Intervju: »Tudi če vam zavarovalnica vrne tri milijone, vam to verjetno ne bo zadostovalo za povrnitev škode, saj boste morali nazaj vzpostaviti vse podatke.« – Gorazd Božič, SI-CERT

Kibernetski napadi so vse bolj sofisticirani. Socialni inženiring, kraje identitete, QR phishing, DdoS in MitM napadi niso samo tujke, ampak vsakdan spletnega kriminala. O tem, kakšne vrste napadov poznamo, kako nas lahko ogoljufajo spletni prevaranti in kako se lahko izognemo ranljivosti računalnika ter še o čem smo spregovorili z vodjo Nacionalnega odzivnega centra za kibernetsko varnost, Gorazdom Božičem.

Leta 2023 je bilo v Sloveniji zabeleženih za več kot 27 milijonov evrov spletnih bančnih prevar. Ali so številke zdaj že višje?

Iz leta v leta beležimo več incidentov različnih vrst in tudi zlorab ter poskusov zlorab komitentov različnih bank. Najpogostejša težava je tako imenovan phishing, ribarjenje z gesli, pri katerem napadalci uporabljajo že zelo kompleksne mehanizme. Banke danes uporabljajo dodatno potrditveno kodo, ki jo generirajo aplikacije, ampak goljufi že poznajo tudi metode, kako jih preseči. V bistvu je ena od težav prav pospešena digitalizacija, ki jo je pohitrila epidemija koronavirusa, čeprav nas je verjetno tako ali drugače čakala za vogalom. Zaradi nje vedno bolj uporabljamo mobilne naprave, omrežja in aplikacije, kar lahko prinese stranske posledice. Pogosto povem, da sta že dva napačna klika v aplikaciji ali par vtipkanih številk dovolj, da nekdo nepooblaščen pride do naših življenjskih prihrankov in izprazni račun. Pri tem bi se morali vrniti nazaj k snovanju aplikacij in preveriti, ali smo res naredili vse, da bi preprečili zlorabe.

So ponavadi tarče goljufij posamezniki ali podjetja?

Posamezniki so tarča phishing napadov, podjetja pa so druga kategorija. Od povprečnega posameznika boste lahko v povprečju ukradli par tisoč evrov, če ciljate na podjetja so zneski veliko večji. Nekatere multinacionalke v ZDA so po kibernetskem napadu izsiljevali za milijonske zneske. Pri nas so ti zneski manjši, okoli trideset, štirideset tisoč evrov, ampak še vedno velja, da so za podjetja te vsote večje. 

Bi bilo potemtakem smiselno, da se upremo digitalnemu prehodu in si recimo kupimo starejši, »ne-pameten« telefon, ali se moramo s situacijo enostavno sprijazniti?

Odvisno, o kom govorimo. Midva v dobi pametnih telefonov nimava druge izbire. Nenavadno bi bilo, da se vi kot novinarka odločite za tak telefon, ker boste s tem prikrajšani za veliko aspektov, ki vam jih ponuja pametna naprava. Če govorimo o nekomu, ki je star 85 let in potrebuje telefon zato, da je v stiku s svojci in prijatelji, in ga ali pa jo mogoče begajo te nove tehnologije, potem bi bil pa moj nasvet, da je mogoče bolje ostati na starih sistemih, kot jih je še na voljo, in ne na silo iti v to, da uporabljamo tehnologijo zgolj zato, da jo uporabljamo. V enem primeru to ni smiselno, v drugem primeru je. Odvisno je od tega, kakšen je naš profil, naša uporaba, kaj želimo od telefona, ali smo zaposleni ali upokojeni in tako naprej.

Se lahko spletnim prevaram sploh izognemo? Ali lahko kot posamezniki poleg dvostopenjske avtentifikacije storimo še kaj?

Sama narava tako spletnega kriminala kot kriminala na splošno je takšna, da so storilci en korak pred tistimi, ki razmišljamo o zaščiti. Ne gre drugače. Oni nekaj postavijo, mi odreagiramo. Tudi policija ne more začeti preiskovati kaznivega dejanja, če se to še ni zgodilo. Posamezniki v neki meri sigurno lahko vplivamo na to, stoprocentne rešitve pa ni. Nedvomno je del rešitve izobraževanje, zavedanje o tem, kakšni problemi se nam lahko zgodijo. Ne moremo pričakovati, da bo vsak od nas v vsakem trenutku obvladoval vsa tveganja. Danes moramo vsi imeti tehnološko zaščito, kot so protivirusni programi in požarni zidovi, potem pride izobraževanje in ozaveščanje uporabnikov, potrebno pa je delati tudi na tem, da če do neljubega dogodka pride, škodo minimiziramo. Poglejte avtomobilsko industrijo, ki je šele sredi preteklega stoletja uvedla varnostne pasove. Tako lahko industrija pripomore k temu, da se tveganja zmanjšajo. Danes sem bil na konferenci, kjer smo govorili o tem, da bi bilo treba sredstva z digitalnimi komponentami certificirati, tako kot to regulirajo na področju hrane in zdravstva. V digitalnem svetu smo na to pozabili in zdaj želi Evropska unija to nadoknaditi. Pri čemer bo seveda razlika med igrico za mobilni telefon, kjer bodo zahteve veliko nižje kot pri programski opremi za nuklearno elektrarno. Tam bodo zahteve veliko strožje, a ob tem se spomnimo na številne incidente z otroškimi igračami, ki so imele vgrajene pametne komponente in preko katerih je prihajalo do zlorabe podatkov, saj je lahko nepooblaščena oseba igračo izkoristila za prisluškovanje dogajanju v otroški sobi.

Kaj pa če govorimo o operacijskih sistemih računalnikov? Je res Linux varnejši od Windowsov?

Načeloma so vsi bazirani na podobnih idejah. Bolj kot lastnosti, je pomemben njihov tržni delež. Kriminal se ravna tudi po tem, da bo imel največji povrnjen vložek. Pri napadih na računalnike z Windowsi boste imeli hitreje povrnjen denar. Linux se dominantno uporablja v strežniških sistemih, v podatkovnih centrih in seveda obstajajo tako zlonamerne kode kot načini vdora vanj. Pred nekaj leti smo dobili v vpogled zlorabljen računalnik, njegova uporabnica je uporabljala Linux, ki ji ga je namestil njen fant, rekoč, da je veliko bolj varen od sistema Windows. Dekle je imelo tričrkovno geslo, ki je bilo enako njenemu imenu. Tako vam prav nič ne pomaga, kateri operacijski sistem imate. Če sami odprete vrata, se ne morete čuditi, da je nekdo vstopil.

Bi rekli sicer, da smo v Sloveniji sicer dobro obveščeni, ozaveščeni glede kibernetske varnosti?

Mislim, da še obstaja prostor za izboljšave, tako bom obrnil. Trudimo se, ampak vemo, da je to tek na dolge proge in da s tem ne bomo nikoli rešili vseh problemov. Dosegamo neko določeno populacijo in vemo, da nekaterih ne bomo nikoli dosegli. Podobno je, ko imajo recimo v osnovni šoli popoldansko izobraževanje o zlorabah drog v otroški dobi. Tja pridejo starši, ki se tega problema že zavedajo. Umanjkajo pa mogoče ravno tisti, ki bi morali priti na ta predavanja. Gre za nek naravni zakon, ki ga ne bomo mogli preseči. Vseeno ozaveščanje mora biti. Spet si bom pomagal s prometom, ki ga urejamo že okoli sto let. Izmislili smo si pravila, prometne znake, izpite, omejitve hitrosti, varnostne pasove in vse to. Še vedno pa se dogajajo prometne nesreče. Tako se nepredvidljivi dogodki zgodijo tudi na področju kibernetske varnosti, kjer na sceno stopimo mi, kot tisti, ki na to odreagiramo. Na cesti imate reševalce, gasilce, policijo, na internetu smo to mi, ki poskušamo zajeziti škodo in svetovati, kako se podobnim problemom v bodoče izogniti. A pri tem smo šele na začetku poti, saj letos praznujemo trideset let delovanja. Sprva država interneta ni smatrala za nekaj pomembnega. Potem pa se je v zadnjih desetih letih zgodil pospešen razvoj po celem svetu. S tem se je prebudila država, z njo regulacija in zdaj takorekoč delamo prve korake.

Če tudi sama uporabim primerjavo s prometom: tudi če je avto totalka, lahko dobimo nazaj denar. Je enako pri spletnih prevarah?
Zavarovalnice morate vprašati, kaj krijejo in česa ne. Če vas napadejo z napadom ransomware, z okužbo z izsiljevalskim virusom, ki onesposobi podjetje, zavarovalnica pa vam od tega povrne tri milijone, vam ta znesek verjetno ne bo zadostoval za povrnitev škode, saj morate nazaj vzpostaviti vse podatke. Tudi pri zavarovalnicah torej obstajajo meje. So pa zaznali spletne kriminalce, ki jih zanimajo podjetja v ZDA, ki imajo zavarovanje. Zato napadejo tiste, ki bodo imeli denar za odplačilo odkupnine, to je njihov poslovni model.

Je to etično hekanje?

Ne. To je morda vprašanje za kakšno drugo debato, a sam se sprašujem, kako lahko pri hekanju sploh govorimo o etiki, nimamo pa etičnih žeparjev ali etičnih vlomilcev, ki bi vam vzeli denarnico, vam jo naslednji dan prinesli nazaj in rekli: »Dajte malo bolj paziti na to!« Pri tem ima računalniška industrija svoje posebnosti. Sam sem morda na tisti drugi strani, kjer v glavnem pomagamo žrtvam. Etični heking obstaja, ja, in imate podjetja, ki uporabljajo njegove metode, da vam pomagajo pri dvigu zaščite vašega podjetja. Ampak potem lahko padeva v debato, kaj etika je in kako se uporablja v praksi.

Vrniva se potem raje k povprečnim uporabnikom. V zadnjem času se je na družbenih omrežjih pojavilo veliko prevarantskih spletnih strani za trgovine z oblačili. Ko so januarja ponaredili spletno stran Pošte Slovenija, smo lažje videli razliko med resnično in ponarejeno stranjo. Ko pa prvič vidimo spletno stran trgovine, včasih ne vemo, kako naj bi izgledal izvirnik. Se lahko tem prevaram izognemo?

Tisti, ki postavljajo lažne spletne strani, vložijo veliko napora v to, da naredijo njen izgled legitimen. Ponavadi se zadeve hitro razkrijejo, če pogledate v nogo strani, preverite, katero podjetje je zadaj, kje je registrirano. Skoraj po celem svetu morate to spodaj navesti po zakonodaji. Če tega podatka ni, gre za kršitev, vredno prijave na tržni inšpektorat. Lažne spletne strani, in pri tem ne mislim samo stereotipno, večinoma izvirajo iz Kitajske. Pri njih boste v nogi sicer videli neko omembo copyrighta, a če boste pogledali pogoje poslovanja, boste težko našli, kdo je podjetje, ki za tem stoji. Prav tako se v to verjetno ne bo poglobil vsak uporabnik, zato svetujemo, da raje uporabljajte platforme, ki so znane. Obstajajo pa tudi spletna mesta, ki se ukvarjajo s tem, da razkrivajo lažne spletne trgovine. Ne gre za enostavno rešljiv problem, lažno spletno trgovino je enostavno postaviti. Eden od pionirjev interneta, Paul Wicks, je rekel, da so domene prepoceni. Spletni goljufi zakupijo domene po pet, deset dolarjev in jih zlahka postavijo več dnevno. Njegova teza je bila, da bi večina podjetij zmogla strošek v višini 500 dolarjev letno. Bi pa to verjetno predstavljalo oviro spletnim kriminalcem, saj bi morali v prevaro vložiti več denarja. Tako da ja, spletne trgovine so problematične in če jih hočemo odstraniti, potrebujemo odredbo sodišča. 

Pred poletjem je vlada sprejela nov Zakon o kibernetski varnosti. Je po vaše dobro napisan in bo pripomogel tudi k varnosti?

Zakon je zelo obširen, sigurno bo pripomogel k temu, ker širi število zavezancev, ki bodo morali sprejeti določene ukrepe. Tako kot pri vsakem zakonu, pa bomo morali še malo počakati, da bomo videli, katere rešitve so v redu in kje še potrebujemo popravke. Ta trenutek težko rečem, ali je dobro napisan, bomo že videli v praksi. Ni pa sam zakon tisti, ki odloča o tem. Sprejmemo lahko krasne zakone, ki pa morajo biti izpolnjeni tudi v praksi. Saj ne gre le za kibernetsko varnost, na različnih področjih imamo zakonodajo, ki naj bi urejala vse, pa tam še vedno vlada Teksas.

Se vam sicer zdi smiselno, da kibernetska varnost sodi pod ministrstvo za obrambo?

Sej ne, sodi pod Urad vlade za informacijsko varnost. Določeni aspekti, kot je kritična infrastruktura, zgodovinsko pašejo pod ministrstvo za obrambo. Po mojih izkušnjah se tam zavedajo, da je poseganje v civilno sfero problematično. Obstajajo pa že načrti, da bi ustanovili Center varnosti in operative na Ministrstvu za obrambo, ampak to je stvar debate in odločitev na družbeno-političnem nivoju.

Zdaj se veliko govori o obrambi, vojnah in podobnem. Kibernetski napadi so postali del vojnih taktik, tudi pri nas smo že imeli napade na Telekom, kar bi lahko smatrali za ogrožanje državnih podjetjih. Slišali smo za letališča v Berlinu, Bruslju in Londonu, ki so utrpela napade. Je Slovenija dobro pripravljena na kibernetske napade?

To je realnost, na katero moramo računati. Da smo neka majhna Slovenija nas ne bo rešilo, zaradi tega smo lahko še zanimivejši. Nemčija verjetno v kibernetsko varnost vlaga več kot Slovenija, mi imamo omejene vire. Smo pa članica EU in NATO. Je potem bolj smiselno targetirati slovenske sisteme in tako priti do pomembnejših podatkov, ker smo lahko odskočna deska? S tem se lahko spoprimemo tako, da razvijemo kapacitete, ki se lahko na takšne dogodke odzovejo. To smo mi in nam podobni organi. Upam sicer, da bo v naslednji strategiji kibernetske varnosti tudi varnost državljanov, saj menim, da bi morali tudi državljani imeti možnost obrniti se na nekoga, ki nam lahko pomaga, ko gredo stvari narobe v digitalnem svetu.

Govorite o neke vrste spletni policiji?

Niti ne, bolj o nekom, ki lahko nudi pomoč pri tem ugotavljanju, kaj se je zgodilo. To, kar mi počnemo z ozaveščanjem o spletnih goljufijah. Prej ste vprašali glede lažnih spletnih trgovin, mi imamo o tem številne članke, pa tudi novičnik, v katerem to objavljamo, poleg družbenih omrežij. Razmišljamo, kako še učinkoviteje ozaveščati, in to so vse ukrepi, ki služijo temu, da bi poskušali povečati varnost državljanov. Imamo potem tudi podjetja, pa drugo kritično infrastrukturo.

Do katere mere pa lahko pomagate ali ste tukaj bolj za sanacijo škode?

Predvsem pomagamo s tem, da imamo znanje glede tega, kaj se pravzaprav dogaja, kaj se vam je zgodilo in kakšne možnosti imate za ukrepanje. Objavljamo denimo spisek spletnih phishing naslovov, ki se jih da predelati tako, da jih podjetja direktno vpišejo v svoje sisteme, ki jih avtomatsko zablokirajo. Pripravljamo tudi sistem, ki vam bo omogočil brezplačno zaščito pri brskanju in vas bo opozoril na tiste stvari, ki jih bomo opazili. Google zdaj že opozarja, da nekatera spletna mesta niso varna, ampak manj je pozoren na spletna mesta, ki ciljajo specifično na slovenske uporabnike, kot so NLB, OTP, Bolha.

Za konec samo še to: se vam zdi, da so pri razmislekih o višanju kibernetske varnosti dobri poskusi, kot je predlog EU za ChatControl, ki je povzročil razburkane razprave? Nekateri pravijo, da bi s tem razkrili pedofilske mreže, drugi pravijo, da gre za vsiljevanje nadzora s strani države?

Tudi če ne gre za vsiljevanje nadzora in so nameni plemeniti, se zdi, da poskušajo z macolo rešiti problem tam, kjer ga ni mogoče rešiti. Nemogoče je oslabiti šifriranje tako, da bi imeli dostop samo dobri ljudje in dobre inštitucije. Če ga okvarite, ga okvarite na splošno in zgodile se bodo zlorabe, to kaže že zgodovina. Preseneča me tudi, da se pobuda bere, kot da se pedofili zbirajo na Facebooku in klepetajo na Instagramu. Ne, oni so skriti v svojih tajnih forumih na temnem spletu, kjer bodo še naprej uporabljali šifriranje in platforme, ki jim bodo to omogočale. Kriminalci nikoli ne upoštevajo zakonov, upoštevajo jih pošteni državljani. Zato je ChatControl napačen ukrep, lahko vprašate kateregakoli strokovnjaka s področja kibernetske varnosti ali pa kriptologe oziroma matematike. Razumem policijsko stran, da je bilo nekoč to v naboru njihovih ukrepov, ko so takrat prišli do Telekoma, ko je še imel monopol, in se z odredbo sodišča priključili na številko ter začeli prisluškovati. Zdaj uporabljamo aplikacije, ki uporabljajo šifriranje, zato tak akt, ki se zdi, da nas vrača v preteklost, ne bo deloval. Ne živimo več v tistem sistemu, potrebno bo najti nove ukrepe. Na Nizozemskem so tudi njihovi pravosodni organi in organi pregona dali uradno izjavo, da si oni tega ne želijo, ker to pomeni zlorabo zaupanja v zasebnost vseh državljanov. Zato razvijajo dodatne ukrepe, s katerimi bi lahko preiskovali te hude kršitve zakonov, kot so zlorabe otrok.

Zakonodaja na temni splet verjetno ne bi niti posegala?

Tudi če bi, rabite na tisti strani nekoga, ki bo direktivo spoštoval. Na dark webu takih ni. Če se tam prodajajo orožje in droge pa izmenjujejo posnetki zlorab otrok, potem že zdaj ne spoštujejo zakonov in z enim takšnim ChatControlom bi samo povzročili resno motnjo na evropskem trgu programske opreme. Ponudnik Signal, ki je odprtokodna rešitev za end-to-end kriptiranje, je že najavil, da če bo ta direktiva sprejeta, potem se bo umaknil z evropskega trga.

Pia Nikolič