Političari, celebrityji, stranke, organizacije, države, svi su danas u opasnosti. Koliko smo zapravo izloženi incidentima te jesu li oni doista tako česti i opasni, pitali smo Tomislava Androša, stručnjaka za informatičku sigurnost koji nam je udijelio i nekoliko važnih savjeta
Curenje povjerljivih dokumenata, golišavih fotografija, krađe identiteta, pelješenje računa, preleti dronova preko zračnih luka... Opasnosti vezane uz informacijske sustave na internetu vrebaju sa svih strana. U čemu griješimo, što nam je činiti i možemo li se nekako zaštititi, pitamo Tomislava Androša, upravitelja kreativnim potencijalima u Divertu.
Riječ je o kompaniji koja se pretežno bavi tehničkom kontrolom na području informacijske sigurnosti. Procjenjuju tako rizike, nadziru, štite od napada i testiraju oponašajući napadače te pružaju rješenja u slučaju incidenata. Klijentima se nudi kontinuiran mrežni nadzor informacijskih sustava: poslužitelja, aplikacija, servisa, svega onoga što neka kompanija smatra vrijednim zaštite. Znači, došli smo na pravo mjesto da pitamo za savjet.
Političari, celebrityji, stranke, organizacije, države, svi su u danas opasnosti. Koliko smo zapravo izloženi incidentima te jesu li oni doista tako česti i opasni?
'Incidenti su češći nego što ljudi misle. Problem je u tome što ih svatko doživljava na drugačiji način. Ljudi čuju za hakerske napade pa im je intuitivno jasno da je riječ o incidentu, ali gledaju stvari drugim očima kad teta u računovodstvu svaki mjesec otuđi 500 kuna', kaže Androš. 'Takvi incidenti na kraju su puno štetniji za kompaniju zbog loše reklame i financijskog gubitka. Takvih napadača iznutra bude znatno više nego onih vanjskih, ali ih se često ne percipira kao napadače u klasičnom smislu.'
Kad krenu globalni napadi, na meti je i Hrvatska
Hakerski napadi predstavljaju izazov u cijelom svijetu, no Androš kaže kako Hrvatska barem zasad nije pretjerano zanimljiva raznim hakerima.
'Kad krenu napadi na svjetskoj razini, onda dotiču i nas. Ima jako malo ciljanih napada zbog toga što Hrvatska ne spada u red razvijenih industrijskih zemalja.'
U SEDAM KORAKA
Sumnjate kako su hakeri preuzeli vašu web kameru? Evo kako ćete provjeriti
Napadi su proporcionalno veći u državama u kojima se ima što otuđiti, bilo financijski, bilo informacijski. Hrvatska nije društveno pretjerano relevantan faktor, samim time i hakeri nas uglavnom zaobilaze. Ima više tipova napadača, nabraja Androš. Haktivisti obično napadaju da bi se dokazivali, da bi progurali neku svoju agendu. Kriminalne organizacije napadaju radi novca, a tu su i države, odnosno njihove sigurnosne organizacije koje ciljano napadaju druge države. Niti jednoj od tih kategorija napadača Hrvatska nije u prvom planu.
Nismo toliko relevantni da bi haktivisti trošili svoje vrijeme na nas
'Nismo politički toliko relevantni da bi haktivisti trošili vrijeme na nas, a kriminalne organizacije radije će napadati zemlje u kojima su velike industrije i u kojima se može ukrasti puno novca. Među državama najopasniji su globalni igrači, ali oni igraju tamo gdje su veliki, svjetski sukobi: u Siriji, Afganistanu...', objašnjava Androš i pritom spominje hakerska nadmetanja klasičnih svjetskih igrača poput Sjedinjenih Država, Rusije i Kine, ali i nekih novih tigrova kao što su Malezija i Indija.
Nismo globalni igrači, no to ne znači da i kod nas nije bilo napada sve tri vrste, o čemu više znaju relevantne službe poput Nacionalnog CERT-a, Zavoda za sigurnost informacijskih sustava i Odjela za visokotehnološki kriminal pri SOA-i. Takvi se napadi pojavljuju periodički, ovisno o promjeni fokusa napadača ili u trenucima u kojima postajemo zanimljiviji na globalnoj razini, primjerice prilikom ulaska u Europsku uniju, u vrijeme afere Agrokor ili posredno, zbog kineskih građevinskih poslova u našoj i susjednim zemljama.
Kako se zaštititi na internetu?
Poslušajte savjete stručnjaka za informatičku sigurnost
- Sami smo sebi najveći rizik. Agencije koje se brinu za zaštitu podataka građana Republike Hrvatske rade puno bolji posao nego što to mi radimo sami za sebe, kaže Tomislav Androš i nudi neke savjete kojih biste se trebali pridržavati želite li se zaštititi na internetu.
- Kad nas zanima kakvo će vrijeme biti, svima je jasno da treba gledati vremensku prognozu. Kad želimo saznati stanje u prometu, znamo gdje ćemo potražiti informaciju. No kad govorimo o informacijskoj sigurnosti, ljudi ne znaju odakle bi počeli. Najbolje je krenuti od Nacionalnog CERT-a te redovito pratiti njihove vijesti i preporuke, baš kao što pratimo prognozu vremena i stanje u prometu.
- Ljudi moraju biti svjesni odakle stižu prijetnje i ponašati se manje promiskuitetno kad su u pitanju informacije. Na isti način na koji se ne želite družiti s kriminalcima ili ne želite dobiti spolno prenosivu bolest zbog neadekvatne zaštite, tako ni na internetu ne biste trebali koristiti istu lozinku za sve servise kojima pristupate. Najčešće i najlakše padamo na lozinkama.
- Želite li znati jeste li uhvaćeni u mrežu i jesu li vaši podaci procurili, možete koristiti stranicu Haveibeenpwned, servis koji provjerava je li vaš korisnički račun kompromitiran. Postoji i Googleov servis Google Alerts koji vam javlja kad se negdje pojavi vaša mail adresa ili neki drugi podatak po vašem izboru. Počnite koristiti sustave za upravljanje lozinkama (password manager). Ima ih besplatnih i komercijalnih.
- Razmislite morate li baš koristiti Google ili ćete koristiti neke alternativne tražilice kao što je primjerice DuckDuckGo. I morate li stavljati na Facebook baš sve stvarne podatke o vama.
- Prestanite koordinatama tagirati fotografije koje stavljate na internet. Objavljivati podatak o tome gdje se nalazite možda vam se čini zabavnim, ali to možda i nije najpametnija ideja. Google je donedavno putem bežičnih mreža na koje ste se spajali točno mogao znati gdje ste sve bili u posljednjih godinu dana. A zna se što Google radi s podacima.
Zapažena je ostala Androševa konstatacija, izrečena krajem prošle godine na okruglom stolu posvećenom europskoj godini kibernetičke sigurnosti. Androš je tada izjavio kako je velik dio naše političke elite potencijalno kompromitiran kad je u pitanju računalna sigurnost te je pitanje kad će početi curiti golišave slike i osjetljivi podaci. Iako je, kaže, izvučena iz konteksta u okviru tadašnjeg okruglog stola, stavljajući je u kontekst prošlotjednih događaja, u kojima je kompletna njemačka politička scena bila metom velikog hakerskog napada, tvrdnja se pokazala ne samo istinitom, već i proročanskom.
Kako je usamljeni dvadesetogodišnjak ponizio njemačke službe sigurnosti
'To je bilo jedno od najvećih curenja u povijesti. Govorimo o CDU-u, SPD-u, Zelenima, o njemačkim televizijama, popularnim ličnostima. Nekima su iscurile samo e-mail adrese i telefonski brojevi, nekima i komunikacija preko WhatsAppa te korespondencija mailom. I sad, ako pogledamo Njemačku kao visokorazvijenu državu u svakom smislu, i financijski i tehnološki, te da je njihova Savezna obavještajna služba, BND, na glasu kao kvalitetna - i ja znam neke fantastične ljude koji tamo rade - pa onda vidite način na koji ih je netko, usudio bih se reći, ponizio. U usporedbi s time, naša sigurnosna scena nije kompromitirana, ali postoji velika mogućnost da i naši političari dožive istu sudbinu ako iz ovog slučaja ne izvuku pouku', kaže Androš.
Kako se uopće obraniti, što uraditi? Jesu li Nijemci mogli spriječiti to što im se dogodilo?
'Oni su navodno našli krivca, dvadesetogodišnjaka čiji modus operandi neće spominjati da ne bi potaknuli druge. Pazite, govorimo o 70 datoteka s ukupno 161 linkom za skidanje podataka, dakle riječ je o ogromnom i vrlo dobro organiziranom curenju', upozorava Androš.
'Činjenica da je sve svaljeno na dvadesetogodišnjaka govori dvije stvari: ili su njemački političari s tajnim službama totalno glupi i nesposobni ili je riječ o parcijalnim informacijama koje su nespretno izašle u javnost, s obzirom na to da takve istrage znaju trajati mjesecima i na ovaj način stvaraju negativnu sliku o relevantnim službama i ljudima koji moraju upravljati ovakvim incidentom. No strašna je pomisao to da bi jedan mladić mogao sam učiniti nešto takvo; što im tek onda mogu napraviti kineski ili ruski hakeri? Što god da je on uradio, to nije radio sam. Bila je to dobro koordinirana akcija', uvjeren je Androš.
vezane vijesti
Naime, danas se organiziranim IT kriminalom bave kriminalne skupine koje su se tradicionalno bavile trgovinom ljudima i drogom. To je organizirani kriminalni biznis, a ne nešto što rade usamljeni dvadesetogodišnjaci. To ne znači da oni to ne mogu raditi, ali za ovakav opseg traži se malo više strukture i organizacije. A to obično imaju samo kriminalne organizacije i države. Kinezi, Rusi, Amerikanci imaju ofenzivne skupine koje se bave ciljanim hakiranjem drugih država i njihovih industrija, objašnjava Androš.
Svatko bi sam za sebe trebao procijeniti koliko je rizičan
Što mi sami možemo učiniti da se zaštitimo?
'U strahu od neznanja ljudi često postanu arogantni. To ćete vrlo često čuti i od prosječnog čovjeka i od političara. Osobe visokog rizika nisu riskantne same po sebi, nego zbog informacija koje posjeduju. A svatko, bez obzira čime se bavi u životu, trebao bi moći procijeniti koliko je izložen prijetnjama', veli Androš.
Svatko bi od nas trebao napraviti svoj threat modeling, procjenu rizika - znati tko nam je prijetnja, s kime smo povezani, kakvim informacijama raspolažemo i koliko bi one mogle vrijediti nekome.
'Ljudi često kažu da ne razmišljaju o zaštiti na internetu jer ih ovako ili onako svatko tko želi može hakirati. To nije poanta. Kao da zimi izađete iz kuće u boksericama i ljetnim tenisicama, trčite ulicom zavezanih očiju i kažete - svejedno će me udariti auto. Treba se pripremiti', smatra Androš.
digitalna pismenost
Djeca bi o opasnostima na internetu morala učiti kao o prometnim znakovima
'Djecu od malih nogu učimo da paze na promet, pokazujemo im kritična raskrižja i kažemo: nemoj ići tuda. Ista stvar vrijedi i za informacijsku sigurnost, a ne učimo ih sustavno tome. U trećem razredu osnovne škole svako dijete ima mobitel. Samim time postaje prijetnja sebi i cijeloj obitelji. Spajaju se na bežičnu mrežu na koju se spajate i vi. Ako dobiju malware, možda zaraze i vas.'
Androš ne misli da informatiku treba učiti od prvog osnovne, za to bi dovoljan bio građanski odgoj, kaže.
'Nakon pranja ruku i ispravne prehrane dolazi digitalna pismenost. Dijete bi do kraja osnovne škole trebalo imati jako dobru predodžbu o prijetnjama na internetu. To je postalo jednako važno, ako ne i važnije od poznavanja prometnih znakova. Eto, da vam je netko prije pojave interneta rekao da vaš susjed o vašem djetetu zna više od vas, vi biste se jako uvrijedili, a danas nam je normalno to da firme poput Googlea o našoj djeci znaju više od nas.'
Djecu bi dakle trebalo podučiti osnovama digitalne pismenosti, da kontekstualno razumiju što je to tražilica, preglednik, da instaliranje jednog programa može služiti raznim svrhama te da aplikacije koje skidaju ne rade nužno u njihovom interesu, kaže Androš.
Djeca nemaju razvijeno kritičko mišljenje da bi selektivno mogla odavati informacije o sebi pa često odaju puno više. Da situacija bude gora, odaju informacije o svojim roditeljima, ne misleći da rade nešto krivo.
'Kao što ih učimo da ne otvaraju vrata nepoznatim ljudima, tako ih trebamo naučiti da ne otvaraju korisničke račune i ne ostavljaju osobne podatke prije nego što to provjere s odraslima', zaključuje stručnjak za informatičku sigurnost.
