Vojna.exe
Če se nam je še lani zdelo, da so razprave o kibernetskih napadih, varovanju kritične infrastrukture in drugih dejavnikih vojskovanja v kibernetskem prostoru, kjer namesto tankov preštevamo strežnike, namesto vojakov pa strokovnjake, usposobljene za vojskovanje v prostoru ničel in enic, nekako oddaljene, smo lahko letos skorajda na lastni koži občutili posledice kibernetskih napadov ter bili na svetovni ravni priča večkratnim kibernetskim bitkam med posamezniki, interesnimi skupinami in državami.
Wikileaks je začel zgodaj spomladi objavljati večje količine dokumentov, ki so jih poimenovali Vault7 in v njih razkrivali nabor orodij za kibernetsko vojskovanje ameriške obveščevalne agencije CIA.
Aprila 2017 smo lahko spremljali krajo in nato uporabo orodij ameriške obveščevalne agencije NSA. Skrivnostna skupina Shadow Brokers je nato ta orodja preprodala in povzročila drugi incident leta. Virus WannaCry, ki je izkoriščal varnostno razpoko v sistemu Windows XP, je po vsem svetu povzročil velike težave na sistemih, ki jih upravitelji niso ustrezno zavarovali.
Komaj smo se rešili napada z virusom WannaCry, že je mesec kasneje udaril dvojec virusov Petya/NotPetya, ki je podobno kot WannaCry izkoriščal varnostne razpoke, od tarč pa zahteval finančna izplačila v zameno za odklep nezavarovanih informacijskih sistemov. Raziskovalci so ugotovili, da je bila to le krinka za merjeni napad na infrastrukturo v Ukrajini, ki jo je napad najbolj prizadel.
Jens Stoltenberg, generalni sekretar zveze NATO, poudarja, da kibernetsko vojskovanje ni več izjema, temveč pravilo.
Aktualne so bile tudi predvolilne kampanje za predsednika Francije, kjer so neznanci v spletu objavili večje količine elektronskih sporočil aktualnega francoskega predsednika Emmanuel Macrona. V ZDA so letos poleti strokovnjaki za varnost opozorili na večjo količino volilnih baz ameriškega volilnega telesa, ki so bile prosto dostopne v spletu zaradi varnostne razpoke.
Zadnji večji napad se je med pisanjem tega članka pripetil ameriškemu podjetju Equifax, ki skrbi za ocenjevanje kreditne sposobnosti ameriških državljanov. V napadu, ki je bil posledica neustrezno varovanih zbirk podatkov, so nepridipravi odnesli osebne in druge podatke polovice ameriških državljanov.
Hkrati so po vsem svetu zaznali več različnih manjših napadov v zbirke podatkov različnih spletnih storitev, večje in manjše kraje kriptovalut ter odtujevanje osebnih podatkov pretežno ameriških državljanov.
»Evropska unija mora odgovoriti na grožnjo kibernetske vojne«
Razmere na trgu so sprožile predvsem politični odziv zakonodajalcev in nacionalnih vlad po vsem svetu. Evropska unija in predsednik Evropske komisije, Jean-Claude Juncker, sta v letnem nagovoru napovedala spremembo strategije na tem področju. »Z vedno večjim številom kibernetskih napadov, zvečanjem kiberkriminalitete in vedno večje uporabe napadalnih kibernetskih orodij s strani državnih akterjev mora tudi Evropska unija razviti odpornost zoper to grožnjo in ustvariti učinkovito obrambno mrežo,« je med drugim dejal Juncker.
Tako bosta letos in naslednje leto Evropska unija in zveza NATO prvič izvajala skupne vaje kibernetske obrambe, s katerimi bosta poskušala simulirati napade na večje število članic in sistemov, povečala se bodo vložena sredstva v izobraževanje, razvoj sistemov, storitev in izdelkov na področju kibernetske varnosti in obrambe.
V začetku septembra 2017 je Evropska unija izvedla vojaško vajo, ki se je osredotočala prav na ranljive kibernetske sisteme. Vaja je simulirala napad na center za mornariško poveljstvo v Sredozemlju, ki je imel za posledico izgubo komunikacije z ladjami, hkrati pa so neznani storilci ob pomoči družabnih medijev v več državah začeli pozivati k protestom proti oblastem.
Tanel Sepp, pomočnik direktorja za kibernetsko vojskovanje znotraj estonskega ministrstva za obrambo, je pojasnil, »da bi radi z vajo pokazali na pomembnost tega področja in opozorili na to, da je kibernetsko vojskovanje postalo del političnega vsakdana.« Tudi Jens Stoltenberg, generalni sekretar zveze NATO, poudarja, da kibernetsko vojskovanje ni več izjema, temveč pravilo, saj so preteklo leto zaznali več kot petdesetodstotno povečanje števila napadov na omrežja zaveznic NATO.
»Kibernetska varnost je odgovornost nas vseh!«
Tudi Slovenija je na tem področju napredovala, predvsem s stališča vzpostavljanja struktur in zakonodaje, ki bo v prihodnosti lahko podlaga za ukrepanje in odzivanje na incidente v kibernetskem prostoru.
Septembra letos je tako vlada poslala v javno obravnavo osnutek zakona o informacijski varnosti, ki nadaljuje trend političnega opredeljevanja do problema kibernetskega vojskovanja in ga je vlada v tem mandatu začela že pred letom dni. Predlog zakona v šestintridesetih členih opredeljuje področje urejanja, vnaša izvedbo evropske direktive NIS in določa pogoje varovanja omrežij v Sloveniji, ki so bistvenega pomena za nemoteno delovanje države.
STA poroča, da predlog poleg tega ureja posamezna področja varovanja in posredovanja informacij in podatkov ter njihove zaščite v opredeljenih omrežjih in informacijskih sistemih. Po zakonu so vsi zavezanci – izvajalci bistvenih storitev in ponudniki digitalnih storitev – dolžni vzpostaviti in vzdrževati dokumentiran sistem upravljanja varovanja informacij in sistem upravljanja nepretrganega poslovanja.
Ta mora obsegati najmanj analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj, politiko nepretrganega poslovanja z načrtom njegovega upravljanja ter seznam ključnih krmilnih in nadzornih informacijskih sistemov in delov omrežja zavezanca ter pripadajočih podatkov, ki so bistvenega pomena za delovanje zavezanca.
»Ozaveščenost civilne družbe pri kibernetski obrambi je eden ključnih temeljev.«
Zajemati mora tudi načrt obnovitve in vnovične vzpostavitve delovanja informacijskih sistemov iz prejšnje alineje ter načrt odzivanja na incidente s protokolom obveščanja pristojnih organov ter pristojne skupine za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij. Zakon med drugim opredeljuje tudi pojem kibernetskega napada. To je napad, ki povzroči oteženo delovanje države oziroma delno onemogoči delovanje vsaj treh sektorjev bistvenih storitev ali enega v celoti za več kot pet ur. Strategija kibernetske varnosti po zakonu predstavlja tudi okvir za izvedbo ukrepov, ki bodo pripomogli k vzpostavitvi učinkovitega nacionalnega sistema zagotavljanja kibernetske varnosti.
Gorazd Božič, vodja nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (Si-CERT), pojasnjuje razloge za nastanek te zakonodaje. »Predvsem gre za lokalizacijo direktive NIS, ki državam članicam nalaga uvedbo v domačo zakonodajo – tako morajo države članice opredelitvi bistvene storitve za delovanje države in družbe na digitalnem področju, katere pravne osebe z njimi upravljajo in jim naložiti določene aktivnosti za vzdrževanje kibernetske varnosti,« predlog povzema Gorazd Božič, ki dodaja, »da mora po direktivi NIS država poskrbeti za finančna sredstva za delovanja varnostnih centrov«.
Na tem področju Slovenija ni prva od regijskih držav. »Srbija in Hrvaška sta na tem področju pohiteli sami od sebe, nas pa sta, če smo čisto odkriti, k temu prisilila Evropska unija in rok uvedbe,« pojasnjuje Gorazd Božič. Uvedbo pozdravlja in jo razume kot naslednji evolucijski korak k sistemski ureditvi tega področja.
Dobran Božič, direktor Urada Vlade RS za varovanje tajnih podatkov, ki od začetka letošnjega leta v novi vlogi vodi snovanje sistema kibernetske varnosti in je eden od snovalcev predloga zakona, razmišlja zelo široko. Tako sistem kibernetske obrambe predvideva ustanovitev sedmih varnostnih centrov (SOC), ki so razdeljeni po različnih panogah – energetika, voda, zdravstvo, promet, bančništvo, digitalna infrastruktura in infrastruktura finančnega trga.
Gorazd Božič vidi tu izziv predvsem v sektorjih, ki doslej niso veliko vlagali v kibernetsko varnost. »Energetika in bančni sektor sta na tem področju nadvse dobro poskrbela za splošno varnostno kulturo,« komentira stanje na trgu, »in na teh področjih ne bo večjih sprememb.« Na drugi strani vidi izzive predvsem na področju zdravstva. »Pri razpravah in uvedbah rešitev na področju e-zdravstva pogrešam razpravo o varnostnih vidikih, saj na tem področju vidim veliko možnosti za izbojšave.«
Predlagana struktura sodelovanja različnih akterjev bi po mnenju Dobrana Božiča v praksi pomenila pomembno prednost pri napadu vrste WannaCry. »Vzrok napada WannaCry so bile razpoke v sistemu Windows XP, za katere je izdelovalec že pred napadom ponudil varnostne popravke,« razlaga Božič in nadaljuje, »da bomo s predlagano strukturo institucij aktivno spremljali razmere na trgu, opozarjali na varnostna tveganja in tako dosegli boljši odstotek podjetij, ki bi pokrpala to varnostno razpoko še pred napadom.«
Druga ključna podrobnost načrta je vključevanje široke palete strokovnjakov v odločevalski proces. »Na tem področju želimo razviti sistem svetovalnega organa, ki bi pomagal odločevalcem razvijati rešitve,« poudarja Dobran Božič, »in bi tako izboljšal kakovost odločitev novoustanovljenega organa.« Gorazd Božič opozarja, da nas na področju kadrovske politike tu čaka veliko dela. »Kadri definitivno so, prav tako procesi izobraževanja specifičnih kadrov s tega področja,« ocenjuje in dodaja, »da smo zelo zadovoljni z razvojem pozitivnih gibanj na tem področju, saj že več let opozarjamo na kadrovsko podhranjenost tega področja.«
Razlike med teorijo in prakso
Gorazd Božič opozarja na teoretsko zaslombo zakonov in praktično uvedbo ter izvajanje zakonodaje v praksi. »Strategije in zakonodaja sta koristna dejavnika, če se njihovo izvajanje pozna v praksi,« pojasnjuje in upa, »da na področju kibernetske varnosti ne bomo zapadli v znani model pisanja strategije na strategijo, kjer bo zmanjkala praktična implementacija in preverjanje praktične implementacije.«
Razmere na področju kibernetske obrambe tudi v Sloveniji kličejo po aktivnem reševanju tega področja. »Poudarjam, da smo v praksi na tem področju zaznali konkretne potrebe trga po varovanju infrastrukture in delovnih procesov,« komentira stanje Gorazd Božič, »in tu ne gre za teoretične vaje v slogu.«
Vedno večja odvisnost od kibernetske komponente v vseh sektorjih industrije je namreč tudi na svetovni ravni že večkrat pokazala, da to področje zahteva resno obravnavo. Gorazd Božič spomni na lanskoletne napade na energetsko infrastrukturo v Ukrajini, kjer so bile posledice zares dramatične. »Ta razmeroma velika odvisnost od kibernetskega prostora zahteva razvoj odzivnih zmogljivosti, s katerimi rešuješ in preprečuješ incidente,« še dodaja.
Božič spomni, da se je večina rešitev na področju preprečevanja posledic in vzrokov kibernetskih napadov razvila iz skupnosti, ki se je nato povezovala v odzivne strukture. »Na tem področju najbolje deluje povezovanje obstoječih organov in skupin, ne pa vzpostavljanje strukture od vrha proti dnu,« pojasnjuje in ocenjuje, da bo največji izziv povezovanje operativcev in strategov na tem področju. »Ključno je razvijanje modelov sodelovanja med vsemi akterji, ki ne bodo povzročali nepotrebnega trenja in bodo delovali sinergijsko,« dodaja.
Eno od perečih vprašanj je tudi financiranje aktivnosti odzivnih in varnostnih centrov. Gorazd Božič spomni, da je po direktivi NIS to vloga države. »Direktiva NIS nalaga državi zagotovitev financ za delovanje centrov in lahko rečemo, da je država tista, ki z varnostnimi centri upravlja,« pojasnjuje.
To je tudi jasna kritika samoregulativnega modela, kjer bi industrija sama plačevala za vzpostavitev in vodenje varnostnih centrov. »Izkaže se, da smo ljudje zelo slabi pri ocenjevanju tveganj na daljši rok in na področju kibernetske varnosti je nujno zagotoviti stabilne vire financiranja, ki ne smejo biti odvisni od trenutne navdušenosti nad določenim področjem,« pojasnjuje Gorazd Božič in nadaljuje, da »iz praks po evropskem prostoru najbolje delujejo državni varnostni centri, veliko število zasebnih centrov na trgu pa ni dobro.« Poleg tega bi pri podeljevanju naloge zasebnikom odprli vprašanje financiranja, kjer bi zasebniki dobivali javni denar za izvajanje funkcije, ki bi jo morala izvajati država sama.
Kibernetska obramba je vprašanje ljudi, ne strojev
Sogovorniki se strinjajo, da je področje kibernetskih napadov in obrambe v razvoju in da bo to eno ključnih vprašanj tudi v prihodnosti. Predlog zakonodaje o kibernetski varnosti zato predvideva revizijo po petih letih uvedbe. To kaže na to, da se ustvarjalci dinamike zavedajo.
Obenem poudarjajo, da so največja neznanka varnostne enačbe ljudje, ne tehnologija. Človeška napaka in nezadostna varnostna kultura sta pri skoraj vseh dosedanjih kibernetskih varnostnih katastrofah odigrala pomembno vlogo in nič čudnega ni, da se določen del industrije ogreva za vklop umetne inteligence na tem področju, ki naj bi zamejila škodo, povzročeno s človeškim dejavnikom.
Direktor tehnologij pri britanskem Državnem centru za kibernetsko varnost, ki deluje znotraj obveščevalne agencije GCHQ, Ian Levy, opozarja, da se mora na tem področju spremeniti predvsem miselnost. »Razvijalci varnostnih programskih rešitev se ne ukvarjajo z uporabniki, to pa ima za posledico iskanje bližnjic in nerazumevanje uporabnosti varovalk,« je aktualne dogodke komentiral konec septembra in dodal, »da se moramo čimprej začeti ukvarjati z razumevanjem človeškega dejavnika, ki nam bo pomagal vzpostavljati učinkovite varnostne rešitve.« Velikokrat se namreč zgodi, da snovalci sistemov za zlorabe krivijo uporabnike, ti pa v vlogo krivca padejo predvsem zaradi nerazumevanja delovanja, ne zaradi namenske zlobe, je pojasnil Levy.
To bo še posebej pomembno v vedno bolj povezanem svetu interneta stvari, ki prihaja na vsa področja našega življenja. Vedno večje število naprav, povezanih v svetovni splet, pomeni vedno večje število točk napada, vedno večje število kombinacij zlorab in vdorov in vedno bolj pereč odgovor na vprašanje vzpostavitve varnosti v digitalnem okolju.
Dobran Božič razmišlja podobno. »Ozaveščenost civilne družbe pri kibernetski obrambi je eden ključnih temeljev,« poudarja in nadaljuje, da bo to ena od glavnih nalog akterjev na tem področju. »Družba se mora začeti kot celota aktivno ukvarjati z izzivom kibernetske varnosti, saj se vedno znova izkaže, da je človeški dejavnik ključen,« še podčrta.
In če ne verjamete – v zadnjem velikem napadu na zbirke podatkov podjetja Equifax iz uvoda tega članka so nepridipravi lahko v sistem vstopili zato, ker so upravljalci portala upraviteljski račun opremili s smrtonosno kombinacijo uporabniškega imena in gesla – admin/admin.
Hean-Claude Juncker, predsednik Evropske komisije
Dobran Božič, direktor Urada Vlade RS za varovanje tajnih podatkov.