Scott J. Shackelford je stručnjak za zakone i politike vezane uz cyber sigurnost. Predaje poslovno pravo i etiku na Kelley School of Business pri Indiana University, radi kao istraživač u centru Belfer pri Kennedy School of Government na Harvardu te kao direktor programa radionica o cybersigurnosti Ostrom, između ostalog.

Autor je dviju knjiga i brojnih istraživačkih članaka. Razgovarali smo s njim prije predavanja koje je održao u Visokom učilištu Algebra na čijem MBA studiju predaje.

Cyber sigurnost je u zadnje vrijeme sve češća tema kojom se bave i političari, zašto?

Nakon što je dugo vremena bila od sporednog značaja, cyber sigurnost postaje sve važnija tema u sve više raznih segmenata. O njoj se i dosad razgovaralo, ali nije bila među prioritetima.

Čini mi se kako smo se početkom prošle godine našli na prekretnici. Sad se puno više govori o sigurnosti izbora, zaštiti ključne infrastrukture, cyber kriminalu, krađi trgovačkih tajni i drugim temama, kako na tržištima u razvoju, tako i u naprednim demokracijama.

Postalo je prevažno pitanje koje se više ne može gurati pod tepih.

Na žalost, to je dovelo i do cyber zamora i ravnodušnosti. Puno ljudi diže ruke u zrak, smatrajući kako nikad nećemo moći na odgovarajući način zaštititi sve što treba zaštititi.

To je krivo. Naravno, savršena zaštita neće nikad postojati, ali možemo puno toga poduzeti kako bismo smanjili rizike.

Često koristite pojam 'hakiranje demokracije'. Što podrazumijevate pod tim pojmom?

Ponajprije pitanje kako zaštititi izborni proces od cyber napada.

Dobra je vijest to što države uče na pogreškama drugih. Čini se kako pokušaj hakiranja kampanje novog francuskog predsjednika Emmanuela Macrona nekoliko dana prije izbora nije polučio značajno negativan učinak.

Naprotiv, reklo bi se kako se njegov tim prilično  dobro nosio s prijetnjom. Posegnuli su za nekoliko zanimljivih protumjera, poput kreiranja lažnih e-mail adresa s lažnim dokumentima kako bi zavarali hakere i unijeli nesigurnost među njih.

Istu taktiku već dulje vrijeme koristi veći broj tvrtki, ali u politici i predizbornim kampanjama takvi lažni mamci su novitet.

U drugim zemljama otišli su i nekoliko koraka dalje. Na primjer, Brazil i Njemačka su koristili strojeve za elektroničko glasovanje, ali su se u međuvremenu vratili na isključivo korištenje papirnih listića i glasačkih kutija. U Indiji još uvijek koriste takve strojeve, ali su obvezni imati i pisani trag u papirnom obliku.

U Sjedinjenim Državama o tome se još živo raspravlja. Imamo puno strojeva za e-glasovanje i optičkih skenera, ali u brojnim saveznim državama ne mora biti pisanog traga u papirnom obliku, pa je rezultate jako teško provjeriti naknadno.

Koliki su stvarni razmjeri utjecaja hakiranja na izbore?

Hakiranje izbora je prisutno dulje no što ljudi obično misle. Primjerice, rezultati izbora u Južnoafričkoj Republici 1994. godine, na kojima je pobijedio Nelson Mandela, isprva su bili problematični zbog hakiranja i izborne prijevare. Bila je otkrivena, ali tek nakon nekog vremena.

Naravno, inozemna uplitanja u izborne procese postoje valjda otkad je izbora. Sad se to samo radi digitalnim alatima.

S priličnom sigurnošću mogu ustvrditi kako je rusko uplitanje u američke predsjedničke izbore bilo vrlo uspješno. Pošlo im je za rukom u velikoj mjeri poljuljati povjerenje javnosti u izborni proces. Nasuprot tome, u Francuskoj su podbacili. Dobrim dijelom zato što su mediji i zakonodavstvo u toj zemlji drukčiji nego u SAD-u.

Nadam se da će u Njemačkoj izvući pouke iz oba primjera. Nažalost, i hakeri će imati vremena za prilagođavanje svojih metoda i tehnika. To je igra bez kraja.

Spomenuli ste da je u većini napada još uvijek uključen socijalni inženjering. Možete li dati primjer metoda koje hakeri koriste?

Raspon je širok. Recimo, poslat će osoblju predizborne kampanje posebno pripremljenu e-poštu koja izgleda kao da ju je poslao političar za kojeg rade, kao što se dogodilo Johnu Podesti, šefu predizborne kampanje kandidatkinje Demokratske stranke Hillary Clinton. Podesta nije osobno otvorio hakerski mail, ali to jest učinilo osoblje koje je imalo pristup osjetljivim podacima i koje je nasjelo na prijevaru.

Kad su prošli američki predsjednički izbori u pitanju, bila je riječ o nekoliko hakiranja koja su se odigravala istovremeno. Recimo, upali su u glasačka mjesta u Arizoni i Illinoisu - koristeći golu silu jer nisu bila naročito dobro zaštićena - te pristupili podacima o glasačima.

Ako imate te podatke, možete recimo ljude uputiti na kriva glasačka mjesta i ponukati ih na odustajanje od glasovanja. Učinite li to u saveznim državama koje donose prevagu na izborima, možete utjecati na ukupni ishod.

Stoga vjerojatno nećemo tako skoro vidjeti funkcionalne sustave e-glasovanja?

Mislim da idemo u drugom smjeru. Sigurnosni rizici trenutno su preveliki.

Kako biste uvjerili skeptika u to da problem cyber sigurnosti i hakiranja demokracije nije lažnjak kakvim su se pokazale tvrdnje o oružju masovnog uništenja u Iraku?

Raspon aktivnih izvora napada kojima svjedočimo, objava podataka pribavljenih hakiranjem političara, plasiranje lažnih vijesti... Sve upućuje na zaključak kako je na djelu kampanja s ciljem podrivanja povjerenja u demokratski proces.

Teško je nekog za to konkretno optužiti i to potkrijepiti dokazima. Zanimljiva mi je ideja Vijeća za pripisivanje odgovornosti, koju gura nekoliko velikih tehnoloških tvrtki. Pod okriljem takvog tijela više tvrtki bi surađivalo, dijelilo prikupljene podatke o cyber napadima i objavljivalo transparentna izvješća s dokazima o tome tko je u njih umiješan. To bi pomoglo da se maknemo s mrtve točke. Vjerujem da će takvo tijelo biti u pogonu i prije izbora u SAD-u 2019.

Koliko su Facebook, Google i druge tvrtke doista opremljene i sposobne boriti se protiv širenja lažnih vijesti?

Potrebna nam je promjena paradigme. Dugo se govorilo o cyber sigurnosti, ne o sigurnosti podataka. To sa sobom donosi raspravu o tome kako upravljati sadržajem, pa i o cenzuri. Nismo dosad o tome puno razmišljali i raspravljali, ali nakon pojave alternativnih činjenica i tome sličnog, morat ćemo. Naći ćemo se suočeni s neugodnim dvojbama i preispitivanjem načela koja dugo nismo dirali, poput slobode govora. Kina i Rusija su to već prošle.

Alati koje Facebook i drugi predlažu, poput onih koji zajednici korisnika omogućavaju upozoravanje na sporni sadržaj i njegovo označavanje, mogli bi pomoći. No zanima me kako će to funkcionirati u stvarnom vremenu te koliko će doista biti učinkovito u suzbijanju širenja.

Problem je i to što će se u situacijama kad je društvo podijeljeno oko važnih pitanja, suprostavljeni tabori međusobno prijavljivati i označavati?

Slažem se. Puno toga počiva i na odgovornosti medija. Pročitao sam podatak kako 40 posto glasača predsjednika Donalda Trumpa sve vijesti gleda na Fox Newsu. Nagovorimo li barem velike medijske kuće na to da ne šire lažne vijesti, postići ćemo puno.

Povjerenje u demokratski proces i računalnu sigurnost je poljuljano, rekli ste. Koliko paranoični trebamo biti?

Poprilično. Ipak, nisam pesimističan jer možemo puno toga poduzeti. Recimo, smanjiti količinu podataka koje dijelimo javno, koristiti virtualne privatne mreže i web preglednike koji ne prate kako surfate, redovno nadograđivati operativne sustave i softvere protiv virusa i malvera...

Može li se reći da smo ušli u eru cyber ratovanja?

Ne bih to nazvao ratovanjem. Cyber napadi se koriste uz konvencionalne metode ratovanja, kao što je bio slučaj s ruskim upadom u Gruziju. To će se i dalje događati, ali vjerojatno nećemo biti svjedoci čistog cyber rata između dviju zemalja. No bit će sukoba niskog intenziteta. Većina incidenata bit će povezana uz špijunažu i kriminal.

Bili smo prije dva mjeseca svjedoci prve rezolucije Ujedinjenih naroda o zaštiti ključne infrastrukture od cyber napada. Idući težak orah bit će definirati što ključna infrastruktura doista jest. U SAD-u taj pojam obuhvaća 16 sektora, uključujući i kinodvorane.

Kakva je budućnost cyber sigurnosti?

Cyber napadi neće nestati, ali sad ih tretiramo kao zarazne bolesti, pa stvaramo otpornije sustave i brže učimo. No s dolaskom interneta stvari, rizično područje će se značajno povećati pa stoga očekujem povratak napada DDoS. Mimo toga, ransomware će nastaviti biti velikom prijetnjom tijekom nadolazećih godina.

Tvrtke će morati preuzeti veći dio odgovornosti za svoje proizvode i usluge, a političari donositi zakone koji će ih na to poticati.

Cyber sigurnost treba biti prepoznata kao jedan od poslovnih rizika, kako bi tvrtke počele koristiti obilje alata za zaštitu koji su im na raspolaganju. Nadam se kako će i tržište osiguranja od cyber napada u međuvremenu sazreti jer je ponuda trenutno siromašna i ograničena.