Zvonimir Cvetko Damnjanović, strokovnjak na področju informacijske varnosti in preiskav kibernetske kriminalitete

0

Spletna varnost postaja eden večjih izzivov sodobne družbe, tako na strani posameznika, kot na strani organizacij. Kaj je po vašem mnenju najbolj pomembno pri tovrstnih izzivih?

Pomembno je, da se zavedamo, da spletna varnost ni enkraten ukrep, kot je namestitev antivirusnega programa, požarne pregrade ali enega izobraževanja. Zavedati se moramo, da spletna varnost nikakor ni omejena na računalnik. Začne in konča se pri uporabniku, ki je po eni strani prva obrambna črta, po drugi strani pa največja ranljivost. Podjetju ne pomaga kaj dosti, če investirajo več deset tisoč eurov v različne požarne pregrade, njihovo konfiguracijo, protokole ipd., če zaposleni hranijo gesla na listkih, ki jih zalepijo na monitor ali pa izpise dnevnika dogodkov vržejo v smeti brez, da bi jih prej ustrezno uničili.

Kako naj se podjetja zaščitijo pred tovrstnimi grožnjami, da bi čim bolj učinkovito zaščitila t.i. kibernetski prostor pred napadi na svojo infrastrukturo in posledično podatke, informacije idr.?

Večina ljudi je poštenih, zato imajo težave z razmišljanjem in dojemanjem, kako se določen sistem lahko manipulira ali zaobide. Velika večina jih tudi ni dovolj tehnično podkovana za to. Ravno s tem namenom za kritično infrastrukturo, javno upravo, gospodarstvo in managerje ter posebej ogrožene med drugim delamo celostno preverjanje korporativne varnosti in vzpostavitev integriranega sistema korporativne varnosti. Pomembno se je zavedati, da je učinkovita zaščita proces, sisteme pa je potrebno redno nadzirati, testirati, izboljšati in ponoviti proces od začetka. Varnost je živi proces, ki se nikoli ne zaključi.

Nikakor ne smemo pozabiti na najšibkejši člen v segmentu varnosti in to je človek. Gledano z vidika zasebnega življenja, kje je posameznik, ko govorimo o spletni varnosti najbolj ranljiv?

Zagotovo so to čustva. Iz napadalčevega vidika je najlažje manipulirati s posameznikovimi čustvi. Napadalci najlažje, posledično najpogosteje pri tovrstnih napadih izkoriščajo človeško potrebo po potrditvi, ugajanju, biti všečen, ljubljen, pomemben… Želja po hitrem zaslužku in uspehu in pohlep je seveda razred zase. V upanju, da bodo ljudje čudežno zaslužili milijone, so pripravljeni narediti marsikaj, posledica je v večini primerov, da prav oni ostanejo brez svojega, težko zasluženega denarja, ali celo kompromitirajo službeni/poslovni informacijski sistem. Tudi v Sloveniji imamo veliko takšnih primerov, le da se o njih zelo malo govori – kar celo situacijo še toliko bolj poslabša.

V zasebnem življenju smo najbolj ranljivi na svojih mobilnih napravah, na katerih preživimo lep del dneva, nosimo jih s seboj, skupaj s kupom osebnih, občutljivih podatkov, gesli, dostopi do spletnih bank, elektronskih računov (službenih in zasebnih). Skratka v žepu nosimo celo svoje digitalno življenje in identiteto, pri tem se prepogosto zadovoljimo z minimalnimi varnostnimi nastavitvami, ali celo brez kakršne koli zaščite. Ogromno strank se odloči za vzpostavitev sistema za varno in anonimno komunikacijo. Vzpostavimo in uredimo jim sisteme za anonimno komunikacijo, varne, predelane mobilne telefone, ki ne pošiljajo lokacije in drugih podatkov spletnim gigantom (kateri te podatke prodajajo naprej). Takšnim napravam je praktično nemogoče prisluškovat ali prestrezati komunikacijo. Prav tako pripravimo druge naprave, s pomočjo katerih jim zagotovimo varno komunikacijo in segmentacijo zasebnega od službenega. Velik del naših strank je v tujini, kjer razumejo, da je protiobveščevalna kultura in anonimizacija del osnovne poslovne higiene.

Glede na čedalje večji prehod na avtomatizirane sisteme, kot so samovozeča osebna in tovorna vozila, vlaki, leteča plovila oz. sistemi, kot so droni, na daljavo upravljanje s sistemi kritične infrastrukture države itd., kakšne (ne)varnosti v tem segmentu nas čakajo v prihodnosti?

Navedeno lahko razdelimo na dva segmenta in sicer: življenjsko ogrožajoč segment in tisti, ki ogroža infrastrukturo. V Rusko – Ukrajinski vojni lahko vidimo, kako nevarni so droni. Sicer so tam oboroženi, vendar dron, ki ima nekaj sto gramov ali celo kilogram, in ga z motilci ali drugimi vrstami napadov zmanipuliramo tako, da iz 500m višine pade v množico ljudi, že brez pospeška, predstavlja veliko nevarnost za življenje. Drugi segment je napad na infrastrukturo, ki lahko za posamezen sistem povzroči ogromno materialne škode, kot tudi škodo ugledu podjetja ali ustanove. Na primer, v letu 2023 je podjetje Tesla imelo na trgu v uporabi 1,8 milijona svojih vozil. Uspešen napad na njihovo infrastrukturo bi teoretično predstavljal kompromitacijo 1,8 milijona vozil po vsem svetu. Predstavljajmo si materialno škodo, ki bi ob takšni kompromitaciji nastala za Teslo. Verjetno bi si podjetje težko opomoglo. Kaj šele drugi, bolj črni scenariji, kot npr. človeške žrtve. Verjamem, da so ti sistemi ustrezno segmentirani in zavarovani in je takšna možnost napada minimalizirana. Morali bomo razumeti, da naši domovi, naša neposredna okolica postajajo povezani skozi IoT. Sistemi, ki se pogovarjajo med seboj, nam olajšajo življenje, predstavljajo pa tudi pomemben vir uporabnih informacij za napadalce.

Ker na mladih svet stoji, kot radi pravimo, se ne moremo izogniti vlogi šole ter vzgoji in izobraževanju (tudi staršem). Na 7. IVK konferenci na temo varnosti in nenasilja, ki bo 17. 4. 2024 v Ljubljani boste imeli predavanje na temo, kako se zaščititi in prvi ukrepi ob zaznanem spletnem nasilju v vzgojno izobraževalnih zavodih (šolah). Kaj nam lahko poveste o tem?

Zagotovo, da je vredno obiskati 7. IVK konferenco, ker združuje strokovnjake iz vseh področij varnosti in je odlična priložnost za izmenjavo mnenj in idej. Vsi se lahko naučimo kaj novega. Glede prvih ukrepov pa naj povem, da so ključni, za zavarovanje dokazov in uspešno izsleditev storilca. Več o tem pa seveda predstavimo na konferenci.

V mesecu juliju 2024 bo potekala IVK Akademija za celovito varnost mladih 14+, kjer bodo mladi udeleženci imeli priložnost, da skozi aktivnosti okrepijo svoje znanje in se naučijo pravočasno prepoznati pasti in kako se jim učinkovito izogniti. Kaj opažate, so mladi dovolj ozaveščeni in opolnomočeni pred tovrstnimi nevarnostmi?

Menim, da je to področje, kjer ne moreš nikoli biti dovolj ozaveščen oz. opolnomočen. Posledično to terja kontinuirano izobraževanje. Varnostna tveganja se povečujejo, vedno več je spletnega nasilja, prav tako amok situacij in ključno je, da mlade ljudi pripravimo na to, da se znajo soočiti z dogodki in s povečanimi varnostnimi tveganji. Pomembno je, da znajo pravočasno prepoznati in da se znajo odzivati na varnostne incidente, napade, tako fizične, psihološke ali spletne. Brez dobrega temelja na tem področju so mladi še toliko bolj ranljivi. Zato bi priporočal vsem mladim in njihovim staršem, da jih spodbudijo in jim omogočijo udeležbo na tovrstni akademiji. Bolj kot bodo pripravljeni na te pasti, lažje in uspešneje se bodo soočali z njimi.

Kdo je Zvonimir Cvetko Damnjanović? Profesionalno pot je začel na področju informatike, podiplomski študij je zaključil iz področja korporativne varnosti in je doktorand informacijske varnosti. Svojo kariero je izgradil v policiji s preiskovanjem kibernetske kriminalitete in s preiskavami najhujših oblik kriminala, ter mladoletniške kriminalitete. Sodeloval je pri večjih mednarodnih projektih na Europolu ipd. ter predaval po svetu tako zaposlenim v službah organov pregona, kot tudi v zasebnem sektorju.

Portal Varensvet.si                                            E: info@varensvet.si

Uvodna fotografija: Pixaby

Deli z ostalimi.

Komentarji so onemogočeni.