Za hakere, zlonamjerne pojedince kojima je glavni cilj upasti u neki računalni sustav i učiniti štetu (financijsku, reputacijsku ili podatkovnu), svi smo čuli. No, znate li da postoje i etički hakeri? To su pojedinci ili grupe koji svojim upadima u računalne sustave, testiraju njihovu sigurnost. Za razliku od onih prih, etički hakeri upadaju uz znanje te tvrtke ili organizacije i nakon uspješnog (ili neuspješnog) upada podnose izvještaj s preporukama što i kako treba promijeniti.
Kako se postaje etički haker i koja znanja su potrebna, otkrio je stručnjak za kibernetičku sigurnost Mislav Kovač, inženjer sigurnosti i tehnički voditelj projekta @ Evidan an Atos Business.
Danas se o sigurnosti jako malo govori. Mislav sigurnost uspoređuje sa zdravljem. Svi znamo da se treba brinuti o zdravlju, ali zapravo tek počnemo reagirati kada se nešto dogodi – tako je i sa sigurnošću.
Čime se bavi inženjer sigurnosti?
Ja sam security inženjer, ono što radim u sklopu tog inženjeringa je penetration test – simulacija kibernetičkih napada radi provjere i procjene sigurnosti tog sistema koji traži njegove propuste i s pomoću njih dobiva pristup podacima. To znači da sam ja etički haker. Pokušavam raditi isto ono što rade pravi hakeri na internetu, ali s dozvolom od klijenta.
Može se reći i da sam unajmljeni haker koji traži rupe u sustavu, i nakon što ih pronađem, prijavim ih klijentu kako bi se oni mogli zaštiti od pravih hakera koji koriste iste metodologije. Da bi im mogli reći – te metodologije koriste napadači, ako ne napravite to to i to, napast će vam sustav – izgubit će te ili klijente ili novac.
Koji fakultet završi inženjer sigurnosti?
Kako se može postati pen tester (što je zapravo jedan mali dio sigurnosnog inženjeringa) – najviše se uči samostalno, tj. neformalnim obrazovanjem. Ja sam završio računarstvo na FESB-u, a uz fax sam polagao različite tečajeve, „sakupljao“ certifikate i diplome i tako sam s vremenom svaki dan nešto novo učio.
Kada mi se prikazao prvi oglas za Cyber Security tečaj i kada sam ga odslušao i položio – tada sam dobio širinu i krenuo zapravo od početka istraživati. Sve je to bilo online, jer u Splitu tada takvih mogućnosti nije bilo. U početku je jako teško krenuti i snaći se – jer te nema tko usmjeriti, tko se time bavi u Splitu.
Kako bi laici mogli poboljšat svoju sigurnost online?
Najbitnija stvar, ne otvarati sve linkove koje dobijete. Sustavi su inače dobro osigurani ali su ljudi ti koji su najslabija karikira i zato hakeri prvo napadaju ljude i preko ljudi dođu do sustava i do podataka. A najbrži ulaz preko ljudi je preko phishing mailova, poruka…. i to smo svi iskusili, svi smo jedno kliknuli na link i otvorilo se svašta i shvatili smo da to nije bila dobra ideja. Phishing mail je najčešća cyber prijetnja koju ljudi dobiju.
Baš bi sve trebali dvaput provjeriti, zato Mislav i kaže „Sigurnost i praktičnost je jako teško uskladiti.“
Što meni mogu ukrasti, nema tu ništa vrijedno ni zanimljivo“ – čujem svakodnevno i uvijek me fascinira. Svaka osoba na ovom svijetu ima nešto što joj se može ukrasti, ugroziti – makar reputacija.
Napadače zapravo ne zanima podatak kao podatak, njih zanima kako da te podatke pretvore u novac!
Kako se cyber napadi razvijaju i koriste li napadači neke napredne tehnike koje su možda nepoznate široj javnosti?
Tako funkcionira sve danas. Sve novo što se pojavi, sigurno je dok netko ne skuži da to nije sigurno. Hakeri koji imaju jako puno resursa lakše probiju dobro zaštićene sustave ali problem nastaje kada to ostane tajno. Ako ne znamo da se to može, ne štitimo se protiv toga. Za sve ono za što znamo da postoji mi se obučavamo, zato i je bitno kontinuirano usavršavanje i edukacija – svaki dan!
Ovog četvrtka 14.12. – održat ćeš predavanje na prvom SPLIT Cybersec meetupu. Zašto bi ljudi trebali prisustvovati ovom meetupu? Što mogu očekivati i kako će im to pomoći da bolje razumu i zaštite svoju sigurnost?
Ideja je obrazovat ljude, pokazat im fundamentalne stvari. Ne želim ja ljudima govoriti što im se možda može dogoditi. Ne, ja ću im pokazati osnovne indikatore da mogu biti hakirani na određenim mjestima i kada imaju to i temeljna znanja – mogu ih kombinirat na kompleksnije situacije – i to je cilj meetupa. Znati prepoznati indikatore da se nešto može dogoditi i znati reagirati pravodobno.
Neke su države zabranile instaliranje TikToka na službenim uređajima zbog niske razine sigurnosti. Što to znači – da TikTok ima pristup našim podacima?
Konkretno Tik Tok, kada se instalira i kada se prihvate uvjeti – daje se pravo da čita određene podatke s mobitela koje u biti ne bi smio. Tehnički mu dajemo prava, ali je pitanje koliko ih on koristi. U svakom slučaju bi sve firme trebale paziti da se na službenim laptopima, mobitelima ne koriste aplikacije koje nisu nužne da bi se obavio posao. Smanjiti attack surface – površinu na kojoj se mogu dogoditi napadi. Mali broj aplikacija – manja površina na kojoj napadač može izvršiti neki napad.
Većina poslodavaca, uprava – sigurnost gledao kao trošak. Jer to nije nešto što je opipljivo. Pravilo je da se u sigurnost treba uložiti 10% od ukupne vrijednosti infrastrukture. Lako je procijeniti koliko nam serveri vrijede ali ne i koliko nam vrijede podaci na njima. To nije trošak, trošak je ne ulaganje u sigurnost. Ako ne ulažemo i budemo hakirani, reputacija firme, novac…puno je veći trošak popraviti štetu nego prevenirati.
