Ljudje smo si informacijski svet zgradili na edini način, ki ga poznamo – kot kopijo fizičnega sveta. Pri tem smo naredili zanimivo napako. Tega navideznega sveta nismo naredili idealnega in idiličnega, ampak enako ranljivega in nevarnega, kot je fizični svet. Tudi v informacijskem svetu nam tako preti veliko nevarnosti, ki postajajo, glede na to, da se fizični in informacijski svet vse bolj prepletata, vse bolj realne in lahko pomembno vplivajo na naša življenja. Idilični časi virusov, katerih edini učinek je bil, da so nam na zaslonu izpisali, da si želijo keks, so na žalost že zdavnaj mimo. Prav tako so mimo časi, ko smo okužbe odpravljali tako, da smo zagnali kak protivirusni program, in vse je bilo spet čisto.
Človeštvo je potrebovalo nekaj deset ali sto tisoč let, da je prišlo do stopnje razvoja, na kateri je danes. Vsa ta leta so ljudem pretile najrazličnejše nevarnosti, ki smo se jim sproti prilagajali, in zdaj nam je jasno, da moramo stanovanja in avtomobile zaklepati, da stvari ne puščamo vsem na očeh, da pazimo na cesti, skratka, da se izogibamo takšnim in drugačnim nevarnostim. V informacijskem svetu pa gredo stvari naprej tako hitro, da imamo težave s prepoznavanjem nevarnosti, še bolj pa s tem, da se pred njimi ubranimo oziroma samozaščitno obnašamo. Informacija je – naj bo takšna ali drugačna – v sodobnih časih preveč dragocena, predvsem pa vplivna, da bi se lahko učili na lastnih napakah, čeprav to velikokrat počnemo. Učenje na način, da počakamo, da se nekaj zgodi, nato pa ukrepamo, je postalo neuporabna in izjemno nevarna filozofija, ki ima lahko zelo resne posledice.
Zato so konference, kot je Risk, dobrodošla zadeva predvsem za tiste, ki so zelo odvisni od informacij. In če so bile to včasih predvsem banke in sorodne finančne ustanove, je zdaj tako, da se je treba z varnostjo ukvarjati praktično povsod, saj smo na tak ali drugačen način lahko prizadeti vsi. Prav zato je tudi logično, da število udeležencev na konferenci iz leta v leto raste.
Osrednja misel letošnje konference je bila »Cyber attacks ahead«, kar pomeni, da se je veliko govorilo o tem, kaj nas čaka na področju varnosti, in seveda o tem, kako naj se pred tem zaščitimo. O varnostnih temah so govorili Hans Peter Bauer iz podjetja Intel McAfee, Casper Carsten iz podjetja Gartner, Florento Fortunea iz podjetja Websense, Paul St. John iz podjetja Riverbed, predstavila pa so se tudi podjetja, kot so HP Enterprise Security, Sourcefire, Nimsoft, Stonesoft, Astaro-Sophos, Diverto, Qualys, SafeNet, F5, in tudi nekatera domača imena, kot so Pošta Slovenije, Fakulteta za varnostne vede, Marg in Astec.
Eno bolj zanimivih in tudi zelo dobro obiskanih predavanj je bilo predavanje Hansa Petra Bauerja iz podjetja Intel McAfee. Ta je najprej precej barvito predstavil varnostna dejstva, ki smo jim priča, nato pa prikazal, kako se s temi dejstvi spopada Intel, ki je pred časom prevzel podjetje McAfee. Pa povzemimo nekatera dejstva, ki jih je naštel. Vsakdanje življenje postaja vse bolj 'internetizirano'. Do interneta namreč ne dostopamo le z namiznih računalnikov, pač pa tudi prek cele vrste mobilnih naprav, od prenosnikov, tabličnih računalnikov do pametnih telefonov. Poleg tega je zdaj v internet povezano bolj ali manj vse – bankomati, terminali POS, proizvodnja, medicina, oskrba z vodo, elektriko in še kaj. Kako občutljivo blago so danes informacije, je bilo predstavljeno na primeru Volkswagna. Tam so izračunali, da če podatki o izidu novega modela postanejo javni samo en teden prezgodaj, to pomeni okoli 400 milijonov evrov škode za podjetje. Ljudje namreč v tem primeru prenehajo kupovati stare modele, podjetje jih zato ne more prodati ali pa jih je prisiljeno prodajati po precej nižji ceni. In ker je teh avtomobilov veliko, je tudi škoda velika.
S povezanostjo v internet ne bi bilo nič narobe, če ne bi obstajala tako imenovana 'temna stran industrije'. Kot imamo v vsakdanjem življenju tatove, roparje, vandale in podobne kriminalce, ima tudi virtualni svet svoje nepridiprave. Pri tem pa je težava v tem, da so ti nepridipravi globalni, in ne le lokalni. Če vas žepar želi okrasti v realnem svetu, mora stopiti do vas, v elektronskem svetu pa je lahko na Novi Zelandiji ali v Sibiriji. S povečanjem števila naprav, povezanih v internet, so se pojavile tudi nove vrste napadalcev. Hekerji, torej ljudje, ki vdirajo v sisteme, pravzaprav niso več tako nevarni. Bolj nevarne so tako imenovane 'napredne trajne grožnje' (Advanced persistent threats), kjer gre za pravo spletno vohunjenje, ko imajo napadalci več let skriven dostop do informacij v najrazličnejših organizacijah. Tako je bila pred časom razkrita tako imenovana operacija Shady Rat, serija spletnih napadov na več kot sedemdeset različnih organizacij po svetu, med katere sodijo tudi ameriške obrambne sile, Združeni narodi, Mednarodni olimpijski komite, najrazličnejša podjetja, od težke industrije do energetike, elektronike, računalništva in medijev. Napad traja že od leta 2006 in še zdaj ni popolnoma odpravljen, čeprav se ve, da obstaja. Takšnih in podobnih operacij je še veliko – Stuxnet, Night Dragon, Ten days of rain, skoraj desetletno kitajsko prisluškovanje Nortelu. Samo pri McAfeeju dobijo v svoje laboratorije dnevno več kot 60.000 vzorcev potencialno nevarne programske opreme.
Poleg večjega števila napadov je velika težava tudi v tem, da je število naprav vse večje. Veliko podjetij se zadnje čase ravna po sistemu, ki so ga poimenovali »bring your own device« (BYOD), kar pomeni, da se zaposleni lahko v informacijski sistem podjetja vključijo prek naprave, torej prenosnika, tablice ali mobilnega telefona, ki jo sami prinesejo oziroma je njihova last. To je morda res uporabno tako s stališča uporabnika kot tudi delodajalca, a s seboj prinaša kup varnostnih groženj. Vse več je na primer zlonamerne programske opreme za mobilne naprave. Podatki kažejo, da je najbolj napadan telefon s sistemom Android s 63 odstotki, Java ME z 20 odstotki, Symbian s sedmimi odstotki in Blackberry s šestimi odstotki. Zanimivo je, da Appla na tem seznamu ni. Razlogov za to je lahko več. Lahko zato, ker je sistem zelo zaprt in je zato za zdaj še varen, lahko pa, da je napadan, a zaradi omenjene zaprtosti tega ne vemo. Apple varnostnim organizacijam namreč ne dovoli raziskati njihovega sistema in zato ne moremo vedeti, kakšno je njegovo varnostno stanje. Glede na razširjenost je skoraj neverjetno, da bi bil sistem res imun. Zato je zelo verjetno, da je Apple tiho, kot so bili tiho Symantec, RSA, DigiNotar in podobni, ki so molčali o tem, da so bili njihovi sistemi kompromitirani.
Običajen pristop k varnosti torej postaja vse bolj neučinkovit. Zato pri Intel McAfeeju verjamejo, da je boljša rešitev ta, da se varnost postavi bolj na strojno raven, in sicer tako, da se varnostni mehanizmi naložijo, še preden se naloži operacijski sistem. Njihova zamisel se je uresničila v sistemu DeepSafe, o katerem smo v reviji Moj mikro že pisali.
Drugo predavanje, ki se nam je zdelo zanimivo, je bilo predavanje Carstena Casperja, predstavnika analitske hiše Gartner. Ta je, v nasprotju s tehničnimi predavatelji, bolj govoril o strategijah in težavah varnostnih inženirjev v podjetjih. Največja težava je v tem, da varnostni vodje pogosto ne poznajo dovolj dobro poslovnega modela svojega podjetja in se zato ne znajo prilagodit stanju. Zato varnostna arhitektura velikokrat zavira poslovni model. Dober primer za to je, ko neko podjetje kupi drugo in ga vključi v svoj sistem. Če varnostnim inženirjem poslovni model kupljenega podjetja ni dovolj dobro znan, lahko varnostni mehanizmi, ki veljajo v matičnem podjetju, zavirajo ali celo onemogočajo delovanje novega podjetja. Zato je zelo pomembno, da varnostni inženirji podrobno poznajo strategije podjetja in da redno komunicirajo s ključnimi ljudmi v podjetju na različnih ravneh – projektni, programski, operacijski, strateški in še kakšni. Na drugi strani pa je težava v tem, da varnostni inženirji varnosti velikokrat ne znajo predstaviti v poslovnem jeziku in vodstvo zato ne razume, za kaj gre in čemu takšni stroški. Zamisel je podkrepil s posrečeno primerjavo. Poudaril je, da imajo najboljše zavore dirkalni avtomobili, kar pomeni, da dobra varnost dovoljuje delo s hitrostjo, ki omogoča prehitevanje konkurence.
Po končani konferenci je David Ivačič, direktor prodaje pri Real security, konferenco opisal tako: »RiSK 2012 je uspešno za nami … na srečo, saj je bilo tokrat res divje. Pred šestimi meseci, ko smo začeli organizacijo, smo razmišljali, da bo udeležba zaradi recesije bolj skromna. Z velikim zadovoljstvom moramo priznati, da smo se o tem zmotili. Dobra dva tedna pred konferenco smo zapolnili vse mogoče kapacitete kongresnega centra hotela Habakuk v Mariboru in na uradni spletni strani www.risk-conference.com tudi objavili, da smo razprodani. Zadovoljni smo tudi s prispevki naših partnerjev iz tujine, na katere smo se zanesli pred konferenco, saj si naši obiskovalci želijo bolj živih predavanj z dobrimi primeri iz prakse, ne pa malodušnih in suhoparnih prodajnih puhlic. Udeleženci so predavanja večinoma ocenili za zelo dobra.«
Moj mikro, april 2012 | Zoran Banovič |
