U posljednjem nastavku ovogodišnjeg serijala „Jesmo li sigurni da smo sigurni?“, na pitanja urednika Alena Ostojića, na Silvestrovo 2023., odgovarao je gospodin Alen Delić, ekspert za informacijsku sigurnost, ujedno zamjenik predsjednika Hrvatske udruge menadžera sigurnosti (HUMS).
U televizijskoj seriji The Americans, postoji scena konferencije o sigurnosti u kojoj ruski špijuni otimaju inženjera Lockheed Martina nakon čega ga ucjenjuju da nabavi rezultate osjetljivih tehnoloških istraživanja. Iako je malo vjerojatno da će većina sigurnosnih ili visokotehnoloških stručnjaka biti oteta, ljudi su općenito otvoreniji kada su vani, putuju i sudjeluju na konferencijama u usporedbi s njihovim uobičajenim rutinama, što ta okruženja čini plodnim tlom za ciljanje pojedinaca. Jesu li sigurnosni stručnjaci na svojim konferencijama svjesni psiholoških tehnika koje napadači mogu koristiti za izvlačenje povjerljivih informacija?
Vjerujem da su osobe koje se profesionalno bave sigurnošću svjesne rizika vezanih uz njihov rad, uključujući ranjivosti koje netko može iskoristiti protiv nas samih. Međutim, činjenica jest i da struka međusobno razmjenjuje informacije kako bismo svi zajedno nešto naučili ili koristili u poslu. U tome, dakle, trebamo pronalaziti balans i prije svega znati procijeniti kada, s kime i na koji način razmjenjujemo informacije i koje informacije trebamo i smijemo razmijeniti. Pitam se, doduše, zašto je baš ovo prvo pitanje u našem razgovoru, no možda je bolje da ne znam.
Svjesni smo napada putem zlonamjernog softvera u e-pošti ili pokušaja krađe identiteta s naših mobilnih uređaja, ali jesmo li svjesni da se pokušaji hakiranja mogu dogoditi licem u lice, i to kada ih najmanje očekujemo?
Vezano za ozbiljne napade, sofisticirane ili one koji uključuju industrijsku špijunažu, smatram da je svijest o takvim rizicima niska, posebice među visokopozicioniranim osobama ili onima koji posjeduju izuzetno osjetljive poslovne informacije. Nedostatak pažnje može biti posebno izražen u neformalnim okruženjima, poput večera, konferencijskih druženja ili čak na sportskim događanjima, gdje se granice između osobnog i profesionalnog lako zamagle. Ljudi često zaboravljaju da su i tim trenucima meta potencijalnih napadača koji mogu koristiti tehnike da iskoriste njihovu opuštenost i izvuku njima potrebne informacije.
Zanimljivo je i da nam nedostaje znanstvenih istraživanja povezanih s ovim aspektima života, a jedan od osnovnih izazova je što je teško mjeriti koliko i na koji način ljudi dijele osjetljive informacije jer je zapravo percepcija ljudi što su osjetljive informacije pod iznimnim utjecajem različitih aspekata života, pa čak i kulture. Dakle, uz sve definicije i pravno reguliranje terminologije, percepcija ljudi što su to osjetljive informacije i koje su zapravo reperkusije dijeljenja istih, iznimno je različita od osobe do osobe.
Kevin Mitnick je rekao kako je lakše nekoga prevariti služeći se socijalnim inženjeringom nego probiti njegov informacijski sustav! Ljudi su previše usredotočeni na tehnologiju kao rješenje za sprječavanje ovih upada u podatke, bez obzira na činjenicu da više od 90 posto uspješnih upada u podatke počinje nekim oblikom društvenog inženjeringa ili onoga što neki stručnjaci nazivaju „ljudskim hakiranjem?“
Ključan element koji možda ignoriramo jest da počinje čovjekom, no ne završava nužno njime. Čak štoviše, sofisticirani napadi odvijaju se upravo na drugim dijelovima sustava. Dakle, trebamo nastaviti ulaganjima u tehnologije i razvijanju obrambenih mehanizama na tom segmentu. Međutim, trebamo i pronalaziti nova rješenja za sustavne edukacije i mehanizme koji uče ljude njihovoj ulozi i odgovornosti unutar sigurnosti. Ono što nam potencijalno nedostaje jest interdisciplinarnost, što se unutar korporacija odnosi i na povećanje suradnje između odjela kad je u pitanju sigurnost.
Napadači da ne kažem špijuni, koriste društvene medije kao polazište za prikupljanje pozadinskih informacija i izradu profila svoje mete koji uključuje strategiju o tome kako najbolje pristupiti toj meti. Jesmo li svjesni informacija koje dijelimo na društvenim mrežama?
Većina korisnika društvenih mreža nije u potpunosti svjesna opsega informacija koje dijele i kako te informacije mogu biti iskorištene. Međutim, čini mi se da je nemali broj ljudi svjestan da postoje rizici, no u potpunosti se time ne opterećuju. Važno je poticati obrazovanje i svijest o privatnosti na društvenim mrežama i općenitu u digitalnom prostoru, kao i razvijati alate i politike koje pomažu korisnicima da bolje kontroliraju koje informacije dijele i s kime.
Moram iskoristiti priliku i naglasiti važnost edukacije mladih. Smatram mantru kako mladi bolje koriste tehnologije od starijih i zaključak da time i bolje brinu o svojoj privatnosti i sigurnosti iznimno krivom i lošom općenitom za društvo.
Ovisnici smo o „pametnim“ telefonima. Čini mi se da ne možemo živjeti bez pametnog telefona ali kažu da vlastiti pametni telefon ne bismo smjeli posuđivati jer instaliranje zlonamjernog softvera na uređaj može potrajati samo nekoliko sekundi. Možemo li biti pametniji od svog pametnog telefona?
Ne trebamo stvarati paranoju, trebamo naprosto biti svjesni rizika i provoditi dobre sigurnosne prakse, kako u poslovnom, tako i u privatnom životu.
Krađe poslovnih tajni podsjećaju nas da je korporativna špijunaža ozbiljna prijetnja. G4S britanska multinacionalna kompanija za pružanje sigurnosnih usluga procjenjuje da je trošak korporativne špijunaže čak 1,1 trilijuna dolara godišnje. Primjerice, navodi se da Njemačka godišnje gubi 50 milijardi eura zbog korporativne špijunaže, a gotovo 70.000 radnih mjesta u Njemačkoj izravno je ugroženo poslovnom odnosno industrijskom špijunažom. Nacionalni protuobavještajni i sigurnosni centar SAD-a ističe da je godišnji trošak samo kineske poslovne špijunaže SAD-u oko 600 milijardi dolara. Studija Instituta za kazneno pravo i kriminologiju Sveučilišta u Bernu iz 2020. godine kaže da je jedna trećina ispitanih švicarskih tvrtki izjavila d asu barem jednom bile žrtve industrijske špijunaže. Kako možemo zaštititi tvrtku od poslovne špijunaže?
Za razliku od onih općenitih tema i zaštita krajnjih korisnika, važnost korporativne sigurnosti ili sigurnosti općenito pokazuje se i kroz ove statistike koje si iznio. Ovdje je prije svega odgovor da je za obranu od ovakvih vrsta napada potreban sustavan i sveobuhvatan pristup temi – i to doista mislim iako zvuči kao općeniti klišej i odgovor koji se može dati na gotovo svako pitanje vezano za sigurnost.
Korporativna špijunaža doista jest složena prijetnja s potencijalnim ozbiljnim ekonomskim posljedicama i zato je obrana višeslojna i složena. Ona podrazumijeva i ono o čemu smo prethodno razgovarali – implementaciju naprednih sigurnosnih IT rješenja i sustava za otkrivanje napada, edukaciju zaposlenika i osposobljavanje istih kako bi mogli razumjeti svoju ulogu i prepoznati napade, fizičku zaštitu u onom klasičnom poimanju radi sprječavanja pristupa trećih neovlaštenih strana osjetljivim prostorima, no i pravne mjere poput zaštite intelektualnog vlasništva.
Iz te cjelokupne palete mehanizama moram naglasiti temu o kojoj smo pričali prošle godine, a koja još uvijek nije osviještena, a to su unutarnje prijetnje. Nužno je da pratimo različite indikatore, poput indikatora štetnog ponašanja, o čemu često govori kolega Josip Pavliček.
Eksperti korporativne sigurnosti ističu da kontrašpijunaža počinje od čistačice i ide do predsjednika Uprave?
Svaka osoba unutar poslovnog sustava ima svoju ulogu, pa samim time na sebe veže i određene rizike. Potpuno je jasno, dakle, da i u napadu i u obrani moraju biti fokus, samo je pitanje na koji način s obzirom na to koja znanja posjeduju te kojim informacijama imaju pristup.
Na opatijskim Hrvatskim danima sigurnosti 2023., moderirao si iznimno zanimljiv panel „Na kome je red da plati kaznu?“. Čak sedam panelista, stručnjaka za informacijsku i kibernetičku sigurnost, bilo je suglasno – korisnici ostaju i dalje najslabija karika u informacijskoj i kibernetičkoj sigurnosti!?
Slažem se s tim jednoglasnim zaključnom panelista, no još jednom bih naglasio da to ne znači da su ostali mehanizmi gdje čovjek nije u fokusu nebitni. Čak štoviše, puno se brže razvija tehnološki aspekt i aktivnosti koje nam omogućuju pronalaženje ranjivosti na svim aspektima sustava od računala i aplikacije do mreže, aktivnosti koje nam omogućuju kvalitetan nadzor prometa i anomalija na sustavima ili aktivnosti koje nam omogućuju mehanizme poput enkripcije ne smijemo ignorirati – one nam moraju biti jednako važne i u njih moramo kontinuirano investirati.
Ističeš kako još uvijek ne postoji dovoljna razina svijesti o opasnostima kibernetičkih napada i potrebi da se zaštiti od njih. Kako to objašnjavaš?
Ne mogu sa sigurnošću reći zašto je tome tamo. Objašnjenja mogu proizlaziti iz toga da nemamo dovoljno edukacije što ne utječe dovoljno na percepciju važnosti sigurnosti kod upravljačkih razina, da su prijetnje i incidenti još uvijek u tuđem dvorištu, a ne našem ili pak da još uvijek nismo imali dovoljno velikih napada i šteta da se svijest podigne na dovoljnu razinu. Imamo i onaj aspekt da percipiramo da nas štiti netko drugi, kao i to da odgovorne osobe u poslovnim okolinama ne mogu percipirati tehnološke rizike zbog nedostatka stručnog znanja.
Upravo sam nedavno bio na jednoj konferenciji gdje se prezentiralo i raspravljalo o tome kako bi svaka korporacija nužno trebala unutar uprave imati osobu koja dolazi iz sigurnosti. Osobno ne znam primjer u Hrvatskoj gdje je to slučaj, za razliku od Europe.
O higijeni ruku učili smo još o vrtiću, je li vrijeme da u vrtiću učimo i o kibernetičkoj higijeni?
Da. Uvjeren sam da je u današnjem, tako zvanom digitalnom svijetu, to naprosto nužnost i to u okviru općenitog korištenja tehnologija i načina obrade informacija. Djeca se sve ranije susreću s tehnologijom, pa je ključno da se od najranije dobi upoznaju s konceptima kao što su zaštita privatnosti, sigurno korištenje interneta i osnovna pravila digitalne sigurnosti. Ovo nije samo pitanje zaštite njihovih osobnih podataka, već i razvoj svijesti o digitalnoj etici i odgovornom ponašanju na internetu.
Razgovarao: Alen Ostojić Foto: HUMS/ Davor Denkovski
Objavljeni sadržaj serijala Jesmo li sigurni da smo sigurni?, sufinanciran je sredstvima Fonda za poticanje pluralizma i raznovrsnosti elektroničkih medija.