»V tem trenutku je svet najverjetneje priča nastajanju prve obsežne kibernetske vojne,« je 15. februarja v Financial Timesu zapisal nekdanji direktor ameriške agencije za nacionalno varnost Keith Alexander. In res se je zgodilo – le pet dni za tem. S Putinovo invazijo na Ukrajino se je začela tudi kibernetska vojna.
Kaj sploh je kibernetska vojna? Gre za digitalni napad na drugo državo z namenom onemogočiti njeno infrastrukturo. Posledično je lahko motena dobava vode, elektrike, plina, ohromljeni so finančni trgi, trpi transport, komunikacije in podobne storitve. Začetek napada v Ukrajini že nakazuje na to.
Že prve dni vojaških napadov je zaradi kibernetskega napada z onemogočanjem storitev (DDoS) prenehalo delovati več ukrajinskih bank in internetnih strani državnih institucij. Pri napadu DDoS gre za zasutje s prometom, tako da napadene storitve postanejo nedostopne za običajno uporabo.
Hkrati z napadom DDoS so zaznali tudi že prvi uničevalni virus z imenom Wiper, ki naj bi nepovratno uničeval podatke na okuženih napravah. Družba Symantec ga je zaznala le nekaj ur, preden so prvi ruski tanki zapeljali na ukrajinsko ozemlje. Zdi se, kot da namen tega napada ni bil le oslabiti vodenje države, temveč tudi vplivati na običajnega državljana. Napad na bančni sistem je namreč posameznikom močno otežil dvig gotovine in jim s tem preprečil, da bi zapustili državo ali imeli denar za nakup nujnih življenjskih potrebščin. In to je šele začetek.
Ta trenutek se sprašujemo, kam lahko pripelje nadaljevanje. Kako se bo Putin odzval na prihajajoče sankcije? Ali se bo maščeval vpletenim državam EU in kako močan je? Po potrebi ga bo krila Kitajska, ki je znana po izredno močnem kibernetskem arzenalu. Bomo to petelinjenje na koncu občutili tudi slovenski podjetniki?
Zavedati se moramo, da je v današnjem svetu že skoraj vsaka digitalna naprava posredno ali neposredno povezana v internet, ki vključuje veliko varnostnih izzivov. Razlogov za to je sicer več, a osredotočimo se le na bistvene. Prvi je, da je večina računalniške kode s stališča varnosti slabo spisana, kar je v glavnem posledica pritiska kratkih rokov in nizkih cen.
Drugi razlog je, da več povezanih naprav v sistemu pomeni več možnosti za varnostno napako. Slikovita ponazoritev tega je na primer vdor v igralnico, ki se je zgodil prek akvarija, ki je bil povezan v internet.
In zakaj je računalnike kljub vsej tehnologiji še vedno tako težko ščititi? Opraviti imamo z dvema močnima dejavnikoma. Eden je večni problem varnostnih popravkov, za katere je znano, da jih četrtina uporabnikov nikoli ne namesti. Drugi pa je obstoj »močnih sil«, ki so zainteresirane, da internet nikoli ne bo popolnoma varen. Vladne službe varnostne pomanjkljivosti v računalniških sistemih zbirajo kot veverica lešnike in jih skrivajo pred javnostjo zato, da jih lahko po potrebi uporabijo za, na primer, vohunjenje.
Spomnimo se samo programske opreme Pegasus, ki je bila skrivoma nameščena na tisoče mobilnih telefonov po vsem svetu. Lastnik oziroma upravljalec programske opreme Pegasus je lahko na »ugrabljenih« telefonih prebiral SMS-sporočila, zbiral uporabniška imena in gesla, spremljal in beležil lokacijske informacije, dostopal do mikrofona in kamere ter zbiral informacije z nameščenih aplikacij. Vse to je bilo mogoče zaradi varnostnih pomanjkljivosti v programski kodi operacijskih sistemov iOS in Android, ki so bile do pred kratkim znane le peščici izbrancev.
Velike države, kot so Kitajska, Rusija, ZDA in tudi Severna Koreja, imajo v svojih vrstah prave armade izurjenih hekerjev, ki dnevno izvajajo aktivnosti, značilne za kibernetsko vojskovanje. Pri digitalnih napadih je težava v tem, da je nemogoče nesporno ugotoviti, kdo stoji za njimi. Vse se dogaja v temi, običajno so znani le napadeni, vidne so le posledice. In kadar je na primer posledica več dni motena dobava električne energije, lahko prav hitro upade tudi zaupanje državljanov v vodenje države. Ustvarjati se začne vsesplošen preplah, kar je odličen teren za nekoga, ki lomasti, ki prihaja.
Kibernetsko orožje je zelo nevarno. Spomnimo se razvpitega kibernetskega napada pod skupnim imenom NotPetya leta 2017. Takrat je zlonamerna koda pod krinko izsiljevalskega virusa pošteno oškodovala ukrajinsko gospodarstvo in nekatere dele kritične infrastrukture. Škoda je bila gromozanska. Pozneje se je izkazalo, da je šlo za kibernetsko orožje, pripravljeno z namenom ohromiti ukrajinsko infrastrukturo in gospodarstvo.
Zgodovina je že večkrat pokazala, da pri tovrstnih napadih kibernetsko orožje prej ko slej uide izpod nadzora in začne pustošiti še drugod. Ko zlonamerna koda pride v roke kibernetskim kriminalcem, jo s pridom začnejo uporabljati za svoje dobičkonosne namene. Tako v obliki kolateralne škode tarče postanejo podjetja po vsem svetu. V primeru napada NotPetya zato večmilijardne škode ni utrpela le Ukrajina, temveč tudi nekatere organizacije v drugih državah.
Podoben koncept se kaže tudi v primeru Stuxneta. Ta računalniški črv naj bi leta 2005 kot kibernetsko orožje zgradili izraelski in ameriški hekerji z namenom povzročati motnje iranskemu jedrskemu programu. Bil je ciljno usmerjen na industrijsko specifična omrežja SCADA.
Digitalna orožja je podobno kot biološka izredno težko nadzirati, zato se prej ko slej začnejo nekontrolirano širiti. Tako Stuxnet kot Petya in tudi druga kibernetska orožja še danes najdemo v prenekaterem omrežju, tudi v Sloveniji.
Kdo nas bo obvaroval, da ne bomo kolateralna škoda vse obsežnejših kibernetskih spopadov, za katere so se napadalci pravzaprav šele začeli dobro ogrevati? Zdaj je skrajni čas, da si nalijemo čistega vina. Tu žal ne vidim obrambnih sil, na katere običajno računamo, ko gre za konvencionalno vojskovanje. V digitalnem svetu se v zelo kratkem času lahko kibernetsko orožje, namenjeno specifičnim operacijam, prelije v širše dostopno kibernetsko orodje, ki ga napadalci zlorabljajo na črnem trgu. Za denar. Za veliko denarja. Prek izsiljevanja, kraje intelektualne lastnine, vohunjenja, zavajanja, onemogočanja delovanja storitev in še bi lahko našteval.
V našem podjetju včasih kar ne moremo verjeti, kako enostavno je vdreti v nekatere sisteme in kako malo je treba, da se onemogočijo storitve. In takih podjetij in sistemov je veliko več, kot bi si mislili. Dobra novica je, da za izboljšave pogosto ni treba prav veliko. Vse, kar je treba storiti, je, da si vsaj malce boljši od drugih. V tem primeru namreč obstaja velika verjetnost, da se bo »bad guy« preusmeril drugam, kjer bo svoje zle namene uresničil laže, hitreje in ceneje. Če se znajdeš v situaciji, ko te napade tiger, ni treba, da si hitrejši od tigra. Biti moraš le hitrejši od najpočasnejšega, ki se znajde v isti situaciji.
Glede na trenutno stanje vsem odločevalcem v podjetjih svetujem, da čim prej znova preverijo učinkovitost kibernetskovarnostne zaščite in da poskrbijo za res zanesljive, »neprebojne« varnostne kopije. Nameščanje varnostnih popravkov naj umestijo v knjigo desetih zapovedi ter takoj uvedejo redno izobraževanje svojih zaposlenih, da bodo znali prepoznavati poizkuse prevar, ki prihajajo z naslednjim digitalnim cunamijem.