Varaždin će krajem tjedna ugostiti domaće hakere i sigurnosne stručnjake na Fsec konferenciji.
A s Tonimirom Kišasondijem, docentom na FOI-ju, razgovarali smo o stanju u online sigurnosti i prijetnjama u online svijetu.
Ima li uopće sigurnosti u online svijetu, možemo li se 100 posto zaštititi?
Jedna od čestih zabluda je da se sigurnost postiže skupim uređajima i trošenjem vremena na razne oblike zaštite. Ne postoji apsolutna zaštita, niti je ona potrebna. Pravi pristup je govoriti o riziku i birati što ćemo štititi i na koji način. Treba sagledavati moguće posljedice i moguće prijetnje i sistematski graditi sustav sigurnosti. Na taj način trošimo vrijeme i resurse na stvarne probleme.
Sigurnost prvenstveno počiva na ljudima i edukaciji ljudi, a ne na uređajima i programima. Treba pristupiti ljudima tako da ih se motivira da se brinu o informacijskog sigurnosti, a ne da ih se samo kritizira. Prije tri godine na FSec-u je CISO jedne veće banke iz SAD-a govorio o tome kako imaju program gdje zaposlenici koji uoče mailove s malicioznim kodom i prijave uredu informacijske sigurnosti koji te e-mailove blokira diljem tvrtke dobivaju bonuse. Tehničke mjere u informacijskoj sigurnosti su bitne, ali ključ su još uvijek ljudi, procesi i sistematičnost u primjeni slojevite zaštite.
Kako Hrvatska stoji po pitanju obrane? Kolika je uopće svijest o cyber rizicima?
Definirana je Nacionalna strategija kibernetičke sigurnosti i pripadajući akcijski plan, vidimo sve više simpozija o informacijskoj sigurnosti, sve se više priča o tome. Imamo i dobre tvrtke u RH koje se bave konzaltingom u području informacijske sigurnosti. I FOI i FER imaju svoje laboratorije iz područja informacijske sigurnosti. Rekao bih da cijeli trend ide prema široj svijesti. U općenitom smislu obrane, tu postoji razlika između privatnog sektora i državnog sektora. U svojem poslu gdje u sklopu laboratorija za otvorene sustave i sigurnost radimo sigurnosne provjere u praksi vidio sam vrlo dobro zaštićenih sustava gdje to nisam očekivao do užasno ranjivih sustava gdje sam očekivao daleko veću razinu sigurnosti i svijesti. Nema nekog pravila i većinom ovisi o ljudima koji rade u tim sustavima. Nema kvalitetne sigurnosti bez kvalitetnih ljudi.
Sve je više novih tehnologija... internet stvari, auti bez vozača, rizici se množe
Mislim da je vrijeme da u informacijskoj sigurnosti počnemo pričati o odgovornosti. Autoindustrija je došla do toga, prije ili poslije će i IT industrija morati prići tome. Tu nije problem samo Hrvatske, nego cijelog svijeta. Jedno od tih pitanja je bi li poduzeća koja razvijaju aplikacije za svoje klijente trebala razvijati sigurne aplikacije? Bi li se sigurnost sustava smatrala jednako funkcionalnim zahtjevom kao i ispravan rad aplikacije? Da, imamo sve više priče o novim tehnologijama kao što su autonomna vozila, bitcoin i blockchain. U tim domenama softverska ranjivost može biti iskorištena za ubojstvo ili za krađu više milijuna eura. Prvo još nismo vidjeli da bismo znali sa sigurnošću, ali drugo smo vidjeli kroz zadnju ranjivost u jednom Ethereum novčaniku gdje su kriminalci oštetili 3 digitalna novčanika za oko 32 milijuna USD, i to je tek izolirani incident i početak. Interesantno je pitanje što će se dogoditi dok te tehnologije dođu u široki opticaj.
Koje su odlike današnjih hakera, ovih koji služe tamnoj strani i imamo li bijele hakere i tko su oni?
Tamna strana postala je više-manje ustaljena oko financijskog interesa tih skupina ili špijunaže koje podržavaju države. Većina “tamnih” odnosno “black hat hakera” ne bavi se time zbog radoznalosti, već radi čistog financijskog interesa. Bijeli hakeri većinom rade kao sigurnosni konzultanti ili u sklopu “bug bounty” programa koji pod određenim uvjetima uočavaju sigurnosne nedostatke i prijavljuju ih proizvođaču.
Razlika je samo u etici, koristi li netko svoje znanje za dobro i slijedi zakon ili ne slijedi zakon i radi isključivo za svoj interes na štetu drugog.
Tko je najpoznatiji svjetski haker ili skupina...?
Onaj za kojeg nitko ne zna. Pravi hakeri i skupine su oni za koje ne znate da su u sustavu i koji realiziraju svoje interese, a da ne znate da su oni tamo. Učinkovitost napadača utvrđuje se po tome koliko je dugo sakriven i kako ispunjava svoje ciljeve. U našoj branši postoji dosta horor priča o tome...
Je li ransomware najučestalija prijetnja današnjice ili tek trend?
Ransomware je tek jedan trend. Prije 3-4 godine trend je bio u malicioznom kodu koji je lažirao transakcije, nakon toga su banke primijenile nove oblike zaštite da spriječe takve napade, nakon toga su se napadači prilagodili s prvim oblikom ransomwarea koji za vektor širenja ima e-mail. Dok je taj vektor pao u popularnosti, vidjeli smo wannacry / petya ransomware koji se širi putem mreže. Dobro je pitanje što je sljedeće. Kriminalci sigurno neće odustati, nego će se prilagoditi i izmisliti nešto novo.
Na konferenciji ćete okupiti “sigurnosnu” elitu, o čemu ćete zapravo raspravljati? Koje su vruće hakerske teme, i zašto treba biti u Varaždinu krajem tjedna?
Jedna od glavnih tema ove godine je GDPR, regulativa EU koja, između ostalog, predviđa i drakonske kazne u slučaju curenja osobnih podataka. Imamo dosta kvalitetan skup stručnjaka koji govori o vrlo aktualnim temama, od organiziranja informacijske sigurnosti do najnovijih napada na razne sustave. Imamo predavače iz Wirea, KPN-a, Googlea, Cisco Talosa, Kaspersky Laboratorija, ResetSecurityja i mnogih drugih. Ove godine imamo ponešto za svakog.