Informacijska varnost: Intervju
Gradimo varnejši svet
Vicente Diaz, glavni varnostni raziskovalec v Skupini za globalne raziskave in analize (GReAT) v podjetju Kaspersky Lab, nam je v pogovoru potrdil, da je na področju informacijske varnosti strah vendarle še kako zdrav. Če uporabniki ne želimo biti vedno znova le žrtve spretnih napadalcev, se moramo tudi mi izobraziti o grožnjah, kako jih prepoznati in se ustrezno odzvati.
Digitalna krajina groženj se skokovito širi. Zdi se, da nič in nihče ne more zaustaviti napadalcev. Ali pač? Kaj lahko storimo?
Stanje je očitno zapleteno, a to ne pomeni, da se na področju varnosti nič ne dogaja. Navadno vidimo le rezultate uspešnih napadov, ne pa vseh poskusov, ko so ti uspešno preprečeni, kar se prav tako dogaja pogosto. Digitalni svet je iz dneva v dan bolj zapleten, tehnologija pa postaja vedno bolj (nepogrešljiv) del našega življenja. Tako imajo tudi napadalci več možnosti za napad in to s pridom izkoriščajo. Z vidika obrambe pred napadi tako nima smisla zaščititi, denimo, le enega področja, medtem ko druga ostajajo nezaščitena. Žal pa je veliko podjetij še vedno prepričanih, da je varnost tehnično opravilo, čeprav zdaj zadeva celo zasebna življenja njihovih zaposlenih. To novo realnost moramo najprej razumeti in se ji nato prilagoditi, za vse našteto pa je potreben čas.
Podjetja se najbolj bojijo usmerjenih napadov in industrijskega vohunjenja. Vsako podjetje (še) ne zaposluje strokovnjakov za informacijsko varnost … Kako se lahko takšna podjetja najbolje zaščitijo pred takimi grožnjami?
Žal najboljših rešitev ni mogoče povsem avtomatizirati. V nekaterih primerih ni problem pomanjkanje sredstev za zaposlitev skupine varnostnih strokovnjakov, temveč odločitev podjetja, da ne zaposli ustreznega kadra, izvira iz tega, da informacijske varnosti ne dojemajo kot prednost. Ni možno varovati nečesa tako kompleksnega, kot je podjetje, zgolj s tehničnimi rešitvami. Na področju informacijske varnosti je vedno potreben večplasten pristop, ki zajema iskanje anomalij in preiskovanje vsega, kar se zdi sumljivo. Prav zato potrebujemo v varnostnih ekipah predvsem pametne ljudi.
Celo banke in finančne organizacije, ki izvajajo številne varnostne ukrepe in premorejo vrsto varnostnih mehanizmov, so žrtve napadalcev. Kako lahko ali pa bi morale banke bolje poskrbeti za varnost?
Menim, da so banke dolgo živele »na robu« in niso (dovolj) vlagale v področje varnosti, razen takrat, ko so začutile potencialno grožnjo novega vala napadov. V preteklosti so tako namesto uvajanja varnostnih politik in rešitev za zaščito svojih uporabnikov le izračunavale letne izgube in sklepale boljša zavarovanja. Zdaj začenjajo razumeti, da so napadalci usmerjeni neposredno nanje in jim kradejo velike zneske. Rešitev je podobna kot pri vsakem velikem podjetju, zajema ustanovitev ekipe strokovnjakov in namenjanje sredstev za obveščanje zaposlenih in strank o grožnjah. To je ključnega pomena, saj je bistvena razlika, če napadeni prepozna, ali je za sumljivo dejavnost v omrežju odgovoren naključni napadalec ali pa gre za akcijo dobro podkovanega akterja, specializiranega za napade na finančne entitete.
Varnostni strokovnjaki ste priča vedno več napadom na mobilne platforme in naprave. Katere dobre prakse lahko pomagajo uporabnikom preprečiti širjenje zlonamerne programske opreme?
Zlonamerna programska oprema, ki ogroža mobilne naprave, je naravna evolucija v t. i. obdobju »po računalnikih«. V zadnjih letih vidimo, kako poskušajo kibernetski kriminalci na različne načine okužiti žrtve in monetizirati okužbe, ki smo jih v preteklosti v podobni obliki že videli. Tako operacijski sistem Android predstavlja nekakšna nova »okna« za zlonamerno programsko opremo. Glavni problem, ki ga vidimo, pa je veliko število zlonamernih aplikacij in neuradnih spletnih trgovin. Te aplikacije se širijo prek lažnih oglasov, družabnih omrežij, povezav na spletnih straneh, agresivnih preusmeritev ipd. Včasih dosežejo tudi uradne spletne trgovine, kjer ostanejo neodkrite dlje časa. Uporabnik lahko zmanjša tveganje tako, da redno posodablja programsko opremo, namesti kakovostno varnostno rešitev, ne odpira ali namešča vseh aplikacij, ki so mu ponujene prek družabnih omrežij, preusmeritev ali oglasov, pa tudi da ne namešča programov z neuradnih spletnih trgovin in podrobno preverja in prebere vsa zahtevana dovoljenja pred namestitvijo kakršnihkoli programov na svojo mobilno napravo.
Kako veliko grožnjo predstavljajo družbena omrežja?
Glavna težava družabnih omrežij je hitrost širjenja vsebin. Dobro financirana omrežja imajo varnostne ekipe, ki poskušajo čim hitreje zaznati vsako sumljivo dejavnost in jo preprečiti, še preden je prepozno. Kljub temu to ni vedno mogoče. V številnih družabnih omrežjih varnosti preprosto ni namenjenih veliko sredstev. To ne pomeni, da so taka družabna omrežja nevarna sama po sebi, kot vsaka druga tehnologija so lahko uporabljena za dobro ali slabo. Radi pozabljamo na možnost, da je človek v ozadju profila v družabnem omrežju napadalec, ki se pripravlja na napad, ali preprosto bot, ki dnevno ustvari na tisoče lažnih profilov in z njih pošilja nezaželeno pošto. Torej je problem dejansko bolj na strani ljudi. Moramo se naučiti in razumeti, da so lahko danes družabna omrežja prav tako nevaren medij kot elektronska pošta.
Ko sami pomislite na informacijsko varnost, česa vas je najbolj strah?
Tu bi izpostavil vse naprave, za katere nimamo ustreznih možnosti kakovostnega nadzora, in naprave, ki jim ne posvečamo večje pozornosti. Takšna je, denimo, omrežna oprema. Samo pomislite, kaj vse vas lahko doleti, če se nadzora nad vašim omrežjem polasti zunanji napadalec in vaše omrežje pravzaprav postane njegovo orodje – se vsak trenutek vključi ali na njegov ukaz okuži druge naprave, sodeluje v spletnih napadih ... Strašljivo.
Upanje umira zadnje, pravijo. Mar nam res ostane le še to?
Upanje še vedno ostaja! V zadnjih letih je varnostna industrija vendarle dosegla velike izboljšave na področju informacijske varnosti. In to kljub vse večji zapletenosti digitalnega sveta. Veste, tudi vedno nove varnostne izboljšave grenijo življenje številnim napadalcem. Še naprej se moramo boriti in predvsem ozaveščati uporabnike o tem, kako lahko ostanejo varni. Z malimi koraki gradimo varnejši svet.