Ko Ebay sporoči, da so hekerji vdrli v sistem in ukradli podatke, je čas za paniko, pa čeprav v isti sapi trdi, da so bila gesla šifrirana in da si hekerji z njimi ne bodo mogli kaj dosti pomagati. Lahko tej izjavi verjamemo? Zakaj pa so hekerji potem podatke ukradli, če zanje nimajo vrednosti? Kako se lahko zgodi vdor v tako ugledno spletno storitev, ki ima sredstva in kadre, da skrbijo za varnost, in zakaj uporabnikov niso obvestili takoj? To je le nekaj vprašanj, na katera ni popolnoma jasnih odgovorov, saj podjetja nočejo govoriti o uspešnih vdorih v svoje sisteme.

A ni vedno težava v pomanjkljivi tehnični varnosti, temveč je lahko posredi tudi človeški dejavnik. Nekateri hekerski incidenti so bili posledica metode ribarjenja s sulico. Pri tej metodi hekerji s poosebljenimi poštnimi sporočili ciljajo na zaposlene v podjetju, da bi ti storili nekaj, kar bi jim omogočilo vdreti v sistem. Hekerji namenoma puščajo okužene USB-ključke na parkirišču podjetja. Videti je, da ga je nekdo izgubil, verjetno nekdo iz podjetja, zato ga najditelj vtakne v svoj službeni računalnik. In tega okuži s škodljivo kodo, ki hekerju odpre vrata v sistem. Še en razlog je, zakaj je vse več uspešnih vdorov. Hekerji zaposlene ogrožajo zunaj njihovih delovnih mest. Včasih so zaposleni vse svoje delo opravili na osebnem računalniku podjetja, v pisarni, kjer so bili varovani s požarnim zidom in varnostnimi rešitvami. Danes zaposleni svoje delo opravljajo na več napravah in iz različnih mest. Pametni telefon uporabljajo za službeno delo, kadar so doma, v hotelu oziroma kjer koli, kjer je naprava v internet povezana prek nevarnih javnih brezžičnih omrežij. Hekerji lahko prestrezajo podatke, ki jih nato uporabijo za vdor v sistem podjetja, ki so se ga namenili napasti. Zagotoviti varnosti v takem okolju pa ni preprosto.

Sočustvujemo z njimi, vendar to ne more biti izgovor za pometanje pod preprogo. Od lani v Evropski uniji velja zapoved, da mora ponudnik storitve v primeru kraje osebnih podatkov takoj obvestiti evropskega komisarja in vse uporabnike. V praksi pa preteče več dni, ko ponudnik pošlje elektronska sporočila uporabnikom, veliko pa jih konča med nezaželeno pošto in jih uporabniki niti ne opazijo.

So primeri, ko heker vdre v sistem ponudnika le zato, da bi tega osramotil ali protestiral proti načinu poslovanja. V takšnih primerih najdemo datoteke z uporabniškimi imeni in gesli na internetu, na straneh, kot je Pastebin. Če svojih tam ne najdete, to še ne pomeni, da ste varni. Pretečejo lahko dnevi in tedni, ko se odkrije poln obseg, hekerji pa razumljivo želijo, da se za vdor ne ve oziroma vsi mislijo, da so ukradli malo podatkov. Ko slišite, da je prišlo do vdora v sistem ponudnika storitve, ki jo uporabljate, ni treba čakati na obvestilo ponudnika, ampak takoj spremenite geslo. Tudi pri vseh drugih storitvah, kjer imate enako geslo. Saj tudi zamenjate ključavnice na vseh vratih, če posumite, da so vam ključ ukradli. Varnostni strokovnjak Troy Hunt je lani zagnal storitev Haveibeenpwned, s katero lahko preverite, ali je bilo uporabniško ime ukradeno v odmevnejših hekerskih napadih zadnjih let. Storitev preišče vse baze, ki so bile po napadih objavljene, in preveri, ali je bilo uporabniško ime med ukradenimi. V primeru potrditve velja enako. Zamenjajte gesla. Omenjena stran je zaupanja vredna, saj jo upravlja človek, ki je znan v varnostni industriji. Pri vseh drugih storitvah, ki obljubljajo podobno, pa bodite previdni. Morda so v ozadju hekerji, ki želijo pod pretvezo varnosti izvedeti uporabniško ime, ki ga do tedaj še niso poznali.

Moj mikro, julij avgust 2014 | Jan Kosmač |