Boštjan Špehonja, specialist kibernetske in informacijske varnosti, etični heker ter CEO GO-LIX d.o.o.

0

Veljate za zelo perspektivnega, uveljavljenega in visoko etičnega strokovnjaka, ki ga družba in poslovno okolje zelo potrebuje. S kibernetsko in informacijsko varnostjo ste se srečali zelo zgodaj, od kje vaša želja, da postanete strokovnjak na tem področju?

Začetki spoznavanja s kibernetsko varnostjo segajo v zaključni letnik srednje šole, ko je takratni sošolec pristopil do mene in rekel »Boštjan, vdrl sem ti v Gmail«. V tistem trenutku se mi je odprlo novo obzorje, saj do tedaj nisem vedel, da je to sploh mogoče. Še isti dan, ko sem prišel iz šole domov, sem vklopil računalnik in v Google vpisal »How to hack Gmail«. Seveda sem takoj spoznal, da zadeve niso tako trivialne, pa čeprav so bili to povsem drugi časi, ko na internetu še ni bilo toliko napadov in še manj zaščite. Cele dneve in noči sem brskal po forumih in se izobraževal o delovanju interneta ter potencialnih ranljivostih sistemov. Področje me je tako prevzelo, da sem se kasneje vpisal na Fakulteto za računalništvo in informatiko in zelo kmalu začel delati na področju kibernetske varnosti. Zgodba se je odvila tako daleč, da smo v letu 2018 v družinskem podjetju GO-LIX začeli s preusmeritvijo dejavnosti na področje informacijske ter kibernetske varnosti, v letu 2022 pa sem se odločil za povsem samostojno poslovno pot s podjetjem GO-LIX d.o.o., kar ocenjujem kot eno boljših odločitev v moji karieri, poleg odločitve za poklic Etičnega Hekerja. V vmesnem času sem opravil preko 300 projektov na področju varnostnih pregledov ter penetracijskih testov ter kar nekaj mednarodno priznanih certifikatov s tega področja, kot so Certificirani Etični Heker Master, CASP+, CySA, CNDA in drugi.

Kaj je pomembno, da poseduje oseba, ki želi biti strokovnjak in uspešen na področju kibernetske in informacijske varnosti?

Kljub temu, da je področje trenutno vroča žemljica in je zanj veliko zanimanja, pa mora imeti oseba res določene ključne lastnosti. Ko govorimo o kibernetski varnosti, govorimo o strmenju k izboljšanju sistemov ter  varovanju zaupnih in tajnih podatkov najrazličnejših podjetij ter organizacij. Posledično se etični hekerji velikokrat srečamo s strogo zaupnimi podatki in naša glavna osebnostna lastnost pri tem delu mora biti ravno etika. Velikokrat  izjavim, da mora vsak, ki se opredeljuje za etičnega hekerja, najprej podpisati Dogovor o varovanju zaupnih informacij (NDA) sam s seboj in skladno z dogovorom živeti svoj vsakdan. Poleg tega se lahko o svojih največjih uspehih, kako smo vdrli v kakšno organizacijo ali aplikacijo poveselimo izključno s tistimi sodelavci, ki so v projektni skupini. Poleg tega pa mora biti vsak strokovnjak pripravljen na nenehno učenje in izobraževanje, saj se področje informacijske in kibernetske varnosti razvija s svetlobno hitrostjo, ranljivosti in tehnike napadov se odkrivajo na dnevni bazi. Torej, če povzamem: Etika, vztrajnost ter nenehno izobraževanje.

Kibernetski napadi sodijo med hibridne grožnje, ki imajo v glavnem izvor tujih akterjev oz. naročnikov. Ali in kako se je mogoče zaščititi pred kibernetskimi napadi, ki jih je mogoče odkriti, ko so že dejansko v okolju, katerega so si napadalci izbrali za tarčo?

Za učinkovit boj proti napadom je potrebno nenehno izboljševanje sistemov ter izobraževanje zaposlenih. Napadalci so vdrli že v vse največje korporacije, vlade, podjetja, zato velja splošno prepričanje, da je mogoče vdreti v vsak sistem. To načeloma drži, vendar je vprašanje koliko časa in finančnih sredstev bo napadalec porabil za dosego svojega cilja. Če uporabljate privzeta gesla, ne posodobljene storitve in v podjetju nimate vpeljanih niti osnovnih varnostnih mehanizmov, je vdor v takšno podjetje relativno enostaven. Napadalcu lahko  vdor v takšno podjetje uspe že z avtomatiziranim skeniranjem interneta. Če pa imate v podjetju vzpostavljene varnostne mehanizme, izobražene zaposlene in redno skrbite za kibernetsko ter informacijsko varnosti, pa lahko preprečite tudi nekatere ciljane napade na vaše podjetje. Če se želite resnično prepričati, ali je vaše podjetje odporno pred hekerskimi napadi, pa je edini način, da najamete storitev etičnega hekerja. Slednji izvaja enake metode kot zlonamerni hekerji, le da je celoten projekt usklajen ter kontroliran z naročnikovo ekipo.

Kako hitro boste odkrili hekerja v vašem omrežju, pa je odvisno predvsem od vaših vpeljanih varnostnih mehanizmov kot so požarne pregrade, IPS sistem, SIEM, SOAR, napredni protivirusni programi, analitika omrežnega prometa in drugi.

Glede na pomanjkanje strokovnjakov na tem področju, kje vi vidite možnosti za izboljšanje stanja, namreč brez ustreznega števila visoko usposobljenih strokovnjakov, se bo družba in poslovni svet težko spopadal z izzivi sodobnega časa, ki jih je prinesel razvoj tehnologije?

Pomanjkanja strokovnjakov na področju informacijske ter kibernetske varnosti je zelo veliko. V zadnjih letih se vse več javno govori o poklicu etičnega hekerja ali varnostnega inženirja, kar je k sreči obrodilo sadove tudi pri dijakih in študentih. Kljub temu, da smo na področju izobraževanja tovrstnih strokovnjakov več let v zamudi, se v Sloveniji le pojavljajo šolski programi v smeri kibernetske ter informacijske varnosti. Poklic je atraktiven, poln adrenalina, vendar prinaša tudi pasti. Za razvoj res dobrega strokovnjaka na področju etičnega hekerja je potrebnih vsaj 3-5 let delovnih izkušenj v praksi, k čemur seveda ne štejemo izobraževanj na fakultetah ali različnih platformah kot so TryHackMe ali HackTheBox. Po mojem osebnem mnenju v tem trenutku največ za razvoj kadrov na področju kibernetske varnosti naredimo ravno podjetja, ki v svoje vrste sprejmemo študente ter druge entuziaste na tem področju ter jih mentoriramo, usmerjamo ter predajamo znanje. Seveda ne smemo biti krivični in pozabiti na določene fakultete ali organizacije, ki si ravno tako prizadevajo, da bi ustvarile čim boljši kader za delodajalce.

Kakšno je vaše mnenju o nevarnostih in aktivnostih, ki jih je mogoče izvajati preko opreme videonadzornega sistema določenih proizvajalcev, ki jih organizacije vzpostavijo v svoje poslovno okolje?

Velikokrat se je že izkazalo, da so bili ravno zunanji proizvajalci določenih storitev vektor napada v organizacijo, bodisi je bil to video nadzorni sistem, datotečni sistem, poštni strežnik, razne aplikacije ter drugi. Pri tem ločim tri nivoje tovrstnih napadov. Kot prvega bi omenil neustrezno zaščitene in ne posodobljene storitve, privzeta gesla in šibka konfiguracija, kar napadalcem omogoča vdor ali vpogled v sistem z enostavnimi hekerskimi metodami.

Kot drugo velja omeniti napade ničtega dne (angl. 0-day vulnerability), ki lahko doleti vsako organizacijo. Gre za ranljivosti, s katero proizvajalec programske opreme ni seznanjen in posledično popravek za ranljivost ne obstaja. Če ranljivost odkrijejo zlonamerne hekerske skupine, se slednje masovno izkoriščajo v internetu. V takšnem primeru je potrebno slediti in ukrepati skladno z navodilom proizvajalca, v nekaterih primerih celo izklopiti storitev, dokler se ne izda varnostni popravek. Preveriti pa je potrebno, ali smo bili tudi sami tarča hekerskega napada.

Kot tretji tip napada pa bi izpostavil visokotehnološko kibernetsko vohunjenje, ki se odvija med državami in smo ga bili pred kratkim priča tudi v Sloveniji na Ministrstvu za zunanje zadeve. Poleg tega je znano, da so določeni proizvajalci programske in strojne opreme v svoje produkte vgradili stranska vrata (angl. Back door), kar je proizvajalcu programske opreme omogočilo dostop do omrežja organizacije. Običajno podjetje ali končni uporabnik skoraj nima možnosti, se proti tovrstnim napadom kakorkoli zoperstaviti. Zato se na nivoju Evropske Unije že pojavljajo opozorila in priporočila, naj se določenih proizvajalcev programske ter strojne opreme ne uporablja v okoljih kritične infrastrukture, vlad, ter ostalih podjetij in napravah, ki so strateško pomembna za nacionalno varnost. Kot zadnji tak ukrep z dne 24.2.2023 je prepoved uporabe aplikacije Tik-Tok v občutljivih okoljih ter na mobilnih napravah vladnih uradnikov.

https://www.euronews.com/next/2023/03/23/which-countries-have-banned-tiktok-cybersecurity-data-privacy-espionage-fears

K. K.                                                                                                E: info@varensvet.si

Deli z ostalimi.

Komentarji so onemogočeni.