Intervju - Dragan Martinović, Kaspersky Lab
V digitalnem svetu ni 100-odstotne zaščite
Začniva s temo, ki je za podjetje bržkone najbolj pereča. Družba Kaspersky Lab se je znašla v nemilosti trenutne ameriške vlade – očitajo vam sodelovanje z rusko vlado, posledica pa je prepoved uporabe vaših izdelkov v javni upravi ZDA. Kako občutite to potezo?
Družba Kaspersky Lab se je znašla v geopolitičnem ognju svetovnih velesil. ZDA so Rusijo in nekatere druge države obtožile vdora v ameriške sisteme, prirejanja rezultatov volitev in drugih zlorab. Ko beseda nanese na kibernetsko varnost in specialiste, se na vrhu seznama podjetij, ki izvirajo iz Rusije, znajde Kaspersky Lab. Po krivem in povsem neutemeljeno smo postali dežurni krivec. Kaspersky Lab nikoli ni imel neetičnih vezi z nobeno vlado, temveč spoštuje najvišje etične in strokovne standarde ter razvija zaupanja vredne tehnologije. Lažne obtožbe, predpostavke in ukrepi zoper podjetje so brez trohice dokazov. Ustanovitelj podjetja, Eugene Kaspersky, je vladi ZDA že ponudil, da njihovi službi za domovinsko varnost razkrije programsko kodo naših varnostnih rešitev in neposredno odgovori na obtožbe, saj bi s tem spoznali, da ni razlogov za ukrepe in odzive, ki smo jim priča. Določanje varnostnih tveganj glede na netočne informacije in poreklo podjetij le povečuje ranljivost uporabnikov, saj omejuje dostopnost do najboljših varnostnih rešitev na trgu.
Torej ne sodelujete z ruskimi oblastmi?
Sodelujemo. Kibernetske grožnje so globalen problem in se ne ozirajo na meje držav. Kaspersky Lab je že 20 let povsem zavezan boju zoper kibernetski kriminal. Že vrsto let se povezujemo z vladami številnih držav, pa tudi z regijskimi in krajevnimi organi pregona. Zgledno sodelujemo z Interpolom, Europolom in drugimi varnostnimi organizacijami po svetu. V skladu z industrijskimi standardi in pravnim redom ponujamo tehnično znanje, strokovne analize zlonamerne programske opreme in tako prispevamo k večji mednarodni kibernetski varnosti. Več kot 85 odstotkov prihodkov ustvarimo zunaj Rusije in to kaže, da bi bilo vsako neprimerno delovanje s katerokoli vlado za podjetje škodljivo.
Podjetje v ZDA ustvari okoli četrtino prometa. Kakšne bodo posledice za poslovanje družbe, se vpliv trenutnega dogajanja čuti tudi v EU?
V bistvu je zmanjšano oziroma zamrznjeno samo povpraševanje v ZDA s strani vladnih organizacij, tako da četrtina prometa ni ogrožena, saj zasebna podjetja v ZDA naše varnostne rešitve uporabljajo še naprej. Seveda pričakujemo kako težje četrtletje. Konkurenca komaj čaka na takšno priložnost in skuša prevzeti tržni delež. Sicer pa ima Kaspersky Lab več kot 400 milijonov uporabnikov po svetu, delujemo globalno, pristop je jasen: če se zamaje ena regija, položaj utrjujejo druge. V regiji vzhodne Evrope, za katero sem zadolžen, se vpliv dogajanja v ZDA ne čuti. Partnerje in novinarje, pa tudi končne stranke v »moji« regiji seveda zanima dogajanje, a nam kljub politiki in »kregarijam« čez lužo ostajajo zvesti. Stranke pač vedo, da so naše varnostne rešitve dobre, boljše od marsikaterih drugih. Kakovost ni vprašljiva. In ko gre za varnostno rešitev, stranke zaupajo tistim, ki se dokazujejo s tehnologijo, ne z letaki.
Ali Kaspersky Lab morebiti sodeluje s hekerji? Najemate hekerje za reševanje kakšnih varnostnih izzivov?
Če sodelujemo, potem gre za dobre hekerje, t. i. bele klobuke. Tudi nekateri naši vrhunski strokovnjaki v skupini za globalne raziskave in analize (GReAT) se imajo za bele klobuke. Njihova naloga je, da škodljive kode razstavijo na prafaktorje, ugotovijo, kaj in kako delujejo, saj lahko le tako razvijejo učinkovito obrambo zoper njih. Meja med vrhunskim varnostnim strokovnjakom in hekerjem je v zavesti in pristopu – enega vodi dobro, drugega zlo. Znanje imata oba. To še najlaže ponazorim z zgledom – nekdo ima znanje kraje avtomobilov. Če ga uporabi za krajo stotih avtomobilov, je to slabo, če ga uporabi za razvoj boljše ključavnice in drugih varnostnih mehanizmov, pa je dobro. Če najemamo, najemamo strokovnjake za IT z dobrim namenom.
Poglejva širše. Kaj je po vašem mnenju danes narobe z varnostjo IT?
Nič ni narobe z njo. Težava je le v tem, da jo že od samih začetkov interneta podjetja in posamezniki ne postavljamo v ospredje. Množična raba interneta, povezljivost in odprtost so privabile tudi zlikovce. Danes ista tehnologija, ki nam omogoča vsenavzočo povezljivost, tudi kiberkriminalcem omogoča zle manevre. Varnost je vedno kompromis, ne glede na to, s katerega zornega kota gledamo. Če podjetja želijo visoko raven varnosti, bodo poslovni uporabniki to čutili kot vrsto omejitev, ki jih bodo zavirale in v nekaterih primerih celo onemogočale pri njihovem delu. Kje boste postavili mejo, je odvisno od vas samih. Podobna analogija velja za domače okolje. Če imate doma odprta vsa vrata, se bo prej ali slej našel nekdo, ki bo prišel k vam in kaj odtujil. Če pa je vaš dom videti kot blindiran bunker, skoraj nikogar ne bo blizu, a v takem domu verjetno ne boste uživali, niti ne boste mogli komunicirati z okolico. Menim pa, da se ljudje in podjetja vse premalo zavedajo digitalnih in drugih groženj, ki jih obkrožajo, zato se tudi ne zaščitijo ustrezno.
Kaj pa bi bilo po vaše ustrezno oziroma dovolj dobro z vidika zaščite?
Neki »higienski minimum« predstavlja že uporaba protivirusne rešitve. Plačljive so navadno v praksi boljše od brezplačnih, saj ponujajo različne dodatne oziroma napredne funkcionalnosti, kot je npr. zaščita internetnega plačevanja. To je dovolj dobro za domačega uporabnika, za podjetja pa je zgodba drugačna. Tam je treba več znanja, saj morajo informatiki vpeljati mehanizme, postopke in pravila, kako skrbeti za informacijsko varnost. Poleg rabe varnostnih rešitev za naprave in omrežje pogosto veljajo tudi omejitve pri rabi programske opreme itd. Komunikacija naj bo kriptirana, saj bo tako onemogočeno prestrezanje informacij in izvajanje napadov »z vmesnim členom« (angl. man in the middle).
Zelo pomembna, a v praksi povsem zanemarjena, tako s strani podjetij kot posameznikov, pa je izdelava varnostnih kopij. Ljudje se ne zavedajo, da nenehno nastajajo nove, bolj dovršene grožnje, napadalci pa so bolj iznajdljivi in spretni. Zato v digitalnem svetu ni 100-odstotne zaščite. Torej, če nam kdo povzroči škodo, naj bo ta minimalna. Brez varnostne kopije podatkov se lahko kaj hitro sesuje naš, vsaj digitalni svet.
Zadnja leta nas strašijo in jezijo predvsem kriptovirusi. Kako se učinkovito zaščititi pred njimi?
Kriptovirusi so eden lepših pokazateljev, kako slabo ljudje skrbimo za varnost. Posledice pa so lahko katastrofalne. Če nekdo posamezniku vdre v računalnik in zakriptira datoteke, ta izgubi fotografije in nekaj dokumentov, večina stvari ima vrednost le za tega človeka. Nihče pa se ne vpraša, kaj se zgodi, če kriptovirus osvoji elektrodistribucijsko podjetje ali nuklearno elektrarno? Polovica Ukrajine je bila več dni brez elektrike zaradi takega napada, posledice so izjemne. Potem pa v medijih zasledim, da celo direktorji informatike, tako domači kot tuji, prostodušno priznajo, da so bila njihova podjetja že v preteklosti napadena in da se to pač dogaja. Torej je edino vprašanje, kdaj bodo spet napadena. Šokantno. Tako regulatorji kot države bi morali nameniti več poudarka zaščiti kritične infrastrukture, torej na področjih, kjer lahko nastanejo resni problemi in je ogrožena varnost ljudi.
Glede zaščite – že nekateri protivirusni programi so ustrezna zaščita zoper kriptoviruse. Celo naša brezplačna rešitev jih ustavi, saj spremlja delovanje sistema in če zazna vedenje, kakršno je množično kriptiranje datotek, ga zaustavi. Za ustrezno zaščito bo treba spremeniti tudi razmišljanje ljudi. Če ponazorim z zgledom, veliko jih vozilo zavaruje kasko, da pa bi namenili nekaj deset evrov za rešitev, ki lahko ščiti več milijonov digitalnega premoženja, to pa ne. Varnost je res v zanimivem obdobju, tudi v podjetjih vsi gledajo le na krčenje proračuna za IT, po drugi strani pa je varnostnih zahtev, napadov in drugih groženj vedno več.
Sem prav slišal – brezplačna varnostna rešitev Kaspersky? Boste po dolgih letih res skočili na ta vlak?
Da. Šele pred meseci smo jo ponudili v izbranih državah, postopoma pa jo predstavljamo na trgih, kjer smo navzoči. Kaspersky Free bo v Sloveniji, tako kot v večini evropskih držav, uradno napovedan oktobra.
To je za računalnike. Kaj pa brezplačna rešitev za mobilne naprave? Kako so ogrožene te?
Za mobilne naprave ponujamo več brezplačnih varnostnih rešitev, med njimi protivirusnik za tiste, ki jih poganja Android. Je pa res, da so mobilne naprave danes veliko bolj ranljive kot računalniki. Tudi škodljivih kod za mobilne naprave, posebej tiste z operacijskim sistemom Android, je vedno več, ta kategorija digitalnih nevarnosti se zelo hitro veča. Ljudje pa potrebujemo čas, da osvojimo zavedanje, da je treba mobilne naprave varovati. Včeraj smo z njimi le telefonirali, danes pa plačujemo, dostopamo do zaupnih podatkov, dokumentov, kazalnikov uspeha v podjetju ipd. Mobilne naprave postajajo ključna vstopna točka kiberkriminalcev, ki prek njih merijo predvsem na krajo podatkov za dostop do drugih sistemov.
Kaj pa internet stvari – koga bo zaradi njega bolela glava?
Vse in vsakogar. Brez heca. Vsaka nova tehnologija je ranljiva. Izdelovalci se posvečajo predvsem uporabnosti izdelkov, zaščita je v drugem planu. Zanimata jih čim nižja poraba energije in dolga avtonomija. Vse to gre na račun varnosti. Internet stvari bo rasel, kiberkriminalci pa bodo zanj pripravili vedno več groženj. Šele z večanjem incidentov se bo odzvala varnostna industrija, tak je žal življenjski cikel varnostnih rešitev. Dodatna težava je v tem, da npr. proizvajalci hladilnikov ali pa televizorjev niso strokovnjaki za informacijsko varnost. Tak izdelovalec zna, denimo, narediti odličen hladilnik, sprejemljiv in privlačen za trg, a z varnostjo nima veliko izkušenj, posebej če prej ni izdeloval povezanih naprav. Recept za težave je na dlani. Rešitev je torej v povezovanju s strokovnjaki za informacijsko varnost, da bodo naprave varne že v sami zasnovi.
Z varnostnega vidika pogosto izpostavljena tema so tudi samovozeča vozila in povezani avtomobili. Verjamete vanje?
Verjamem v varnostno industrijo, da lahko pripravi ustrezne rešitve. V Kaspersky Labu se vedno več strokovnjakov ukvarja z izzivi varovanja samovozečih in povezanih vozil, smo tudi člani mednarodne skupine, ki podaja mnenja, kako urediti varnost v pametnih avtomobilih. Zloraba avtopilota je velika težava. Več sistemov v vozilih različnih avtomobilskih znamk so hekerji že zlomili in pokazali, da izdelovalci avtomobilov trenutno niso povsem kos izzivu. Kot omenjeno, tu stopi na prizorišče izvedensko znanje, saj je jasno, da bomo brez ustrezne rešitve imeli težave vsi, ne le potniki v samovozečih vozilih. Mi smo že naredili korak naprej in nedavno na konferenci New Mobility World v okviru sejma IAA predstavili prototip varnostne rešitve za povezane avtomobile. Gre za varnostno komunikacijsko platformo, ki omogoča varno komuniciranje brez motenj med komponentami avtomobila, avtomobilom in njegovo zunanjo infrastrukturo.
Toda dejali ste, da 100-odstotne varnosti ni. Mar naj kar pozabimo na samovozeča vozila?
Nihče vam ne more z gotovostjo odgovoriti na to vprašanje. Sam menim, da bomo v avtomobilih deležni podvojenih sistemom upravljanja, podobno kot v letalih. Izdelovalci letal so že pred desetletji zaupali nalogo razvoja algoritmov in programov upravljanja vsaj trem različnim ekipam strokovnjakov. Zahteva je bila, da morajo rešitve glede na dane vhodne parametre dati enak izhodni rezultat. Morda bo tak pristop obveljal tudi v svetu vozil prihodnosti.