Odgovore na pitanje paranoje u zaštiti, ne samo osobnih, nego i podataka tvrtki, pokušao je dati Alen Delić, viši konzultant za informacijsku sigurnost. Sigurnost i zaštitu podataka svakako ne treba shvaćati olako, no ne treba niti pretjerivati, jer danas neke stvari koje su vrijedile u 90-im godinama prošlog stoljeća te u 2000-im godinama, više nisu iste i iz korijena su se promijenile, pogotovo po pitnaju zaštite osobnih podataka.
Danas je posve normalno da sigurnosne službe prikupljaju podatke o građanima, a činjenicu da to de facto znamo, možemo zahvaliti već pomalo zaboravljenom Edwardu Snowdenu, zviždaču koji je razotkrio čime i na koji način se NSA koristi u prikupljanju podataka. No, umjesto da kočimo vlastitu aktivnost u korištenju modernih tehnologija i takozvanog "interneta stvari" (Internet of Things - IoT), ono što trebamo napraviti jest educirati se u tome gdje je granica u kojoj je paranoja dobrodošla, a gdje nije.
Delić, koji je, između ostalog radio i na projektima sigurnosti te mu je uža specijalnost socijalni inženjering u tom smislu, pokušao je na predavanju na konferenciji Windays 17 u Poreču, pojasniti, kako osnovna, tako i ona složenija pitanja oko toga što je sirugnosna paranoja i kako istu držati pod kontrolom. Pojasnio je stanje sigurnosti vodeći se trendovima iz područja informacijske sigurnosti i analizom informacija.
Digitalna transformacija
Polazna točka Deliću je bila digitalna transformacija, koja je i ključna točka spomenute konferencije, a kao primjer gdje je sigurnosni propust i doveo do paranoje, Delić je naveo jednu "igračku za odrasle", digitalno transformiranu, zbog koje je dotična američka tvrtka koja ju je i osmislila, kao i popratnu aplikaciju za istu, nije pazila na potencijalne sigurnosne propuste. Zbog toga, kao i činjenice da ta digitalno transformirana igračka ima kameru, došlo je do masovne krađe podataka, sadržaj kojih ne treba pretjerano dočaravati.
U konačnici, došlo je do masovne tužbe u kojoj je svaka osoba dobila oko 10 do 11 tisuća dolara odštete, a ukupna šteta po tvrtku bila je 37,5 milijuna dolara.
Ipak područja interesa hakera i napadača koji kao sredstvo za napad koriste internet i digitalnu tehnologiju, daleko nadilaze pojedinačne korisnike, iako možda ne bi ste stekli dojam i netom navedenog primjera s igračkom za odrasle. Ipak, područja interesa daleko su veća pa tako je tu državni sektor, bankarski sektor, teleoperateri, energetski sektor, maloprodaja, startupi (zbog ignoriranja sigurnosne zaštite) te na posljetku tek pojedinac, odnosno krajnji korisnik.
Područja interesa hakera
Delić isto tako spominje kao područje interesa za cyber kriminal i područje zdravstvenog sustava, koje je u SAD-u već na broju jedan, a Delić predviđa da će i u Hrvatsku doći na scenu u 2018. godini.
Ipak, da bi smo pokušali shvatiti što motivira cyber kriminalce ili digitalne napadače, moramo vidjeti kakvi su ulozi u igri. Glavni ulog u velikoj većini slučajeva je novac. Po veliku svotu novaca napadači neće ići kod običnog građanina, nego napadaom na bankarski sektor ili krađom podataka koji na crnom tržištu onda vrijede šestocifrene ili sedmocifrene vrijednosti u dolarima. Drugi motivi su zadovoljstvo te (h)aktivizam, koji se znaju i isprepletati. Naime, netko može osjećati zadovoljstvo nanošenjem štete nekoj tvrtki ili pojedincu, a aktiviste vodi vlastiti set moralnih vrijednosti koji ih onda tjera na akciju.
"Opasniji haker je onaj koji na zna što radi"
Kao najbolje generalno oružje (prema svima) kojim se hakeri danas koriste, barem po učinkovitosti i počinjenoj šteti, Delić ističe takozvani ransomware. Problem kod ransomwarea je što taj napad ne gleda koga napada, odnosno napada sve. Kao primjer jednog takvog štetnog softvera, Delić spominje Locky, koji čak na određen način i komunicira sa žrtvom putem video upozorenja/uputa. Primjerice, dotičn softver upozorava korisnika da ga ne restarta, jer će u protivnom izgubiti 1000 datoteka s računala. Poanta tog malicioznog softvera jest otkupnina koju traži od žrtve, nakon koje slijede upute kako da ga se makne pa čak i kako da se korisnik ubuduće zaštiti od istog. Ako se ne plati, cijena je u ranije spomenutim datotekama pa tako dok se žrtva ili ne opameti i reinstalira operativni sustav ili doista ne plati otkupninu.
Locky je od 2016. do danas, prema procjenama FBI-ja napravio štetu od čak 1,5 milijardi dolara. No, Locky su osmislili ljudi koji znaju što rade, a Delić kao najveći problem ističe pojedince koji ne znaju što rade i služe se hakerskim napadima, bez shvaćanja posljedica istih. Tada dolazi i do tragičnih slučajeva.
"Po meni su ljudi koji ne znaju što rade puno veći problem od ljudi koji znaju što rade", kaže Delić.
Što nas čeka?
Kako baze podataka postaju sve veće, tako i odgovornost za zaštitu istih postaje sve veća za one koji primaju i obrađuju podatke. Delić upozorava na uvođenje takozvanog GDPR akta EU-a (General Data Protection Regulation - Regulacija generalne zaštite podataka), koji se bavi pravom pojedinca na privatnost, obvezu tvrtki da izbjegavaju kršenje privatnosti pojedinaca te značajne kazne za one koji budu uhvaćeni u kršenju tih obveza.
Dobra vijest za pojedinca, manje dobra vijest za tvrtke. Naime, kako nastupa digitalna transformacija i kako je IoT (Internet of Things) već prisutan, mogućnost da nečija privatnost bude kompromitirana je velika pa je s tim i obveza tvrtki da se privatni podaci zaštite proporcionalno uvećana te u konačnici - i kazne.
Stoga, kad je riječ i o digitalizaciji u nas, primjerice u bolnicama, koje je Delić uzeo kao primjer, ona bi se trebala obaviti kvalitetno i sa što manje sigurnosnih propusta. U protivnom, mjesta za paranoju itekako ima.
U tom smislu, Delić ističe kvalitetnu edukaciju kao ključ rješenja tog problema u okviru i kvalitetnog socijalnog inženjeringa.
(Digitalna) higijena je ključ
Kako se onda nositi sa svim novim trendovima i sigurnosnim opasnostima koji iz njih proizlaze? Treba li biti paranoičan i koliko? Delić nudi jednostavan odgovor.
"Mislim da je to stvar (digitalne) higijene. Mislim da ne treba sad ne imati Facebook, ne imati Twitter, već treba biti svjestan sadržaja kojeg se objavljuje upravo na, eto, društvenim mrežama primjerice. Ako smo svjesni, onda znamo koje nam štete mogu biti", istaknuo je Delić u razgovoru za Zimo nakon predavanja.
Isto tako, napravio je i razliku između poslovnog i privatnog, kad je riječ o svjesnosti sadržaja kojeg korisnik interneta objavljuje. Ako se korisnik privatno bavi stvarima koje su u suprotnosti s praksom njegove tvrtke, onda onaj tko ga napada lovi upravo takve aktivnosti putem hakiranja i čini štetu i tom korisniku i ugledu njegove kompanije, pojašnjava Delić.
Gdje je na kraju ta granica?
Na konkretno pitanje što bi bila zdrava doza paranoje, Delić smatra da je to negdje između 3 i 5 na ljestvici od 1 do 10. Konkretno, brojka 1 ili 2 na istoj ljestvici, prema Deliću, predstavlja osobu koja uopće nema računalnu/digitalnu higijenu na pameti te često nije niti svjesna mogućih problema, koji mogu proizaći iz podataka koje objavljuje. Tri ili 4 su ljudi koji znaju za potencijalne probleme, svjesni su u određenoj mjeri što objavljuju te u konačnici i paze na te stvari. Nadalje Delić kaže da bi kako se dolazi do brojke 5 ili više, mjere mogle biti okretanje mobitela na ekran u društvu (da se ne vidi tko zove, šalje poruke), pokrivanje kamere samoljepivom trakom i slično. Generalno gledano, Delić granicu od 5 na istoj ljestvici smatra i granicom između brige za privatne podatke i poslovne podatke.
"Ljudi kad me nazovu i kad kažu kriptirani su mi podaci i užasno su mi bitni, a onda me nakon toga pitaju mogu li što napraviti? Pitam ih - imaš li backup? Oni kažu da ne i ja im odgovorima da im odna ti podaci i nisu toliko bitni. Da su ti doista toliko bitni, imao bi backup", kaže Delić.
Za takve stvari postoji uvijek jedno konačno rješenje - formatiranje tvrdog diska i ponovna instalacija sustava, nakon čega se odmah napravi antivirusna i antimalware provjera. S tim se slaže i Delić, pogotovo ako su podaci u napadu već izgubljeni, a sustav kompromitiran da se više ne može normalno koristiti.
"Slika djeteta od godinu i pol dana, jasan mi je taj sentiment, no je li itko spreman platiti 10 do 15 tisuća dolara hakeru za to?", kaže Delić.
Ipak, paničariti ne treba, čak niti ako koristite društvene mreže u velikoj mjeri. Facebook ima danas toliko korisnika da je suludo razmišljati da bi se hakeri zamarali ciljanim napadom na posve prosječnog korisnika, pogotovo ako za to nema nikakvog povoda/razloga/motiva.
"To je identično kao i u svakom drugom kriminalu", kaže Delić.
Zanimljivosti za kraj
Zanimljivu je stvar Delić zamijetio i na samoj konferenciji WIndays 17 u Poreču, gdje je na jednom od predavanja napravio lažni SSID (Service Set Identifier) putem mobitela, nakon čega se u roku od 5 sekundi na taj lažni SSID spojilo osam osoba. Zaključke možete izvući sami. "Gdje bi ti ljudi privatno (i poslovno) trebali biti ako idu po konferenciji i spajaju se na lažne SSID-ove?", pita se naš stručnjak.
Možda i jednu od najbitnijih stvari što se izloženosti svih nas hakerskim napadima tiče, Delić je kratko i jasno rekao u jednoj jednostavnoj rečenici. "Kad stvarno netko hoće - može", istaknuo je.
Naime, Delić je to rekao nakon što je pojasnio istraživanje koje je proveo IBM unazad nekoliko godina i koje kaže da zapravo 95 posto korisnika interneta neće reagirati na sofisticirani hakerski napad. "Finta" koju je izveo na konferenciji, barem u smislu koncepta, istovjetna je netom navedenom.