Vsakodnevne novice ustvarjajo vtis, da živimo v digitalnem kaosu. Državno podprte hekerske skupine izvajajo zapletene vohunske operacije, milijardni kripto-ropi polnijo naslovnice, kritične infrastrukture od vladnih sistemov do zasebnih podjetij pa so pod nenehnimi napadi.
Večina ljudi vse to dojema kot nekaj oddaljenega, kot težave, s katerimi naj se ukvarjajo države in korporacije. Hitro si mislimo: “Jaz nisem pomemben, nihče nima razloga, da bi me napadel.” In prevzamemo, da imajo vse pod nadzorom banka, delodajalec ali pač “računalničarji”.
A to razmišljanje je nevarno, saj gre za lažen občutek varnosti, ki prikriva globlji problem: družbo, ki ji močno primanjkuje osnovne tehnološke pismenosti in ki se ne zaveda, kako krhki so informacijsko komunikacijski sistemi. In še pomembnejše – kako lahko je prevarati človeka.
Brez učnega načrta in strokovnjakov
Žal to ni subjektivno mnenje, saj številke govorijo same zase. Do leta 2023 več kot polovica držav EU ni vključila kibernetske varnosti v osnovno- in srednješolski učni načrt. To pomeni, da cela generacija odrašča v digitalnem svetu brez znanja, kako se v njem varno gibati. Tukaj ne govorimo o nesposobnosti uporabe digitalnih orodij, ampak o nerazumevanju njihove odgovorne in varne rabe.
Posledica? Ogromen manko strokovnjakov na tem področju. Po nekaterih podatkih je okrog 300.000 delovnih mest v Evropi nezasedenih, medtem ko škoda zaradi kibernetskega kriminala presega šest milijard evrov na leto.
Digitalna nevarnost
Problem se začne zgodaj in sega daleč. Vsak peti evropski učenec je že bil žrtev spletnega nasilja. Šole so postale digitalne, vendar jih sistemi ne dohajajo. In to ne pomeni samo, da moramo otroke zaščititi na spletu, pomeni tudi, da jih moramo pripraviti na svet, v katerem bodo delali. Kljub ogromnemu povpraševanju po znanju kar 41 odstotkov podjetij zaposlenim ne nudi nobenega izobraževanja s področja kibernetske varnosti. Živimo digitalno, pa se tega še vedno ne znamo lotiti varno.
Odgovor ni to, da se vrnemo v kameno dobo. Rešitev je zelo enostavna. Predstavljajte si, da s časovnim strojem v moderno družbo pripeljete skupino ljudi, ki so živeli pred 100, 200 in 500 leti. Kako bi jim predstavili avtomobile? Cestnoprometne predpise? Uporabo hladilnika, pečice, štedilnika?
Ti primeri so pretirani, vendar služijo svojemu namenu: na enak način je treba gledati na izobraževanje o kibernetiki. Vsak od nas ve, da v hladilnik ne sme vtakniti vrele juhe in da ne sme kolesariti po avtocesti. Na enak način bi vsakdo moral poznati vsaj osnove, kako deluje internet in sistemi, ki jih uporabljamo po več ur vsak dan.
Zakaj si ravno ti tarča?
Ko me ljudje vprašajo: “Zakaj bi nekdo ciljal prav name? “, postavljajo napačno vprašanje. Ne gre za tvojo pomembnost, ampak za tvoj dostop. Ti si lahko prehod. Uporabljaš ista gesla za osebne in službene račune. Posreduješ si dokumente s službene na osebno e-pošto. Tvoj telefon je povezan z delovnim Wi-Fi-jem in na njem imaš kopico aplikacij. Ta zahtevajo dovoljenja, ki jih sploh ne preveriš. Vsaka od teh zadev je potencialna vstopna točka.
Motivi so različni. Pri kriminalnih skupinah gre za denar. Tvoji osebni podatki so blago, ki ga prodajajo na temnem spletu. Ta poganja trg kraje identitet in finančnih prevar. Državam tvoji dostopi prinašajo priložnost za vohunjenje ali krajo intelektualne lastnine.
Za “haktivista” – aktivista, ki hekanje uporablja za dosego družbenih ali političnih ciljev – je lahko tvoj delodajalec simbolična tarča. In včasih gre zgolj za dolgčas, za najstnika, ki preizkuša meje, ali za nekoga, ki prek tvoje nezaščitene domače povezave Wi-Fi zagreši kaznivo dejanje.
Ni pomembna oseba, ampak kam lahko ta vodi
Napadalec morda sploh ne cilja nate, ampak prek tebe pride do tvoje organizacije. Ti si lahko šibek člen v verigi. Morda samo klikneš na napačno spletno povezavo in že ima dostop do občutljivih podatkov, finančnih sistemov ali strankine dokumentacije. Ti si lahko le korak do prave tarče: banke, državnega sistema ali kritične infrastrukture.
Kibernetski napadi danes niso več improvizacija; so organizirani in profesionalni. Na voljo so orodja za napade “kot storitev,” kupljena z nekaj evri na črnem trgu. Ransomware (škodljiva programska oprema, ki zaklene podatke in nato od žrtve zahteva odkupnino), phishing kompleti (prevare, pri katerih poskušajo prevarati uporabnika, da jim razkrije občutljive podatke), gostovanje brez nadzora … Vse to celo začetnikom omogoča, da sprožijo učinkovite napade. In zaslužki so lahko ogromni. To je posel. Nezakonit, a izjemno donosen.
V pravih rokah prednost, v napačnih grožnja
Danes imamo še umetno inteligenco (UI). In z njo se je razmerje moči dodatno premaknilo. Kot nekdo, ki dela v razvoju programske opreme in kibernetski varnosti, lahko zagotovim, da so ta orodja nadvse sposobna. UI mi prihrani ure in ure dela: napiše mi ukaze, pripravi skripte, pomaga analizirati ogromne količine logov in sprejemati boljše odločitve. Namesto da izgubljam čas z rutino, se lahko posvetim ključnim problemom.
Ampak ta ista moč je na voljo vsem, tudi tistim z napačnimi vrednotami. Če lahko v nekaj sekundah ustvarim skripto, ki pregleduje tisoče vrstic sistemskih dnevnikov, potem lahko nekdo drug enako hitro izdela zlonamerno kodo. UI omogoča, da kriminalci sestavijo bolj prepričljive phishing napade, bolj sofisticirano zlorabijo psihološke trike in hitreje odkrijejo ranljivosti.
V napačnih rokah to pomeni napade, ki so bolj prepričljivi, bolj ciljani in v večini primerov popolnoma avtomatizirani. Če boš jutri prejel e-pošto, ki bo videti, kot da jo je napisal tvoj šef in bo vsebovala tvoje pravo ime, projekt, na katerem delaš, in priloženo datoteko z navodili – boš kliknil?
Vsi ti napadi postajajo nevidni, personalizirani in neverjetno učinkoviti. In večina ljudi jih ne zna niti prepoznati, kaj šele ustaviti. V trenutku lahko postaneš tarča nečesa, kar presega vse, kar si si doslej predstavljal. In takrat boš večinoma brez moči.
V sistemu je najbolj ranljiv – človek
Ljudje imamo skupni problem: precenjujemo svojo varnost in podcenjujemo, kaj bi nekdo lahko izkoristil. Tipična je miselnost: “To se meni ne more zgoditi.” Potem pa kliknemo nepreverjeno povezavo, ne posodabljamo sistema, uporabljamo ista gesla. Zraven pride še utrujenost od odločanja in udobje, ki nas vodi v bližnjice. In napadalci se tega zavedajo.
Če si povezan, si ranljiv. Za to, da si zanimiv hekerju, ti ni treba biti politik, direktor ali obveščevalec. Dovolj je, da si povezan. Denar, politika, eksperimentiranje … razlogov, zakaj nekdo želi vdreti v tvoj račun, je več, kot si misliš. Ne gre več za vprašanje, “če,” ampak “kdaj” in “kako”. Ko razumeš, da si del te digitalne mreže, lahko narediš prvi korak k samozaščiti.
In ne gre samo zate. Gre za vse nas. Vsaka ogrožena naprava in vsak napaden račun pomeni dodatno točko v mreži ranljivosti. Naša skupna digitalna varnost ni odvisna samo od protivirusnih programov in požarnih zidov, ampak od vsakodnevnih odločitev vsakega posameznika; tudi tvojih.
V drugih jezikih
EnglishO avtorju
Peter Aleksander Bizjak je programski inženir in strokovnjak za kibernetsko varnost, ki ima večletne izkušnje z delom za domača in tuja podjetja v različnih sektorjih. Trenutno večinoma dela v finančni industriji in svetuje podjetjem, kako izboljšati njihovo spletno varnost.