Oba sa odohrali v menších slovenských mestách. Pani, nazvime ju Dagmar, sedela na kávičke a dostala sms z banky, že jej z účtu odišlo tisíc eur. Chystali s manželom stavbu domu, tak si povedala, že asi manžel platil stavebný materiál. O chvíľu prišla druhá esemeska. Ďalších tisíc eur mínus. A hneď na to ďalšia, mínus päťsto eur. To už tušila, že niečo nie je v poriadku, zatelefonovala do banky, zablokovala kartu. Potvrdili jej, že sa stala obeťou kyberkriminálnikov, nazývaných aj hackerov. Útok na jej účet bol vedený z Veľkej Británie, kde nikdy nebola a kartou nikdy neplatila na internete. Aj tak sa stala obeťou.
Trochu dát na úvod
Pozrime sa teraz na niektoré fakty, aby sme si priblížili, o čom je dnešný svet digitálnej kriminality. Kybernetická kriminalita bude stáť svet šesť triliónov dolárov do roku 2021, pričom v roku 2015 to boli tri trilióny dolárov. Toľko hovoria odhady bezpečnostnej firmy Cybersecurity Ventures. Ak vám tieto čísla veľa nehovoria, použime prirovnanie – kybernetická kriminalita bude v najbližších rokoch ziskovejšia, než celosvetový obchod s drogami. A obeťou sa môže stať každý, kto má mobil, kto je na internete, alebo má doma zariadenia, ktoré komunikujú s internetom. V civilizovanom svete je to takmer každý človek.
Mimochodom, dnes je na internete približne 51 percent svetovej populácie, v roku 2030 má byť online až 90 percent ľudí starších ako šesť rokov. Ak civilizáciu s jej ekonomikou ženú dopredu najmä inovácie, tak kybernetická kriminalita môže investície do inovácií výrazne spomaliť – práve preto, že zdroje budú musieť byť presmerované na boj proti nej. A týka sa to jednotlivcov aj firiem. Napokon, kto nemá už dnes nainštalovaný v mobile alebo v počítači nejaký ochranný softvér?
Kto sú hackeri
Hackeri sú dnes stále vnímaní ako ľudia, ktorí chcú z vládnych či armádnych počítačov ukradnúť informácie, ktoré neskôr predajú alebo zverejnia. Takýto pohľad z nich v istej miere robí dobrodruhov digitálneho sveta, hoci vyššie opísaný obraz skôr hovorí o hactivisme. Ide o aktivitu, ktorá sa snaží šíriť politické posolstvo, alebo bojovať proti cenzúre. Aj mnohé šifrované programy, ktoré sú dnes bezplatne na internete, vznikli ako produkty hacktivistov. Ich cieľom je dať ľuďom do ruky nástroje, ktoré ich ochránia pred vládnou kontrolou alebo cenzúrou. Napokon aj projekt WikiLeaks je produktom hacktivistov.
Hackeri, to sú však aj skupiny pod kontrolou organizovaného zločinu, ktoré kradnú dáta zo serverov, peniaze z účtov, či kopírujú kreditné karty. Ich obeťou sa môže stať ktokoľvek, pretože ich cieľom je získať peniaze alebo vydierať ľudí. Práve o vydieraní hovorí druhý príbeh.
Zaplať v bitcoinoch
Protagonistom tohto príbehu je obyvateľ malého mesta na severe Slovenska, nazvime ho Michal. Bežná práca v kancelárii, stredný manažment. Jedného dňa mu prišiel email. Adresát mu v angličtine napísal, že získal prístup k jeho LinkedIn účtu aj Facebooku. Ak nezaplatí, tak zverejnia jeho erotické videá na všetkých sociálnych sieťach medzi jeho kontaktmi. Ako dôkaz mu na jeho LinkedIn účet pridali informácie, ktoré tam dovtedy neboli. Chceli zaplatiť 2000 eur v bitcoinoch. Michal sa zľakol. Niežeby mal nejaké erotické videá, ale vedel, že si hackeri môžu vymyslieť a upraviť akékoľvek fotky, videá a informácie a pokazená reputácia by mu narobila problémy doma aj v práci. Zachoval však rozvahu a skúsil základnú vec – zmenil si heslá na všetkých sociálnych sieťach a kde to bolo možné, nastavil vyšší stupeň zabezpečenia. Pomohlo. Útočníci sa viac neozvali.
Aj tento príbeh ukazuje, že obeťou kybernetickej kriminality sa dnes môže stať ktokoľvek. Či už ide o krádež peňazí z účtu, získanie kontaktov a pokazenie reputácie, alebo vkladanie informácií tam, kde nemajú byť.
Čo hovorí expert
O dnešných bezpečnostných hrozbách sme sa porozprávali aj s expertom. Vladimír Frčo je špecialista na sieťovú a telekomunikačnú bezpečnosť v Orangei. Okrem iného hovorí aj o tom, kedy je hacker vnímaný pozitívne a kedy už ide o kriminálnika.
„Hacknúť niečo“ je dnes obľúbený výraz aj pre nájdenie efektívnej skratky v biznise či v osobnom rozvoji. Je to zároveň aj výraz označujúci nelegálny prienik do systémov, no technologické firmy občas samé vyzývajú, aby používatelia „hackli“ ich zariadenia a našli pre ne nové využitie. Kde je podľa vás hranica, keď si človek v technologickom svete môže povedať, že robí tvorivú činnosť a kedy už ide o nelegálnu aktivitu?
Či je aktivita nelegálna, závisí od zákonov danej krajiny, alebo interpretácie zákonov. Niektoré krajiny zachádzajú do krajností a nelegálne je už mať nainštalovaný program na skenovanie portov. Pritom skenovanie portov samo o sebe nie je možné kategorizovať ako hackerský útok. Krajiny sa nebránia len zakazovaním nástrojov, ktoré pomáhajú prelomiť bezpečnosť, ale obmedzujú aj vstup cez hranice ľuďom, ktorí sú toho schopní. Typickým príkladom je USA a Nemecko. Napríklad tento rok v marci neudelilo USA víza pre Adi Shamira z RSA, ktorý mal vystúpiť na konferencii. Podobný osud stihol aj Rossa Andersona. Pritom nejde o hackerov, ale o špecialistov na kryptografiu. Zhrnul by som to tak, že za nelegálne by sa dala považovať nevyžiadaná aktivita. V hackingu ide do určitej miery aj o tvorivú činnosť, aj keď veľa vecí je už automatizovaných s pomocou nástrojov.
Banky a telekomunikačné firmy nie sú veľmi rady, ak sa zverejňujú dáta o prienikoch do ich sietí. Napriek tomu, máte nejakú štatistiku, ako často sa pokúšajú narušiť bezpečnosť vašich sietí, resp. zariadení?
Netreba sa tomu čudovať. Banky a telekomunikační operátori majú jedny z najcitlivejších dát obyvateľstva. Transakcie ich zákazníkov presahujú hranice štátov a dokážu odkryť veľa tajomstiev. Oba odvetvia sú ale oveľa zaujímavejšie z pohľadu podvodov (fraudov), hlavne tých finančných. Práve finančné obohatenie je najčastejšia motivácia hackerov. Prieniky za účelom odhalenia finančných transakcií alebo odpočúvania komunikácie sú skôr výnimkou. Páchajú ich zväčša interní zamestnanci, alebo tretie strany pracujúce pre banku alebo telekomunikačnú spoločnosť. Odpoveď na otázku, ako často dochádza k útokom na našu infraštruktúru je teda - „prakticky neustále“. Internet je džungľa, v ktorej sa vás snaží všetko zabiť. Našťastie nie každý útok je smrteľný. Oveľa väčšiu obavu máme z cielených útokov a sociálneho inžinierstva. Ľudský faktor je jeden z najslabších v celej skladačke bezpečnosti. Či už ide o zanedbanie povinností pri patchovaní systémov, alebo otvorenie zavírenej prílohy emailu zamestnancom. Môžem prezradiť, že práve cielené útoky na zamestnancov posledný rok narastajú.
Koho vnímate dnes ako väčšiu hrozbu? Sú to partizánski jednotlivci s dobrou IT znalosťou, ktorí chcú získať informácie z vašich systémov, alebo organizované medzinárodné skupiny?
Ťažko povedať. Pátrať po nich stojí veľa úsilia a energie, ktorú by sme mohli vynaložiť na našu ochranu. Identifikácia útočníka by nám nepriniesla veľa osohu. Je oveľa dôležitejšie, aby sme sa vedeli ochrániť a mitigovať prípadné prieniky a podvody. Tým chcem povedať, že častokrát netušíme, kto na nás útočí, ale naozaj to nie je dôležité. Pre telekomunikačného operátora je úlohou chrániť zákazníka a nie naháňať zločincov. Či ide o útočníkov jednotlivcov, organizované skupiny alebo konkurenciu, náš prístup k bezpečnosti je rovnaký. Ako väčšiu hrozbu ale, samozrejme, vnímame tých s najväčšími schopnosťami.
Je dnes väčšou hrozbou túžba hackerov získať informácie, ničiť informácie (systémy), alebo vsunúť informácie (hactivism)?
Ako pre koho. Finančné obohatenie určite víťazí. Ale späť k mojej prvej vete: „Ako pre koho.” Pokiaľ by došlo k ničeniu infraštruktúry, je to, samozrejme, veľký problém pre operátora aj zákazníkov. V prípade úniku malého množstva informácií, to môže byť zanedbateľný reputačný problém pre banku, ale veľký problém pre daného zákazníka. Taký prípad máme aj na Slovensku. Naproti tomu je hacktivism, ktorý by som vôbec nezaradil do kategórie ilegálnej aktivity hodnej odsúdenia. Ide o formu aktivizmu, ktorá sa napríklad snaží poukázať na problémy spoločnosti.
Je pre vás ťažké nájsť schopných odborníkov na bezpečnosť IT? Dajú sa nájsť na trhu, alebo si ich treba vychovať?
Na slovenskom trhu je žalostne málo odborníkov na IT bezpečnosť. Špecialistom v IT bezpečnosti sa nestanete po dokončení vysokej školy, alebo absolvovaním kurzu etického hackera. Samozrejme veľa vecí sa dá naučiť, ale spôsob zmýšľania a uhol pohľadu na problematiku musíte mať vo vašej mentálnej výbave. To vás nenaučí žiadna škola ani kurz. Prirovnal by som to k talentu. Odborník na bezpečnosť by mal poznať pohľad z druhej strany, byť tak trocha „geek“, zanietený do problematiky a určite nadšenec technológií. Samozrejme, aj talent treba rozvíjať, inak sa stanete šedým priemerom.
Mladým ľuďom, ktorí by sa aj chceli venovať IT bezpečnosti nenapomáha ani dnešné produktovo orientované prostredie. Takéto prostredie neposkytuje veľa priestoru pre kreativitu a sebarealizáciu. Možno aj preto sú na trhu ľudia, ktorí síce ovládajú prácu so security produktami, ale v riešení špecifických problémov sú slabí. Budúci špecialista v IT bezpečnosti sa nemôže vyhovárať, že nemal príležitosť pracovať s danou technológiou. Technológie je plný internet, stačí mať otvorenú myseľ.
IT bezpečnosť ale nie je len o technológiách, ale aj o riadení bezpečnosti. Častokrát je procesná stránka veci dôležitejšia ako samotné nástroje na dosiahnutie bezpečnosti. IT security je široká oblasť, ktorú nepokryje jediný zamestnanec.
Články označené logom TREND WE KNOW HOW sú pripravené v spolupráci s komerčnými partnermi. Redakcia nie je ich autorom, napriek tomu môžu byť pre čitateľa prínosné