Je kibernetska varnost v času koronavirusa in podnebnih sprememb res nekaj, čemur je treba posvetiti pozornost, ali gre samo za zadevo, ki prizadene redke in na splošno ne vpliva na ljudi?
Število kibernetskih napadov se je glede na leto 2019 povečalo za dobrih 60 odstotkov, kar lahko pripišemo dvema dejavnikoma: eden je pandemija kovida-19, ki je izrazito pospešila proces digitalizacije, torej uvajanje raznih digitalnih tehnologij v vsakdanje življenje, drugi dejavnik, ki je posledica prvega, pa je oddaljeno delo. S tem ko povečujemo obseg oddaljenega dela, uporabljamo ter uvajamo čedalje več digitalnih tehnologij, orodij in storitev, o katerih smo v resnici nepodučeni in jih ne znamo pravilno (varno) uporabljati. To je približno tako, kot če bi nekdo povsem nepoučen odšel v gozd podirat drevo. Verjetnost, da se mu kaj zgodi ali da pri tem poškoduje surovino, torej deblo, je zelo velika. S tem želim povedati, da je največje varnostno tveganje uporabnik sam, predvsem zato, ker nima ustreznih digitalnih veščin, razumevanja digitalizacije, zlasti pa zato, ker je kibernetska varnost zelo neoprijemljiva in se je ponavadi ne zavedamo, dokler ni prepozno.
Pa jo je mogoče primerjati s kako nevarnostjo, ki jo poznamo in se je zavedamo?
Kibernetsko varnost pogosto na konceptualni ravni lahko primerjamo s požarno varnostjo. Obe sta ključni za človeka, obe povzročita ogromno škodo, pri obeh je treba veliko delati za preventivo. Ena je pri tem zelo oprijemljiva – smrdi, te duši, opeče, druga pa neoprijemljiva in se po navadi zgodi z zamikom, posledice občutimo pozneje. In tako kot pred ognjem tudi pred vdori ni varen nihče. Niti tisti, za katere bi dali roko v ogenj, da so. Ampak videli smo že požare gasilskih domov in bili priča, ko so hekerji vdrli v sisteme Microsofta, Yahooja, Facebooka, Alibabe, Googla, ipd. in kompromitirali njihove sisteme v določenem obdobju. Res pa je, da za tovrstne dogodke nismo izvedeli takoj. Korporativno komuniciranje je o tem začelo obveščati z zamikom. Dejansko poročilo, kaj je bilo v napadu ogroženo, kateri podatki so iztekli, kakšna poslovna škoda je bila narejena, je prišla še mnogo kasneje. Torej mi na tej točki sploh ne znamo oceniti, kakšno škodo je kibernetski napad naredil in kaj se zgodi po njem. In to je največji problem.
Ampak ubraniti se pa znamo, mar ne?
Ne. Sploh ne. Moje mnenje je, da stoodstotne varnosti ne v fizičnem ne v digitalnem svetu ni. Tako kot ne moremo zagotovo vedeti, da smo varni pred požarom, tudi ne moremo zagotoviti, da bomo varni pred kibernetskimi kriminalci. Lahko pa naredimo ogromno za preventivo, ob kateri je pomemben in potreben še ustrezen krizni menedžment, ko pride do kibernetske anomalije oziroma napada.
Slovenija je pred časom intenzivno začela delati za digitalizacijo. Ali bi bilo treba sočasno poskrbeti tudi za digitalno opismenjevanje, izobraževanje ljudi, če so, kot pravite, posamezniki, ki uporabljajo nove tehnologije, tudi največje varnostno tveganje?
Absolutno! Digitalizacija ni tehnični izziv. Tehnologija obstaja že 20, 30 let. Slovenski elektro elektrodistributerji je od 80. let preizkušajo oblačno tehnologijo (cloud computing technology). Digitalizacija je družbeni problem, gre za spremembo miselnosti. To pomeni, da gre prav za to, kar ste omenili, torej opismenjevanje, učenje digitalnih veščin, kritičnega razmišljanja v digitalnem svetu. Kibernetska varnost je po mnenju mnogih imunski sistem digitalne družbe. V kolikor je kibernetska varnost pomanjkljiva in če je varnostna kultura uporabnikov nizka, bo to logično vodilo v spiralo, ki se bo vila navzdol. Če dodamo, da je v Sloveniji bolj kot v drugih državah EU pomanjkanje sistemskega pristopa h kibernetski varnosti, da je hkrati premalo denarja in specifičnih strokovnjakov, vidimo, da smo v nehvaležni situaciji, ko moramo veliko nadoknaditi. Res pa je, da nas v smislu geopolitike rešuje dejstvo, da smo majhni, dokaj nepomembni in nezanimivi. Ampak dolgoročno tako ne bo šlo. Poglejva primer: če bi želeli v digitalni ekonomiji poslovati z nemškimi podjetji, bodo oni najprej pogledali, ali ima vaše podjetje standard ISO 27001 s področja informacijske varnosti. Nemci namreč poslujejo s podjetji, ki imajo ta standard, s katerim zagotavljajo, da so digitalno varni.
Zakaj?
Ker je nemško gospodarstvo veliko in imaš pri njih kaj vzeti ali narediti veliko škodo. To kaže tudi na filter, da je gospodarski in /ali politični pomen države tisti, ki bo nagovarjal, koliko bo neka država zanimiva za državne ali nedržavne kibernetske kriminalce.
Katera so najpogostejša kriminalna dela kibernetskih kriminalcev, ki vdirajo v sisteme podjetij oziroma posameznikov?
Gre za tri vrste kriminalnih dejanj. Prvo je lažno predstavljanje (fishing), s tem se soočajo tudi naši državljani, drugi so izsiljevalski virusi – velja poudariti primer nemškega podjetja Palfinger, vdrli so v njihov sistem, ga zaklenili ter izsiljevali podjetje za odkupnino, pri čemer so morali posledično ostati doma tudi slovenski delavci. Posledice kibernetskih napadov na multinacionalke so lahko globalne. Odmeval je tudi napad z virusom wannacry na angleški zdravstveni sistem leta 2017. Tretja vrsta napadov pa so DDOS-napadi, ki so postali pogosti pri javnih ponudnikih storitev. Pri njih pa zato, ker gre za onemogočanje delovanja storitev, a javni sektor načeloma ponuja največ različnih storitev in je najbolj tehnološko zastarel.
Koliko pa z napredkom tehnologij postajajo naprednejši tudi kriminalci na spletu.
Uh, zelo. Saj vidimo, v kakšne sisteme so hekerji že vdrli v tujini. Kriminalci bodo vedno korak pred državnimi akterji, ker imajo manj omejitev.
Koliko teh hekerjev ali skupin, ki vdrejo, dejansko najdejo, ulovijo?
Zelo zelo malo, ker je v digitalnem svetu enostavno zakriti sledi. Ker je preprosto uporabiti proxyje in druge pristope, s katerimi zakriješ, od kod prihajaš, ker je kriptiranje že prisotno, med drugim tudi zaradi decentraliziranih kriptomenjalnih sredstev. Zato, ker je narava digitalne tehnologije takšna, da omogoča (in onemogoča) anonimnost in zasebnost. Če sva lahko midva zasebna, potem je lahko tudi heker. V ZDA vsake toliko odmeva novica, da jim je uspelo odkriti in ujeti kibernetske kriminalce z uporabo tehnologije kriptiranja. Res je, da se večina takih primerov zgodi zaradi »šlamparije« s strani teh kibernetskih kriminalcev. Ta primer kaže, da se postavljajo celovite strategije identifikacije, pregona in kaznovanja zlonamernih kibernetskih akterjev.
Tudi to je razlog, da se moramo sami zaščiti, ker tistega, ki bo odgovoren za škodo po vdoru, skoraj gotovo ne bodo našli, da bi odgovarjal ali povrnil škodo. Pa še to, kaj bo, če je heker tujec, recimo iz Severne Koreje. Tudi če ga dobijo, kaj pa mu bodo!?! Mislite, da ga bodo izročili našim organom pregona? (smeh). Čeprav hekerji dejansko niso največja skrb. Mene najbolj skrbi, da bo prišel kak kibernetski virus, ki se bo obnašal kot fizični virus. Ki bo imitiral lastnosti fizičnega virusa. Virus, ki se bo sposoben prilagajati, se učiti in mutirati. Če se nam to zgodi, bomo hitro na točki, ko bo treba v trenutku odpravljati posledice napada in hkrati ukrepati preventivno, ker se bomo bojevali z neke vrste inteligenco na nasprotni strani, ki bo pravzaprav neznana. Poleg tega je treba povedati, da je reprodukcijski faktor, kot ga poznamo pri virusih (število R, na osnovi katerega vemo, kako se virus širi, o. p.), nekaj tisočkrat večji kot v fizičnem svetu. Če danes tak virus okuži moj računalnik, je zelo realno, da je lahko jutri sistem v državi okužen, v enem tednu v Evropi, v mesecu dni (ali veliko prej) pa je virus po vsem svetu. Zato je to področje, ki je velik izziv, je pa odvisno od tega, koliko bodo ljudje to sprejeli.
Brezžično omrežje bržčas pripomore k hitrejšemu širjenju kakega virusa?
Ja. Vi ga lahko recimo dobite na svoj telefon zdajle, če ga imam jaz na svojem telefonu in če se poveževa. Ali pa če se povežete na naš wi-fi tukaj in imamo virus na njem, ga tudi lahko dobite. Sicer ni tako preprosto, a veste, kaj mislim. Statistično gledano je točk, kjer ste lahko kompromitirani, veliko več v kibernetskem svetu kot pa v fizičnem. Žal v digitalnem svetu zelo težko uvedemo ukrepe izolacije, karantene, ker ta svet ne deluje na ta način, ampak na načelu povezljivosti in deljenja informacij.
Mimogrede, a smo kaj bolj ogroženi in dovzetni za vdor, če uporabljamo več naprav, povezanih z računalniki, tablicami idr? Nekateri že hladilnik povežejo s telefonom.
Spet se bom navezal na požarno varnost: če imaš leseno hišo, je večja verjetnost, da pogori do tal, ampak če uporabljaš prave sisteme preventive, ni nujno, da se tveganje poveča. Isto je v tem primeru: s povečevanjem senzorjev, naprav, ki so priklopljene na internet, in posledičnim povečevanjem obsega zbiranja podatkov teh naprav, ni nujno, da pride do zmanjšane varnosti oziroma večjega tveganja, če imajo uporabniki ustrezne kompetence, znanja in zagotovijo ustrezne varnostne sisteme – požarne zidove, antivirusne programe in podobno. Na tem področju je velik napredek. Danes imamo že takšne varnostne programe v obliki panja, ki zelo hitro zaznajo nevarnost in obvestijo ustrezne institucije, da pomagajo posamezniku rešiti krizo. Če povzamem, seveda obstaja možnost večjega tveganja, ki pa ga ni možno definirati, dokler ne vidimo, kako se je nekdo zaščitil. Veliko večja nevarnost ali neznanka je, kaj se dogaja s povezavami. Kaj se bo zgodilo, ko bo prišlo do nepričakovanih vremenskih pojavov, ki so posledica globalnega segrevanja. Bolj izrazite nevihte, bliski včasih povzročijo tudi prekinitev delovanja brezžičnega interneta. Kaj to pomeni za avtonomno vožnjo, ki postaja realnost, kaj bo s pametno signalizacijo, kako bo prekinitev digitalnih povezav vplivala na senzorje, števce. Kako se bodo ti sistemi zoperstavili naravi.
Kdo pa je pri nas najbolj ogrožen oziroma kje bi posledice kibernetskega napada najbolj čutili.
Pri nas vemo, da so steber gospodarstva majhna in srednja podjetja, in če se zgodi napad nanje, jim lahko poruši vse. Vse izbriše, kar pomeni, da lahko mnogi samo zaprejo podjetje. Če se zgodi sistemski napad na slovensko gospodarstvo, po mojem trenutno nimamo načina oziroma sistema, ki nas lahko ubrani ter učinkovito posreduje pri napadu. Na tem mestu bi opozoril na slovenske občine. Nekatere so že doživele kibernetske napade, jih spoznale in se temu primerno odzivajo. Ves čas pa primanjkuje finančnih sredstev. Pri gospodarstvu in občinah bo tudi pomembno, kdo bo izobraževal ljudi, kdo bo v podjetjih iskal ali dal odgovore na kibernetsko varnost. To so namreč zaposleni z visoko dodano vrednostjo, ki pa jih bodo morali izobraževati strokovnjaki.
Kje pa še vidite težave v Sloveniji na tem področju?
Ni regulative. Trenutno ne vemo, kaj naj naredimo, če je vdrto v neki večji sistem vdre in pride do vdora v podatke. Kdo odgovarja? Kako? Kdo vse se mora vključiti? Kdo bo komuniciral z oškodovanimi uporabniki? Kdo bo v prihodnjih letih komuniciral z oškodovanci, kajti njihovi podatki, ki bi jih ukradli pri vdoru, se bodo na spletu pojavljali več let. In prav zato, ker je toliko pomanjkljivosti, pravim, da je kibernetska varnost ravno toliko kompleksna kot požarna.
Imamo skupino ljudi, ki bi lahko ukrepala ob večjem kibernetskem napadu?
Imamo na novo vzpostavljen Urad za informacijsko varnost, ki ga vodi dr. Uroš Svete. Mislim, da smo s to institucijo končno prišli do točke, da lahko od spodaj navzgor in od zgoraj navzdol urejamo to področje. Imamo kompetentno institucijo s kompetentnim vodstvom, ki se povezuje z drugimi slovenskimi (SI-CERT, Arnes, IJS ...) in evropskimi institucijami (ENISA, ECSO ...). Na ravni države imamo zdaj končno odlične nastavke. Manjka pa celovita kibernetska strategija države, to pa je tisto, kar spada v pristojnost ministra in sveta za digitalizacijo, ki bodo dali navodila, kaj mora kdo narediti. Moramo pa tudi odpraviti razmišljanje, da je vstop v naš sistem možen le skozi državne institucije, pa ni! Vstop oziroma napad, ki lahko ohromi državo, je bistveno lažji na lokalni ravni. Zato je pomembno, da država okrepi občinske in regionalne sisteme, in to zelo hitro. Imamo 212 občin, kjer je veliko večje tveganje kot na državni ravni.
Vi in vaše podjetje ste strokovnjaki kibernetske varnosti. S kom vse sodelujete?
Ponujamo storitve tako javnemu kot zasebnemu sektorju. Ob tem pa iz izkušenj ugotavljamo, da je potrebno imeti zelo pedagoški pristop do vseh organizaciji – treba je enostavno razložiti, kaj je treba narediti in zakaj investirati v kibernetsko varnost. Zakaj ima na primer slabo geslo za wifi ali za printer, čeprav se sliši še tako banalno, velik negativen vpliv za samo podjetje in zakaj je treba tudi tu povečati varnost. Mogoče se bo kdo samo ponoči pošalil in sprintal 15 tisoč strani kake bedarije, podjetje pa bo vseeno oškodovano. Na vsako stvar, ki je povezana, je treba biti pozoren. Poglejte primer: v Las Vegasu so hekerji vdrli v kazino preko filtra za čiščenje vode v akvariju, ker je bil ta filter povezan s sistemom po bluetoothu.
Škoda po vdoru je bržčas veliko višja, kot je vložek v zavarovanje sistema?
Potrebni vložek za ustrezno zagotavljanje kibernetske varnosti je bistveno nižji kot škoda, ki nastane zaradi kibernetskega napada. Zavedati se je treba, da po vdoru ne nastane samo neposredna poslovna škoda, spremeni se tudi mnenje o nekom, ki je bil napaden, ker ni storil dovolj za zavarovanje svojih podatkov. Zaupanje pa je v poslovnem svetu glavnega pomena. Saj veste, hitro prideš na slab glas, dolgo pa traja, da si povrneš zaupanje.
Je to eden od vaših argumentov, ko prepričujete ljudi, da se zaščitijo?
Seveda. Sicer pa pri vseh izginejo kakršnikoli pomisleki, ko jim podamo poročilo o stanju v organizaciji. Naš prvi korak je vedno analiza stanja, ker je to argumentacija ukrepov, ki jih predlagamo. Vse pomanjkljivosti vedno ocenimo po mednarodnih lestvicah in zelo nazorno povemo, ali je neka nevarnost kritična, ali srednje nevarna in jo je priporočljivo odpraviti, ali pa gre za anomalijo, ki ni tako nevarna in ni treba takoj ukrepati. Velikokrat je sprva pri ljudeh prisotno razmišljanje: če se do zdaj ni nič zgodilo, se tudi v prihodnje ne bo. Ampak verjetnost, da vas najde izsiljevalski virus, je izjemno velika in vedno večja. Zato je zelo pomembno, da se država jasno in glasno odzove na ta tveganja in začne nagovarjati državljane tudi glede tega. Kibernetska varnost in opismenjevanje ljudi glede tega bi moralo biti med glavnimi temami prihodnosti, poleg digitalizacije same.
A se vam ne zdi, da bo opismenjevanje pri nas in v Evropi trd oreh zaradi starajoče se družbe? Starejšim bo bržčas težje pojasniti, zakaj in kako se je treba zaščititi.
Odlično ste to povedali. Paradoks je, da je Evropa kot enega izmed ključnih stebrov postavila srebrno ekonomijo. Torej ekonomijo, ki je povezana s starejšo populacijo, ki ima tudi visoko kupno moč, poleg tega so navajeni visokega življenjskega standarda, ki ga želijo obdržati. Moje mnenje je, da je edino digitalna tehnologija tista, ki bo lahko ohranjala takšen življenjski standard. Smo pa spet pri težavi, na katero sva že opozorila, nizka ozaveščenost. Za nas mlajše je preprosteje, ker smo že od srednje šole z mobilnim telefonom v roki, pri starejših pa je to novo in je potrebna sprememba miselnosti. Zato bodo pri njih potrebni največji napori, hkrati pa bo imela zanje digitalizacija najvišjo vrednost v smislu oddaljene komunikacije, nadzora, pomoči, pravočasnega reagiranja. V Sloveniji že imamo zelo dobre mehanizme, ki zelo aktivno in strateško razvijajo digitalne veščine starejših. A bojim se, da je to premalo, da je na prenizkem nivoju. Po mojem bi moralo to biti vseživljenjsko, državljansko učenje s tega področja. Nenazadnje digitalizacija vodi k elektronskemu glasovanju, a kako bomo to počeli, če ne znamo ločiti prave in lažne informacije. Ugotavljam pa tudi, da je pri starejših napačna predstava o digitalizaciji, da jih je celo sram pokazati znanje na računalniku, ki je lahko povsem solidno. Škoda. Morali bi več narediti, da bi se starejši zavedali, da je povsem v redu, če se marsičesa naučijo v treh ali petih letih mobilnega telefona. Gre vendarle za revolucionarno tehnologijo. Tukaj vidim priložnost, da postavimo lep in zdrav način medgeneracijskega sodelovanja. In prav pri tem prideva do tega, da je digitalizacija bolj družbeni kot tehnološki problem.
Ki pa kljub vsem problemom spreminja moči med državami?
V digitalnem svetu je drugače kot v fizičnem, kjer moč zagotavljajo denar, vojska itd. Tukaj in zdaj pa gre za intelektualno moč, kognitivne kapacitete naroda. Na primer v Iranu je kibernetska vojska bistveno bolje pripravljena ter izučena in izkušena kot marsikatera evropska. Do neke mere si upam reči, da tudi bolje kot ameriška vojska. Teoretično, če bi prišlo do oborožene vojaške eskalacije v kibernetskem prostoru, si ne upam napovedati zmagovalca. Družba se je namreč preveč spremenila, vajeti je prevzela mlajša generacija, ki povsem drugače razmišlja in lahko pripelje do povsem drugačnega rezultata. Je pa še propaganda, ki so jo vsi tirani s pridom uporabljali. V digitalnem svetu pa propaganda oziroma marketing še nikoli nista bila lažja oziroma bolj preprosta kot zdaj. Samo poglejte Hollywood, z »deepfaki« želijo nadomestiti igralce, igračkarskemu svetu je prav tako v interesu da s to tehnologijo naredi čim bolj resnične osebe, ki nastopajo v igrah – iz tega pa bo prišla tehnologija, ki bo imela takšne zmožnosti, da je bodo uporabljali tudi v politiki in še kje. Tu se obeta nov problem, lažne informacije, propaganda, ki lahko destabilizira državo in svet.
Je bila možnost destabilizacije razlog, da Kitajci ne bodo gradili omrežja 5G v Evropi?
Jaz kot obramboslovec povsem razumem tako odločitev, ne morem ji nasprotovati, kot gospodarstvenik se pa sprašujem, ali je to najboljša rešitev. V Angliji bodo gradila omrežja angleška podjetja (5G ali 6G), a jasno je, da bodo zgrajena kasneje in z večjimi stroški, kot če bi gradili Kitajci, to pa posledično pomeni višjo ceno za končnega uporabnika. Višji stroški poslovanja pa vemo, da dušijo gospodarstvo in inovacijski potencial. V Sloveniji bo verjetno podobna zgodba, čeprav bodo verjetno gradila evropska podjetja, ki zdaj pridobivajo izkušnje in prakso, in samo zaradi majhnosti lahko upamo, da bo storitev cenejša. Slovenija ima za zdaj strateško prednost, ker smo izrazito majhna država, kar je plus, kot sem povedal. Ampak to ne pomeni, da smo tudi nedotakljivi. Poglejmo bolj plastično: naložbe v digitalno infrastrukturo so potrebne. Manjše kot je ozemlje, bolj kot je kompaktno, manj denarja je potrebnega. Lažje bo držati višjo hitrost in višja bo kvaliteta sistema. Kot sem že prej omenil, pa imamo težavo, ker ni sistemskega pristopa in ga do zdaj ni bilo. Šele pred kratkim smo prišli do prelomne točke, ko je sedanja vlada imenovala ministra za področje digitalizacije. Končno gremo tudi mi po poti večjih, naprednejših držav, recimo Nemčije, ki ima svoje ministrstvo za digitalizacijo že nekaj let. In kolikor vem, bo novo ministrstvo prevzelo izvedbo raznoraznih projektov digitalizacije družbe, javnega in zasebnega sektorja. To se mi zdi super, res je bil skrajni čas za to.
Ste morda dobili kakšno povabilo za sodelovanje z novim ministrstvom?
Zazdaj ne. Razumljivo, ker se je treba zavedati, da so se lotili urejanja tega digitalnega ekosistema, ki je še ves v povojih. Sicer pa v našem podjetju upamo, da ne bodo prišli zraven samo tisti, ki se bodo znali spromovirati. V strateškem svetu so sicer različna imena, marsikoga, ki bi lahko sodeloval zaradi strokovnosti, pa ni. Upam, da bo ministrstvo za digitalizacijo kmalu naredilo pregled strokovnjakov v slovenskem okolju in temu primerno tudi vabilo ljudi in podjetja k sodelovanju. Mi smo z našim Inštitutom za digitalizacijo zelo aktivni pri slovenskih občinah na področju digitalizacije, kjer pa za zdaj še ni odgovora, katere občine so varne, katere ne, saj aktivnosti s področja kibernetske varnosti večinoma še ne potekajo. Naše raziskave sicer kažejo določene rezultate, a potrebno bi bilo bistveno bolj celovito in poglobljeno proučevanje za predstavitev jasnih rezultatov ter identifikacijo ustreznih ciljev.