MIRAN VARGA
Najšibkejši del kibernetske
varnosti nis(m)o ljudje
Pogosto slišimo, da je najšibkejši del varnostne verige človek. Tudi sam sem dolgo delil takšno mnenje, pa ga ne več. Pravzaprav lahko človek postane najmočnejši del kibernetske varnosti.
Verjetno ste že slišali in se nasmejali izrazu, da je največja težava na področjih informacijske in kibernetske varnosti med stolom in zaslonom. Gre torej za uporabnike sodobnih tehnologij. Tej trditvi ni težko prikimati, saj smo ljudje krvavi pod kožo in večkrat naredimo kakšno napako – celo popolnoma nezavedno ali v dobri veri, da delamo stvari prav ali pravo stvar. Tudi v primerih, ko obvladamo delo s posamezno tehnologijo, napravo ali rešitvijo, nas napadalci še vedno lahko pretentajo, in sicer z uporabo tehnik t. i. socialnega inženiringa, na katerega ni imun skorajda nihče.
Pri zgoraj zapisanem moramo upoštevati še človeško naravo in psiho. Ko nekdo (podjetje ali posameznik) postane žrtev hekerjev, številni med nami impulzivno (o)krivimo žrtev. Prepričani smo, da je žrtev storila napako; predpostavljamo, da je uporabljala šibko geslo ali pa je uporabljala isto geslo na različnih spletnih straneh in v e-banki, ni uporabljala dveh- ali večfaktorske avtentikacije itd. Ne, nam, ki smo varnostno zavedni, se to ne bi zgodilo. Mar res?
Resnica ni le nekje vmes, je pa zagotovo precej bolj zapletena. Seveda lahko ljudje in podjetja storimo marsikaj, da bi postali manjše tarče v očeh napadalcev in okrepimo varnostno »držo«. A vse to nam bore malo pomaga, če hekerji izkoristijo t. i. sistemske napake, na katere končni uporabnik rešitve nima praktično nobenega vpliva. Podjetja in posamezniki uporabljamo strojno in programsko opremo, ki nam je všeč, je zmogljiva, priročna in/ali preprosta za uporabo. Le redko se vprašamo, ali je tudi varna. Številna zagonska podjetja in ponudniki rešitev s področja medomrežja stvari praktično vsak dan padejo na preizkusu informacijske varnosti. Njihov poslovni model temelji na tem, da čim prej trgu ponudijo približno delujočo rešitev, za katero bo kdo pripravljen plačati. Ne le, da ta podjetja in ponudniki nimajo vojske varnostnih inženirjev, v njihovih razvojnih prioritetah varnost ni zapisana prav na vrhu. A tudi velikani v IT-ju in drugih industrijah, globalna tehnološka podjetja, pogosto padejo na tem preizkusu. Tako smo priča izjemnim krajam osebnih in drugih podatkov, ki so naprodaj na temnem delu spleta in predstavljajo gorivo za druge oblike kibernetskega ter klasičnega kriminala – kraje identitet, praznjenje bančnih računov, izsiljevanja podjetij in uporabnikov itd.
Prav zato menim, da najšibkejši del kibernetske varnosti ni človek, temveč infrastruktura. V pravcati poplavi programskih kod, ki smo jim priča, pospešeni gradnji javnih in zasebnih ter hibridnih oblačnih okolij, je logično, da nastajajo razpoke. Razpoke, ki jih nepridipravi odkrijejo in izkoristijo.
Kako se torej ustrezno zaščititi v digitalnem svetu? Predvsem tako, da smo stalno na preži. S tem ne mislim le tega, da stalno spremljamo in nameščamo posodobitve in nadgradnje. Ne, napadalce moramo namreč tudi aktivno iskati. Ne glede na to, da požarni zid in protivirusni program ne vidita ničesar sumljivega, velja implementirati tudi rešitve za odkrivanje vdorov, iskanje anomalij v omrežnem prometu in podobne. Napadalci pogosto intimno ne poznajo našega IT-okolja. In tu je naša priložnost. Več pasti kot nastavimo, večje možnosti imamo, da jih bomo zaznali, blokirali in omejili nastalo škodo.