1.9.2022
Davida Kavčnika je ameriška organizacija EC-Council uvrstila med najboljših deset certificiranih etičnih hekerjev na svetu. Intervju.
Intervju v originalu objavljen na spletni strani Finance Manager.
Število napadov z izsiljevalsko programsko opremo se je v prvi polovici leta 2021 po vsem svetu povečalo za 151 odstotkov, v povprečju pa je škoda, ki jo je podjetje imelo ob kibernetskem napadu, znašala 3,6 milijona dolarjev, so zapisali v januarskem poročilu Svetovnega gospodarskega foruma. Najnovejši obsežni kibernetski incident se je zgodil februarja, ko je Google objavil opozorilo o 27 hekerskih vdorih v brskalnik Chrome, ki ga uporabljajo tri milijarde ljudi. V zadnjih dneh so se zgodili še trije odmevni kibernetski napadi: pri nas na medijsko hišo Pro Plus (POP tv), na Hrvaškem so hekerji vdrli v bazo podatkov o uporabnikih telekomunikacijskega ponudnika A1, na Portugalskem pa so napadli omrežje telekomunikacijskega podjetja Vodafone.
O boju proti hekerskim zlorabam smo se pogovarjali z Davidom Kavčnikom, ki v ljubljanskem podjetju Telprom skrbi za izvedbo varnostnih rešitev v komunikacijskih omrežjih in vodi ekipo za varnostna preverjanja IKT-okolij. Lansko jesen je EC-Council, ameriška organizacija, ki podeljuje certifikate s področja kibernetske varnosti, Kavčnika uvrstila med najboljših deset certificiranih etičnih hekerjev na svetu.
Pokaže, da ima oseba potrebno znanje za preverjanje ranljivosti informacijskega sistema. Certifikat etičnega hekerja EC-Council oziroma uvrstitev na lestvico TOP10 pridobiš z opravljanjem pisnega izpita in praktičnim delom, kjer moraš rešiti konkretne naloge oziroma izvesti usmerjena testiranja ranljivosti različnih aplikacij in storitev. Najboljše ocenjeni in najhitrejši so uvrščeni na lestvico TOP10.
Menim, da so takšni certifikati potrebni za dobro opravljanje dela, hkrati pa so nujni, da lahko stranki dokažeš svojo kompetentnost. V Telpromu delam sedmo leto, z mojo pomočjo smo v podjetju, ki je bilo najprej predvsem integrator IKT-sistemov, prišli do ravni, da lahko ponujamo tako storitve varnostnega preverjanja informacijskih sistemov kot implementacijo različnih varnostnih rešitev, kar je nujno za nadaljnjo rast organizacije.
V Sloveniji je zelo malo podjetij, še manj pa strokovnjakov, ki obvladajo varnostne preglede in penetracijske teste, s katerimi preverimo ustreznost varnostnih zaščit v podjetju. To področje terja ogromno posvečanja, če se želiš s tem ukvarjati, je najpomembneje, da te to res zanima; ta poklic je prezahteven, da bi ga opravljal le zaradi plačila. Oseba, ki se ukvarja z varnostnimi pregledi in penetracijskimi testi, mora zelo dobro poznati osnove upravljanja informacijskega sistema, zagotavljanje njegove varnosti pa je še za stopnjo zahtevnejše.
Hkrati so pri varnostnih pregledih v Sloveniji žal uveljavljena zelo ohlapna merila glede tega, kdo jih lahko izvaja, še posebej v zadnjih letih, ko se temu namenjajo evropska sredstva. Nekatera podjetja denimo naročijo izvedbo varnostnega pregleda pri nekakovostnem izvajalcu le zato, da izpolnijo pogoj na razpisu, na katerem poskušajo pridobiti sredstva. V Telpromu za stranke izvajamo varnostne preglede z elementi penetracijskega testa tako, da poskušamo izkoristiti ranljivost v njihovem informacijskem sistemu in iz njega na neželen način pridobiti dostop do sistema in podatkov.
Močni smo v segmentu logistike, ena od naših najpomembnejših strank je BTC, v tem segmentu sta naši stranki tudi Prigo in Sigr, med večjimi strankami je tudi Big Bang, sodelujemo pa s podjetji v praktično vseh panogah.
Vlaga se več, a še vedno premalo. V marsikaterem podjetju je prioriteta zagotavljanje kakovosti storitev, povezanih z informacijsko tehnologijo, za njihove stranke, kibernetska varnost pa je v najboljšem primeru na drugem mestu. Pogosto se nujnosti vlaganja začnejo zavedati šele, ko je že prepozno, torej ko se že zgodi vdor in nastane škoda, ki je lahko tudi nekajkrat višja od vložka, potrebnega za zagotovitev ustrezne varnosti sistema.
Napadi kriptiranja podatkov in množično pošiljanje elektronskih sporočil, kjer napadalci želijo uporabnikom ukrasti gesla, podatke o kreditnih karticah in podobno.
Zagotovo, saj kot administrator, inženir ali pa načrtovalec informacijskih sistemov v drobovje spoznaš njegovo delovanje. Lahko pa začneš tudi z neposrednim učenjem etičnega "hekanja".
Da. Na spletu je na razpolago ogromno virov, iz katerih je mogoče črpati znanje. Ta pristop postaja z uvedbo brezplačnih in poceni tečajev ter učnih platform vse bolj preprost. Lahko si denimo preneseš ranljiv virtualni strežnik, si na YouTubu pogledaš, kako ga je testiral nekdo drug, ponoviš, naslednjega pa poskušaš testirati že samostojneje.
Gre za virtualne platforme, ki simulirajo denimo strežnik ali pa informacijsko okolje, nekatere kar konkretno podjetje. Na njih poskušaš priti čim dlje v sistem, do podatkov podjetja, in pridobiti popoln nadzor nad vsemi sistemi. Tako se lahko veliko naučiš, še vedno pa je to drugače kot v resničnem svetu, kjer imaš interakcijo z uporabniki in sistemi, ki jih ni mogoče simulirati. Včasih se pri varnostnem pregledu testira tudi ustreznost varovanja pristopa do določenega prostora, česar prav tako ni mogoče simulirati.
Vsak dober izvajalec penetracijskih testov oziroma etični heker ima znanje, ki bi ga lahko uporabil na drugi strani. Ključno je osebnostno prepričanje oziroma etičnost.
Zdaj na drugi, na ilegalni strani niso več le posamezniki, ampak podjetja z zaposlenimi, ki dnevno skenirajo množico informacijskih sistemov in iščejo njihove ranljivosti ali pa izvajajo množično pošiljanje zlonamernih elektronskih sporočil, in od tod izhaja večina vdorov v računalniške sisteme podjetij s praviloma slabo zaščito informacijskih sistemov. Najpogosteje gre za izsiljevalske viruse (ransomware), ki prek ranljivosti ali pa prek datoteke v zlonamernem elektronskem sporočilu, ki jo uporabnik odpre, zakriptirajo čim več podatkov. Kriminalne skupine so tudi tako dobro organizirane, da preverijo finančno stanje napadenega podjetja in glede na to določijo višino zahtevane odkupnine.
Da, temu pravimo odziv na incident ("incident response"). Čim prej poskušamo ugotoviti, kje je prišlo do vdora, in napad zajeziti, popraviti ali onemogočiti ranljivosti ter rešiti, kar je le mogoče. V nekaterih primerih, ko stranka nima ustrezno urejenega varnostnega kopiranja podatkov, pride do pogajanja z izsiljevalci; če ima napadeno podjetje že na voljo znesek v kriptovaluti, transakcije s to valuto so zelo težko izsledljive, lahko opravi takojšnje plačilo in s tem skrajša čas povrnitve informacijskega sistema v operativno stanje.
Vedno pa je tveganje, da napadalec ne bo odkriptiral podatkov. Večina teh kriminalnih združb sicer želi obdržati svoj "ugled", in če bodo prevarali eno podjetje, jim naslednja podjetja ne bodo več pripravljena plačati. Ob takem incidentu po navadi oškodovano podjetje spozna, da bi lahko znesek odkupnine veliko koristneje uporabilo za zaščito informacijskega sistema, za nameček pogosto tudi občutno manjši znesek.
Seveda je napačno privoliti v financiranje kriminalnih združb in tega načela se je treba držati, če je le mogoče. A če podjetje ostane brez vseh operativnih in finančnih podatkov, je škoda zaradi plačila odkupnine v primerjavi z gospodarsko izgubo praviloma znatno manjša.
V večini primerov je podobno. Pri odzivu na incident se že vnaprej seznanimo s stanjem, potem gre ekipa na lokacijo podjetja. Če ima napadeno podjetje sistemskega integratorja, poskušamo v sodelovanju z njim izolirati napad, da ne pride do dodatne škode, ter čim prej najti in onesposobiti točko vdora, nato pa v najkrajšem možnem času začnemo izvajati povrnitev delovanja informacijskega sistema.
Vedno je tveganje, da napadalec ne bo odkriptiral podatkov. Večina teh kriminalnih združb sicer želi obdržati svoj »ugled«, in če bodo prevarali eno podjetje, jim naslednja podjetja ne bodo več pripravljena plačati. David Kavčnik
Če gre za kritično infrastrukturo, je treba incident prijaviti tudi nacionalnemu odzivnemu centru za kibernetsko varnost SI-CERT. Ker gre v večini primerov za dobro organizirane kriminalne družbe, napadalcev ni mogoče izslediti.
Med pogajanji za morebitno dekripcijo podatkov ta komunikacija poteka po varnih neizsledljivih kanalih. S temnim spletom se srečamo tudi med izvajanjem varnostnega pregleda podjetja, ko preverjamo, ali so njihovi podatki (domena, elektronski naslovi in gesla) mogoče v kakšni bazi ukradenih podatkov.
Ne da bi vedel, nihče od njih se noče neposredno razkriti, saj seveda želijo svoje kriminalne dejavnosti skriti.
Verjamem, da se to dogaja, vendar prikrito, saj imajo države in njihove institucije tolikšna finančna in druga sredstva, da lahko plačajo, pridobijo in izsledijo najboljše in najsposobnejše kriminalne hekerje.
V zdravstveni krizi so kiberkriminalci s pridom izkoristili povečanje obsega dela od doma in pomanjkanje neposredne komunikacije med sodelavci v podjetjih. Na pogostejše napade na kritično infrastrukturo pa zagotovo močno vpliva tudi intenzivna digitalizacija, saj želimo imeti vse sisteme povezane. S tem se kritični deli infrastrukture še bolj izpostavljajo in se povečuje obseg sistemov, v katerih obstaja potencialna ranljivost, ki jo je mogoče izkoristiti, tako upravljalci kritične infrastrukture niso bolj odporni, ampak so kvečjemu še bolj izpostavljeni.
To se dogaja tudi že v Evropi in Sloveniji – takšna je bila na primer Natova vaja Locked Shields. Posamezni nacionalni odzivni centri za kibernetsko varnost se med seboj povezujejo in izvajajo vaje. Na eni strani so rdeče ekipe, na drugi modre, rdeči morajo prodreti v informacijski sistem, modri ga morajo varovati. Pri tem vadijo tudi koordinacijo med nacionalnimi odzivnimi centri ob morebitnem obsežnejšem napadu. Vidi se napredek, saj se za kibernetsko varnost namenja vse več evropskih sredstev in nič ne kaže, da bi jih v prihodnosti zmanjševali.
Imajo dobre strokovnjake, a predvidevam, da s plačilnimi pogoji v javni upravi težko pritegnejo zadostno število takih ljudi, saj imamo s pridobivanjem strokovnjakov težave že v gospodarstvu, kjer s sredstvi nismo tako omejeni. V omenjene vaje pa se vključujejo tudi strokovnjaki iz nekaterih slovenskih podjetij.
Zelo težko, saj se poslovni procesi, povezani z informacijskimi sistemi, lahko zelo razlikujejo, s tem pa tudi potreba po različnih varnostnih rešitvah.
Primernejši model povezovanja organizacij v sklopu kibernetske varnosti je evropski projekt izboljšanja varnosti v elektroenergetskih sistemih Phoenix, pri katerem sodeluje naše podjetje. V konzorciju 24 podjetij iz EU so tudi Elektro Ljubljana, Iskra Emeco, BTC in Comsensus. Nekateri člani konzorcija skrbijo za razvoj storitev in produktov, drugi omogočajo testiranja na svoji infrastrukturi. Izvajajo se tudi penetracijski testi in rezultati bodo na voljo vsem članom konzorcija.
Če je na voljo dovolj sredstev, je mogoče vse. Pri Stuxnetu je šlo za napad na izolirane sisteme, računalnike, povezane s centrifugami za bogatenje urana v Iranu, vpletene so bile tudi tajne službe. Ekipe z neomejenimi sredstvi lahko dosežejo karkoli, kibernetski napadi pa lahko povzročijo veliko škode na več koncih, veliko več kot denimo geografsko omejena tankovska ofenziva. Tako rekoč iz domače pisarne lahko povzročijo škodo v gospodarstvu in v kritični infrastrukturi ter s tem praktično ohromijo državo. V tej veliki grožnji male države, kot je Slovenija, niso zanimive, lahko smo le kolateralna škoda.
Pri teh obtožbah gre predvsem za propagandno vojno, saj je težko vedeti, kdo je izvajalec posameznega napada in kakšni so resnični interesi v ozadju. Napadalci lahko s praktično neomejenimi sredstvi učinkovito prikrijejo izvor in interes napadov. Napad se lahko zgodi iz Kitajske, napadalec pa sedi zraven tebe.
Hipotetično bi lahko tudi "ruski" napad izvedli Američani in napadli še svoja podjetja, da bi zadevo prikrili. Pri množičnih vdorih, kot je bil SolarWinds, bi bil lahko cilj natančno določen in so ga prikrili tako, da so vdrli v tisoče organizacij. Mogoče pa je šlo za državno podtaknjena »stranska vrata«. Nikoli ne bomo vedeli zagotovo.
Lahko je to le ena od zgodb, s katero bi upravičili načrtovane in že pripravljene ukrepe proti Rusiji. Čeprav se s tem področjem tehnično ukvarjam, je nemogoče, da bi karkoli zanesljivo vedel. Mediji objavljajo eno stran, na temnem spletu lahko prebereš drugo plat, nemogoče pa je vedeti resnico, saj so informacije praktično nepreverljive. Zanesljivo je le to, da lahko vsaka od vpletenih strani glede na višino sredstev, s katerimi razpolagajo, prikriva svoje konkretne interese.
Pri svojem delu se s kibernetskimi vdori zelo pogosto srečujemo. Če bi to pomnožili s številom in velikostjo organizacij ter s potencialnim izplenom kriminalcev in povzročeno gospodarsko škodo, se zdi to realen podatek.
Zagotovo, predvsem pa bo stopnja odkrivanja kibernetskega kriminala odvisna tudi od zakonodaje posameznih držav, ki bi lahko s pravim pristopom vsaj delno zajezile določene segmente kibernetskega kriminala. Kriminalnih skupin zakoni ne omejujejo in imajo dovolj finančnih virov za izvajanje svojih operacij. Svoje ljudi lahko tudi vrhunsko izobražujejo.
Izobraževanja intenzivno spodbujamo in jih tudi načrtujemo v letnih ciljih zaposlenih. Nenehno je treba biti v koraku z najnovejšimi tehnologijami in rešitvami, saj lahko le tako konkuriramo kibernetskim kriminalcem.