizacije potrebujejo mehanizme, s katerimi omejijo škodo ob napadu oziroma odstranijo posledice vdora in storilce iz sistemov.

Ti napadi so zapleteni, uporablja se skrbno načrtovana škodljiva koda, trojanci, virusi, spletna napajališča ... Napadalci najprej vdrejo v strežnike, ki jih obiskujejo državni uporabniki, in podtaknejo zlonamerno kodo. Njena analiza zahteva določena znanja. Za obrambo so potrebni čas in sposobni ljudje, predvsem ti. Nič ne pomaga nakup bleščečih škatel, če jih ne zna nihče uporabiti. Ljudje so temelj varnosti. Oni vedo, kako sistem deluje in kako ga zavarovati.

Pa je Slovenija pogosto tarča takih napadov?

Toliko kot druge države. Čeprav smo majhni, nismo nezanimivi. Četudi ne izdelujemo letal, smo še vedno zanimivi, saj smo člani EU in Nata. Če smo mi šibki člen, predstavljamo nevarnost tudi za ostale države članice, zato ne smemo dovoliti, da bi bili odskočna deska do zanimivejših sistemov. Vpeti smo v evropska omrežja, kjer poteka izmenjava občutljivih podatkov in dokumentov. Tudi vemo, kdaj smo tarča napadov. SI-CERT je v preteklosti obravnaval različne napade na državni ravni. Bojim se, da se bo kmalu ponovil scenarij iz leta 2009, ko smo predsedovali Evropski uniji. To čast bomo znova imeli v 2021, zato pričakujem, da bomo takrat še večja tarča kot sicer in da bo število državnih napadov zelo poraslo.

Sloveniji že sicer primanjkuje kompetentnega kadra, na tem seznamu so tudi varnostni inženirji. Za kakšen primanjkljaj gre in kako ga zmanjšati oziroma odpraviti?

Ni natančnih raziskav o tovrstnih potrebah industrije in javnega sektorja. Empirično pa je očitno, da tovrstnega kadra primanjkuje. Težava je že v tem, da se varnostni strokovnjaki enačijo z informatiki, toda menjava tonerja in papirja v tiskalniku ni enaka reverznemu inženiringu virusa. To zahteva izkušenega strokovnjaka. Kibernetska varnost je specializacija, kjer štejejo izkušnje. Te dobiš z leti dela. Analiza virusa zahteva izkušnje – preizkus na različnih vzorcih, da vidiš, kaj ti orodje omogoča, in da znaš dobiti rezultate. Vsekakor je del težave dejstvo, da imamo premalo specializiranih študijskih programov, kibernetsko varnost je dolgo zanemarjala tudi država pa tudi zasebni sektor v preteklosti ni čutil potrebe po tovrstnem kadru. V situaciji, ko večina podjetij na varnost gleda kot na strošek, je povpraševanja zato manj, manj je tudi naravnega razvoja.

Kaj pa SI-CERT lahko stori na tem področju?

SI-CERT si prizadeva ohranjati visoko raven varnosti, kolikor ga v svoji omejeni vlogi lahko. Naša skrb je predaja znanja. Za kibernetsko varnost usposabljamo vojsko, vladni CERT, sodelujemo z upravo za jedrsko varnost, bančnim sektorjem … A smo le kamenček v velikem mozaiku.

Kaj lahko na področju izobraževanja kadra s področja informacijske varnosti naredijo domače fakultete?

Vsekakor več, kot trenutno počno. Znanje v Sloveniji obstaja, tudi denar. Neka varnostna raven v izobraževalnih ustanovah je vzpostavljena, čeprav le osnovna. Jaz in moji kolegi redno predavamo na fakultetah po državi in študente učimo o našem delu, tehničnih značilnostih in izkušnjah, bi pa slovenske izobraževalne ustanove na področju kibernetske varnosti potrebovale dodaten pospešek.

Naj ustrezen kader vzgajajo kar podjetja sama? Marsikatero namreč to danes že počne.

To počno predvsem tista podjetja, ki se z informacijsko varnostjo že sicer ukvarjajo. Ta vzgajajo kader podobno kot mi – ob pomoči tečajev v tujini in prek internih mentorstev. Ker pač ni na voljo nič drugega.

Kako pa bi zajezili odtekanje možganov, med katerim je vedno več informatikov in varnostnih strokovnjakov, v tujino?

Težavo vidim v rigidnosti sistema, v tem, da je zelo težko pokazati na krivca. Slika se zamegli, zato se ne gradi na preventivi. Je pa tudi res, da je Slovenija dovolj stabilno okolje, zato velikega bega možganov čez noč ne pričakujem.

So varnostni strokovnjaki pri nas cenjeni in dobro plačani?

Varnostni strokovnjaki so sicer cenjeni, a niso ustrezno plačani.

Zanimiv trend predstavljajo varnostno-operativni centri, ki jih je tudi v Sloveniji vedno več. Kakšna je njihova vloga?

Njihova vloga je skrb za kibernetsko varnost. V preteklosti smo varnostno-operativne centre (VOC) našli predvsem v velikih podjetjih in sistemih, npr. operaterjih, kjer so skrbeli za zaščito in odzivanje na varnostne dogodke. VOC pa vse bolj postaja tudi storitev, ki jo specializirani ponudniki nudijo drugim podjetjem.

Pa VOC v praksi deluje?

Ne vemo še. Nismo še na točki, da bi lahko rekli da ali ne. Ideja je smiselna, trg bo pa pokazal, ali bodo VOC zaživeli.

Bomo kdaj priče panožnim VOC?

Ti so na ravni ideje. Gre za teoretični pristop. Vprašal bi se, ali so sploh potrebni. Je pri omrežnem napadu sploh pomembna panoga? Značilnosti napada so enake ne glede na to, ali napadalec pridobi dostop do sistemov v banki ali elektrarni. Mar rabimo panožne gasilce?

Storitev VOC si vendarle ne more privoščiti vsako podjetje. Kaj naj storijo manjša podjetja, da varnostno letvico dvignejo više?

Predvsem to, da se pozanimajo o najpogostejših tveganjih pri delovanju na spletu in osnovnih zaščitnih ukrepih. Program SI-CERT Varni na internetu prav malim podjetjem daje jasne in enostavne napotke, kako zmanjšati tveganja. Podjetja osveščamo o aktualnih nevarnostih, saj na podlagi prijav, ki jih prejemamo, vemo, da so trenutno v porastu direktorske prevare, vrivanje v poslovno komunikacijo itd.

Pa vaše napotke upoštevajo?

Kakor katero. Težava je v tem, da dostikrat nimamo sogovornika na drugi strani. Večina podjetij se svojih napak in slabih praks sploh ne zaveda. A sem optimist – osnova varnostna higiena vendarle ni zapletena.

Za kakšne slabe prakse gre?

Za takšne, da podjetju sošolec direktorjevega sina postavi spletno stran. To, posebej pa spletno trgovino, je treba dati v izdelavo podjetju, ki se s tem ukvarja. Tudi skladišče podjetju postavi gradbeno podjetje in ne sinov prijatelj, ki študira arhitekturo. Veliko slabih praks je tudi na področju varnostnih kopij. Tudi tisti, ki jih izdelujejo, pogosto nimajo ustreznega scenarija varovanja pred požarom poslovnega prostora ali pa napada z izsiljevalskim virusom.

Kako te izzive odpraviti?

Zgolj z izobraževanjem zaposlenih. Ti se morajo zavedati, da ne smejo kar povprek klikati priponk v elektronski pošti, računovodkinja mora vedeti, da se ne sme slepo odzvati na e-pošto z zahtevkom po nakazilu večjega zneska itd.

Kdo in kako naj skrbi za informacijsko varnost v podjetju?

Direktor za informacijsko varnost, t. i. CISO. Žal ga premorejo samo velika podjetja, zato skrb za informacijsko varnost pogosto pade na šefa informatike.

Na področju varnosti se veliko govori o tehnologijah s področja umetne inteligence. Kakšen je njihov domet, kako lahko izboljšajo informacijsko varnost?

Za zdaj veliko poslušamo in beremo o tem, konkretnih rezultatov pa je precej manj. Marsikaj se v svetu varnosti prodaja kot umetna inteligenca. Paziti moramo, ali gre samo za marketinški prijem ali pa se za varnostno rešitvijo skriva res inovativen mehanizem. Ob lastnih pogovorih s strokovnjaki za umetno inteligenco še nisem zaznal resnično učinkovite rešitve. Skoraj vsi ponudniki varnostnih rešitev obljubljajo, da bodo njihove rešitve prepoznale nove grožnje, še preden bi se te realizirale. Menim, da je to velika puhlica. Dokazov še ni. Menim, da je za zdaj umetna inteligenca precej bolj učinkovita na drugih področjih kot pa pri zagotavljanju kibernetske varnosti.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki