Ali nam lahko poveste kaj pomeni kibernetski kriminal in kako ga je v praksi mogoče izvajati?
Izhajamo iz (naše) definicije “Kibernetska kriminaliteta je uporaba informacijsko-komunikacijskih tehnologij za izvedbo kaznivih, škodljivih in nemoralnih dejanj v kibernetskem prostoru.” S tem zajemamo vsa dejanja, ki na kakršenkoli način škodujejo uporabnikom kibernetskega prostora. Z vidika posameznika se izvaja npr. z zlorabo plačilnih inštrumentov ali trenutno zelo »popularnimi« kripto virusov, kjer se zahteva plačilo za povrnitev sistema v prvotno stanje ali pa zgolj zmanjšana sposobnost dela v nekem časovnem obdobju (npr. z ne zelo škodljivo programsko opremo, ki le zmanjša performanse računalnika). Del kibernetske kriminalitete se nanaša tudi na področja, kjer uporabniki zaradi pohlepa želijo pridobiti različne ugodnosti, pa za to vnaprej plačajo določene zneske, ugodnosti pa seveda ne pridobijo (različne loterije, nagradna žrebanja, pranje denarja-predvsem skozi tipe nigerijskih prevar, super ugodna prodaja stvari, ki jih prodajajo, …). Z vidika organizacij, državnih institucij ali držav se kibernetska kriminaliteta lahko izvaja individualno na zaposlene, kot je opisano zgoraj, pomemben vidik izvajanja pa je tudi kibernetsko bojevanje za pridobivanje informacijske premoči skozi različne (anti)propagandne dejavnosti, vohunjenje (industrijsko državno) ali z vidika neposrednega pridobivanja informacij iz organizacijskih informacijskih sistemov. Pri zadnjem so metode večinoma preko izvajanja socialnega inženiringa, vdora v informacijski sistem in (nezakonito) sledenje osebam oziroma prestrezanje podatkov.
Številna poročila mednarodnih in nacionalnih organizacij iz zadnjega obdobja govorijo o hitrem in inovativnem razvoju kibernetske kriminalitete. Kje je Slovenija na tem področju in ali se odzivamo ustrezno in učinkovito?
Drži. Kibernetska kriminaliteta je prešla iz delovanja izjemno usposobljenih, neorganiziranih posameznikov v roke velikih, dobro organiziranih kriminalnih združb, ki za svoje delovanje najemajo izjemne skupine specialistov na področju IKT, s čimer zagotovijo visoko inovativno delovanje in stalen razvoj metod, ki uporabnike ogrožajo. Slovenija, po moji oceni v borbi proti kibernetski kriminaliteti zaostaja za razvitim svetom. Razlogov je več. Prvi je, da smo zaradi jezika in majhnosti trenutno še manj ogroženi kot velike in bogate države, tudi zaradi tega, ker nimamo izjemnih, bogatih organizacij. S tega vidika smo v prednosti. Ker se v Sloveniji še ni zgodil, z vidika zlorabe podatkov in finančno gledano, velik napad (ali zanj vsaj uradno ne vemo), se tudi odzivamo večinoma na način, kot, da je Slovenija izvzeta iz globalnega kibernetskega prostora. No, v letošnjem letu sprejeta strategija kibernetske varnosti je korak k urejanju razmer, v tem trenutku, ko čakamo izvedbene akte, pa ugotavljamo, da je področje premalo dorečeno. Obenem Slovenija kot država na vseh ravneh premalo vlaga k zagotavljanju višje stopnje kibernetske varnosti in obrambo pred kibernetsko kriminaliteto.
Največji problem, s katerim se srečujejo slovenski organi pregona, naj bi bilo redko obravnavanje kibernetskih kaznivih dejanj v globalnem razcvetu kibernetske kriminalitete. Torej, kje je mogoče pridobivati znanje za učinkovito zoperstavljanje kibernetski kriminaliteti, ki ga potrebujejo strokovnjaki na tem področju? Imamo v Sloveniji dovolj znanja?
Slovenija v obrambi pred kibernetsko kriminaliteto (KK) sama lahko stori malo. Ker je kibernetski prostor po definiciji globalen, državne meje so le še v glavah (predvsem politikov) mora Slovenija pristopiti in skupno reševati problematiko obrambe pred KK na evropski in globalni ravni. Seveda smo kot članica EU, NATA, … vključeni v mednarodne integracije in sodelujemo v odzivu na KK globalno, preko delovanja EUROPOLa in EC3, evropskih služb, INTERPOLa, …
Znanje specialisti pridobivajo preko formalnega izobraževanja, predvsem pa prek lastne iniciative in želje po napredku s študijem v internetu dostopnih virov in praks. Formalno globalno obstaja obilo funkcionalnih izobraževanj, kjer se pridobiva in izmenjuje specialistično znanje. Seveda so ta izobraževanja draga, namenjena ozkemu krogu specialistov, ki za razumevanje potrebujejo visoko stopnjo vstopnega znanja. Poleg tega se znanje deli znotraj delovnih skupin in dopolnjuje z sodelovanjem različnih specialistov.
Znanja je v Sloveniji dovolj, žal pa je razpršeno med posameznike oz. manjše skupine, nimamo pa nacionalne koordinacije (znotraj različnih ravni državnega ustroja). Seveda so specialisti v npr. policiji, SICertu, Arnesu, … pa vendar menim, da niso pripravljeni na učinkovit in usklajen odziv v primeru velikega kibernetskega napada na Slovenijo. Seveda je to špekulacija, saj tega iz prakse ne moremo trditi, saj takega napad (še) ni bilo.
Kateri je zadnji svetovno najbolj znani in odmeven kibernetski napad, ki je morebiti imel posledice širših razsežnosti?
Kibernetski napadi s kripto virusi so z vidika poznavanja med občani najbolje poznani, veliko se je o tem pisalo tudi v medijih. V stroki pa smo presenečeni nad velikimi napadi na bolnišnične sisteme, ki se dogajajo v zadnjem času, npr. http://www.itgovernance.co.uk/blog/major-hollywood-hospital-brought-down-by-a-ransomware-attack/, saj dokazujejo, da smo na sistemih, ki so za večino življenskega (dobesedno in preneseno) pomena, zelo ranljivi. Vsi se seveda bojimo uspešnega napada na kritično infrastrukturo – posamezni primeri kažejo, da smo tudi tu globalno zelo ogroženi in kot posamezniki smo vedno dojemljivi za neposredne napade, obenem pa se ljudi vsebolj zavedajo problematike zasebnosti.
Ali je po vašem mnenju sploh mogoča takšna zaščita, ki bi omogočila, da bi se kibernetski prostor zaščitil tovrstnim napadom in zlorabam? Kakšno vlogo ima pri tem človeški faktor, glede na to, da so ljudje najšibkejši člen v varnostnem sistemu organizacij?
Ne glede na stopnjo (tehnične) zaščite, znanja in zavedanja uporabnikov, absolutne varnosti ni. Posamezne rešitve zmanjšujejo ogroženost, zavedanje uporabnikov pa pomembno prispeva k manj uspešnim napadom, ki zlorabljajo »naivnost« ali neznanje uporabnikov. Pa vendar, sistema kot takega za obrambo pred kibernetsko kriminaliteto – NI!
Že iz prejšnjega odstavka je jasno, da človeški faktor igra izjemno vlogo. Po različnih statističnih podatkih različnih raziskav se ugotavlja, da je za uspešno izvedbo dejanj kibernetske kriminalitete v 9/10 primerov odgovoren uporabnik s svojo naivnostjo ali ne znanjem/poznavanjem ogroženosti, s čimer napadalcem odpira »vrata« v lasten ali sistem organizacije. Zgolj 1/10 pa je bolj sofisticiranih napadov skozi napake ali slabo konfiguracijo informacijskega sistema in tehničnih informacijskovarnostnih rešitev. Torej je uporabnik tisti, ki večinoma odloča o uspešnosti poskusov napadov kibernetskih kriminalnih združb. Zato je smiselno gojiti informacijskovarnostno kulturo in visoko stopnjo organizacijske kulture, saj se dobrobiti tega kažejo na mnogo področjih, ne zgolj na informacijskovarnostnem-in seveda tudi tu.
Andrej Kovačič E: andrej.kovacic@varensvet.si
