Prijavite se na brezplačne e-novice!
Pravite, da je industrija, ki se ukvarja z industrijsko varnostjo, povsem zašla s poti. Kako to utemeljujete?
IT-varnost je danes dobesedno »polomljena«. V težavah je predvsem zaradi tega, ker ponudniki rešitev in vsi drugi, vključno z varnostnimi svetovalci, ne vemo, na kaj naj se pravzaprav osredotočimo. Tudi vi novinarji ste del težave, in ne rešitve. Ob prebiranju člankov s področja IT-varnosti lahko zasledim zapise o novostih, ranljivostih in katastrofah, ni pa praktičnih nasvetov za podjetja in porabnike, kako dejansko poskrbeti za informacijsko varnost. Celo sami opisi izdelkov so pogosto zgrešeni - vsi, tako novinarji kot zaposleni v oddelkih IT, jih obravnavajo skozi golo funkcionalnost. Kaj torej izdelek počne. Mar ne bi bilo dobro vedeti tudi, česa izdelek ali storitev ne počne? Celotna industrija temelji na vrsti predpostavk, ki že dolgo ne držijo več.
Toda ljudje, ki jim je IT-varnost služba, menda že vedo, kaj deluje in kako?
Mislite? Se ne strinjam. Ena večjih težav je, da danes tudi zaposleni v IT zgolj hodijo v službo, kjer se bojujejo z zahtevami nadrejenih in uporabnikov ter internetnimi nevarnostmi. Konec dneva želijo predvsem preživeti. Težava je v tem, da si niti prizadevajo ne več za spremembe.
Toda za varnost si največ prizadevajo ponudniki varnostnih rešitev. Trdite, da ti ne delajo vsega, kar je v njihovi moči, da bi ustavili hekerje in škodljive kode?
Lahko bi naredili več. Mi in vsi drugi. Težava je v tem, da se soočamo z ljudmi, ki jim ni mar. Lahko strokovno in laično javnost obvestiš o novih nevarnostih, pomagajo kontakti v policiji, zasebnih varnostnih podjetjih, a če ljudem za vse skupaj ni mar, ni rezultata.
Imate kakšen predlog za industrijo informacijske varnosti? Kako naj se znova izumi?
Industrija bi se morala najprej ustaviti in se izprašati, kaj želi doseči in kako. Ni vedno tehnologija tista, ki jo je treba popraviti. Treba je popraviti ljudi. Veste, pogosto dobim občutek, da je varnostna industrija le tekmovanje, kdo ima daljšega. Ponudniki se med seboj primerjajo, kdo največ ve, kdo je odkril največ groženj, ne vprašajo pa se, ali in kako bi vse skupaj preprečili. Ignoranca in aroganca sta škodljivi za vse. Morali bi več sodelovati in se skupaj bojevati proti kibernetskemu kriminalu. Del težave so tudi varnostni strokovnjaki. Ti bi morali biti bolj odgovorni, ko govorijo s podjetji ali novinarji.
Kakšen bi moral biti odnos ponudnikov varnostnih rešitev do uporabnikov?
Težava je večplastna. Na varnostnih konferencah poslušamo predvsem o novih grožnjah, s katerimi prestrašimo ljudi in jih prepričamo o nakupu varnostnih rešitev. Tudi direktor informatike bo potem preveč poudarka dajal novim grožnjam, na stare pa pozabil. A dejansko se varnostna težava lahko reši drugače, ne zgolj z namestitvijo izdelka. Izobraževati je treba uporabnike. Sami ponudniki rešitev bi morali biti precej bolj relevantni, želel bi si boljše ravnotežje med praktičnimi in predanimi informacijami. Ko danes berem o varnosti v internetu stvari, berem članke o hekanju avtomobilov in hladilnikov. Doma nimam ne pametnega avtomobila ne hladilnika, imam pa pametni televizor, ki je povezan v domače omrežje. A še nisem zasledil prispevka, kako naj ga ustrezno zaščitim, da mi napadalci prek ranljivosti v televizorju ne bi odnesli vseh podatkov.
Omenjate določene napačne predpostavke. Ste lahko bolj konkretni?
Tako laiki kot zaposleni v IT danes verjamemo v cel kup napačnih predstav. Verjamemo, da je operacijski sistem Linux varnejši od Oken in zato vsi »resni« strežniki uporabljajo platformo Linux. Za privzeto konfiguracijo omenjenih sistemov trditev nikakor ne drži, je pa res, da z ustreznimi nastavitvami okolje Linux naredimo bolj varno. Prav tako si ljudje velikokrat delajo utvare, da za sistema Linux in MacOS ni virusov - se pa zanje najde cel kup drugih ranljivosti in škodljivih kod, ki jih poznajo le redki. Naslednja absolutno napačna predpostavka je, da si je težko zapomniti nekaj deset kompleksnih gesel, ali pa ta, da požarni zid ustavi hekerja. Danes imamo v svetu informacijske varnosti vsi resne težave z razumevanjem, kaj drži in kaj ne.
Se vam ne zdi, da so tudi interni oddelki IT še vedno omejeni s svojim znanjem? Večina podjetij si pač ne more privoščiti, da bi plačevala dragega varnostnega strokovnjaka, ki bi stalno bedel nad informacijsko varnostjo.
Za izboljšanje področja informacijske varnosti podjetja ne potrebujejo vrhunskih varnostnih strokovnjakov. Veliko bi lahko storila že s kadrom, ki ga imajo. Vsak pri sebi ve, kje in kako bi se lahko še izboljšal. Treba ga je samo ustrezno motivirati. Prav tako bi morala podjetja spodbujati več sodelovanja, da se zaposleni medsebojno izobražujejo. Nasploh velja, da imajo različna podjetja različne varnostne potrebe, saj so različno ranljiva - banka ima denimo drugačne potrebe kot proizvodno podjetje ali razvijalec programske opreme. Je pa res, da načeloma oddelek IT še najbolje pozna lastne ranljivosti in lahko preveri različne varnostne scenarije. Odgovorni zaposleni bi morali poskrbeti, da na njihovem področju preprosto ni lahko dostopnega sadja.
Menda nam je vsem že postalo jasno, da smo ljudje oziroma uporabniki najšibkejši člen varnostne verige. To se verjetno ne bo spremenilo, ali pač?
Vidite, tudi to vlogo smo kar sprejeli. Verjamem, da se stvari lahko spremenijo. Midva se pogovarjava, verjamem, da boste s tem pogovorom, ki ga boste predstavili svojim bralcem, marsikomu odprli oči. Poglejva primer, kako se ljudje lahko spremenimo. Reciva, da sva mladostniška prijatelja. Jaz grešim, sprejemam napačne življenjske odločitve. Kaj boste naredili? Najverjetneje me boste poskusili spraviti na prava pota. Zakaj je tako težko, da bi enako naredili za vse ljudi, ne le za družinske člane in prijatelje? Če vidiš, da se dogajajo napake, se moraš odzvati. Skrbi me, ker smo ljudje postali dobesedno imuni za berače in za, oprostite izrazu, sranje na internetu.
Kako bi vi zasnovali varnostne rešitve, če bi imeli neomejena sredstva? Kaj bi spremenili?
Poenostavil bi jih - vse po vrsti, saj so preveč kompleksne. Zato je tudi več možnosti za napake. Varnostne rešitve bi zasnoval tako, da iščejo varnostne dogodke in scenarije. Napisal bi programsko opremo, ki dejansko rešuje težavo, ne pa ustvari novo. V idealnem primeru bi bili varnostni izdelki pisani na kožo uporabniku oziroma podjetju.
Menite, da umetna inteligenca lahko pomaga na področju IT-varnosti?
Lahko, in to ogromno. Podpiram rešitve, ki uporabljajo strojno učenje. Vsi bi potrebovali sistem, ki ti prepreči neumnosti. Ali te zgolj preverja, kako se odzivaš, ti poskuša ukrasti geslo in podobno. Take stvari resnično potrebujemo.
Koliko varnosti današnji svet dejansko potrebuje?
Varnostne potrebe so odvisne od posameznika ali podjetja. Dejstvo je, da je treba nove rešitve izumljati tudi v prihodnje. Ne želim pa predvidevati prihodnosti na varnostnem področju.
Zakaj ljudje sploh stopijo v temačni del spleta? Bi sami postali heker?
Denar je glavna motivacija. Lahko gre tudi za etične ali politične razloge, a redkeje. Obstajajo celo hekerske skupine, ki ne marajo varnostne industrije in njenih zaslužkov, menijo, da so varnostne rešitve zlagane. Sam sem predvsem dobronamerni heker.