Naše tehnološke moći rastu, ali sporedni efekti i moguće opasnosti takođe su u porastu - Alvin Tofler
Ako najpre razumemo i priznamo da pretnje postoje, moći ćemo da počnemo sa unošenjem promena neophodnih da se ojačaju temelji naše tehnološke sutrašnjice – Mark Gudmen
Svetski mediji su u poslednjih desetak godina prepuni bombastičnih vesti (ali i veoma analitičkih napisa) o ogromnim zloupotrebama digitalnih podataka. Najnovija vest stiže iz Kine - Alarm u Pekingu, hakeri ukrali podatke milijardu ljudi. Svega toga, mada u manjoj meri i sa vremenskim zaostatkom, nije pošteđena ni naša sredina. Primeri za to su Novi Sad 2020. godine i Republički geodetski zavod sredinom juna ove godine.
Zaključani (digitalni) Novi Sad
Nesporno je da nam je eksplozivni napredak informacionih tehnologija, a posebno velikih podataka (Big Data), doneo mnogo pozitivnih stvari. Sposobnost da se prikupljaju i analiziraju ogromni skupovi podataka, veoma raznovrsni po svojoj prirodi, i da se na osnovu toga generišu nova, neočekivana znanja, donosi ekonomski rast i relevantne koristi, kako na društvenom tako i na individualnom nivou.
Međutim, ovi pozitivni efekti su praćeni brojnim izazovima i problemima nepoznatim u prošlosti. Došlo je do pojave kriminalnih pretnji kakve niko nikada ranije nije mogao ni da zamisli. Internet je izgubio svoju nevinost. Naš globalno povezani svet postao je opasno mesto, i što sve više u svoj život unosimo nove tehnologije postajemo ranjiviji i nesigurniji.
„Kada su izmišljeni vozovi, niko nije predviđao da bi oni mogli biti predmet pljački. Međutim, kriminalci su predvideli tu priliku i nisu časili časa da iskoriste novu tehnologiju. Sada, umesto da pljačkaju jednog po jednog čoveka, zahvaljujući lokomotivi, naoružani revolveraši mogli su da opljačkaju dvesta ili trista ljudi istovremeno, proširivši tako neizmerno svoje poslovne mogućnosti i zaradu.“
„Koristeći Internet, lopovi su prešli sa pljačkanja pojedinaca i stotina ljudi istovremeno na krađe od hiljada, i sada čak miliona pojedinaca. Zahvaljujući tome, prisustvujemo suštinskoj promeni paradigme u prirodi zločina i načinu njegovog izvođenja. Sa tehnologijom, zločini rastu, i to eksponencijalno“ – ističe Mark Gudmen u knjizi Zločini budućnosti.
Slavni kineski general Sun Cu je u knjizi Umeće ratovanja, još 2.500 godina pre nastanka Interneta, primetio da „onaj ko poznaje svoga neprijatelja i poznaje samoga sebe, neće biti ugrožen ni u stotinu bitaka“. U skladu s tim, da bismo razumeli ogromne tehnološke pretnje koje su pred nama, moramo razumeti svoje neprijatelje. Svaki od njih ima različita sredstva i motive, ali svima je zajedničko to da predstavljaju veliki rizik za nas i naš duboko povezani svet.
Povrede, krađe ili incidenti sa podacima (data breach) jesu aktivnosti koje dovode do toga da osetljivim, zaštićenim ili poverljivim informacijama pristupaju da bi ih kopirali, prenosili ili na bilo koji način koristili neovlašćeni pojedinci. U takvoj opasnosti od krađe podataka, direktno ili posredno, može biti svako - od pojedinaca do preduzeća i državnih institucija najvišeg nivoa.
Najčešće korišćeni pojmovi kojima se opisuju i objašnjavaju fenomeni u ovoj oblasti su: hakeri , virusi, trojanci, malveri, hakerski napadi.
Uprošćeno rečeno hakeri (hacker) su osobe koje poseduju veliko znanje iz oblasti informacionih tehnologija, i to znanje koriste da, skriveni u ilegali, pišu zlonamerne programe da bi nam naudili. Od nekada idilične predstave o hakeru, kao tinejdžeru - pojedincu željnom dokazivanja, koji „upada“ u naš računar i izvodi razne smicalice zabave radi, vremenom smo došli do organizovanih grupa opasnih namera, sasvim sposobnih da to i ostvare. Njihov cilj je krajnje maliciozan – svesno žele da nanesu štetu. Njihove aktivnosti se odavno već izjednačavaju sa kriminalom, a u poslednje vreme i sa terorizmom, tako da sada imamo i novoskovane pojmove - sajber kriminal (cybercrime) i sajber terorizam (cyberterrorism).
Spisak počinilaca odgovornih za kriminalne aktivnosti u digitalnom prostoru ogroman je i obuhvata: klince iz komšiluka, nadnacionalne organizovane kriminalne grupe, obaveštajne službe, haktiviste, sajber ratnike, nezadovoljne insajdere i industrijske špijune.
Kompjuterski virusi su samokopirajući programi koji se šire kroz informacione sisteme tako što sopstvenu kopiju ubacuju u druge programe, baš kao što virusi u stvarnom svetu inficiraju ljudsku populaciju.
Trojanci se ne reprodukuju inficiranjem drugih programa, već se šire tako što imitirajući legitimni softver prevare korisnike da otvore zaraženi prilog u elektronskoj pošti. Ime su dobili po mitskom drvenom konju u kojem su se Grci na prevaru ubacili u Troju. Trojanci često stvaraju takozvana „zadnja vrata“ koja hakerima omogućavaju da održavaju trajni pristup inficiranom sistemu.
Kompjuterski malver ili zlonamerni softver se koristi kao zajedničko ima za sve ove razne vrste virusa i trojanaca. Nastao je kao kovanica od reči „maliciozni“ i „softver“ (engl. malware - malicious software). Pojavljuje se u mnogim oblicima, ali uvek sa ciljem da ošteti, poremeti, ukrade ili izvrši neke nezakonite ili neovlašćene radnje u sistemima podataka ili komunikacija.
U poslednje vreme u dramatičnom porastu je posebna vrsta malicioznih programa. Oni funkcionišu tako što šifriraju (kriptuju) podatke na računarima. Podaci postaju nečitljivi i u određenom smislu oni postaju taoci koje hakeri drže „zaključane“. Da bi dobili „ključeve“ za dešifrovanje i ponovni pristup podacima, žrtve moraju hakerima da plate otkup (skoro uvek u digitalnim kripto valutama). Za takvu vrstu zlonamernog, ucenjivačkog softvera u engleskom jeziku stvorena je nova kovanica „ransomver“ (ransom - ucena).
Hakerski napadi zbog kojih dolazi do curenja i kompromitovanja podataka dešavaju se svakodnevno. Teško da se može tačno odrediti koliko takvih incidenata bude dnevno, jer se dešavaju na previše mesta istovremeno širom digitalnog sveta, a većina njih ne bude prijavljena ili ostane neotkrivena. Na mnogim Internet stranicama se mogu pronaći informacije o velikim krađama podataka sa „top listama“ najvećih incidenata.
10 najvećih incidenata sa podacima
Priče o većini incidenata u vezi bezbednosti podataka imaju sličan obrazac. Pouke iz većine ovih priča se svode na isto - sve se to moglo sprečiti da ljudi nisu pravili greške. Ono što je prilično zapanjujuće u vezi sa ovim pričama jeste to da se iste greške stalno ponavljaju. Paradigmatična priča, iz već pozamašne istorije povreda bezbednosti podataka, dogodila se sredinom decembra 2013. godine. Baš usred sezone prazničnih kupovina, rukovodioci u gigantskom američkom maloprodajnom lancu Target bili su zatečeni hakerskim napadom.
Tokom dve nedelje, počevši od novembra 2013. godine, hakeri su ukrali detaljne informacije o 40 miliona kreditnih i debitnih kartica, kao i lične podatke o 70 miliona klijenata Targeta. Hakeri su počeli da prodaju ove ogromne količine podataka na crnom digitalnom tržištu.
Tajming nije mogao biti gori za Target. Pretrpeo je najveći pad prazničnih transakcija od kada je prvi put počeo da prati redovne statističke izveštaje. Pored izgubljenog profita, troškovi povezani sa incidentom su premašili 200 miliona dolara do sredine februara 2014. Ovi troškovi su značajno porasli zbog zahteva banaka za nadoknadu troškova, regulatornih kazni i direktnih troškova usluga klijentima. Podneto je oko 90 tužbi, što je dovelo i do ogromnih advokatskih računa.
Ostaje nepoznato kolika je ukupna cena ovog incidenta, ali procena u Targetovom godišnjem izveštaju iz marta 2016. iznosila je 291 milion dolara. Reputacija kompanije je narušena, a rukovodilac informacionog sistema je podneo ostavku.
Target je imao veoma dobar informacioni sistem – imao je čak i veoma moderan kompanijski sistemski program (FireEye ) za zaštitu od malvera . Sa svojim obimnim resursima i zaštitom Target je bio daleko zaštićeniji od većine organizacija. Ipak, sve to nije pomoglo.
U filmovima kriminalci često imaju insajdera, unutrašnjeg saradnika koji im ostavlja ’otvorena vrata’ za ulazak. Ali osoba koja je pustila hakere u Target čak nije bila ni zaposlena u Targetu i nije bila sklona prevarama. To je bio zaposleni u firmi Fazio Mechanical, koja je obavljala eksterne usluge u vezi informacionog sistema Targeta. On je lakomisleno otvorio prilog u lažnom imejlu koji su mu hakeri poslali (’upecao se’) . Sakriven u prilogu vrebao je trojanski konj Citadela — zlonamerni softverski program koji se proširio po Faziovim računarima. Preko tog trojanskog konja, hakeri su dobili Faziova ovlašćenja za prijavu na Targetov sistem.
Pristupom na Target, hakeri su onda pokrenuli drugi malver program (jeftino kupiljen na crnom tržištu za samo nekoliko hiljada dolara). Malver je počeo da prikuplja milione podatk o klijentima i obavljenim transakcijama sa platnim karticama. Ali vrlo brzo, antivirusni program FireEye je signalizirao da je u sistemu zlonamerni softver. Nažalost, ova upozorenja nisu ozbiljno shvaćena i nisu preduzimane odgovarajuće akcije za odstranjivanje malvera. Štaviše, FireEye-ova funkcija automatskog odstranjivanja malvera mogla je da okonča napad bez potrebe za bilo kakvom ljudskom intervencijom. Međutim, Targetov bezbednosni tim je isključio tu funkciju želeći da poveća efikasnost obavljanja povećanog obima transakcija sistema.
Da li su izvučene neke pouke iz ovog incidenta? U ovako kompleksnim sistemima problemi su organizaciono sistemske prirode – propusti se mogu desiti na svim nivoima.
Stručnjak za informacionu bezbednost Brus Šnajer (Bruce Schneier) tvrdi da su podaci otrovna imovina. Pošto hakeri svakog dana provaljuju u informacione sisteme i kradu podatke to znači da prikupljanje i čuvanje tolikih količina podataka predstavlja bombu koja otkucava – to je katastrofa koja čeka da se dogodi. Svaki problem sa podacima može pokrenuti jedan destruktivni niz posledica koje mogu smanjiti profit kompanije, ugroziti njen ugled, dovesti do pada cena akcija, a potencijalno mogu dovesti do skupih sudskih procesa ili čak krivičnih prijava od strane regulatora.
Posebno su opasni podaci o ličnosti jer su osetljivi, vrlo podložni zloupotrebi i teško ih je čuvati, a žele ih mnogi - od kriminalaca do osiguravajućih društava i obaveštajnih agencija.
Krađe podataka nemaju razorne posledice samo za velike korporacije. Servis za sklapanje intimnih poznanstava (sajt za preljubnike) Ešli Medison (Ashley Madison) je pretrpeo ogromni hakerski napad. Hakeri su javno objavili imena onih koji su koristili usluge, uključujući čak i one koji zapravo nikada nisu imali nijednu ljubavnu aferu. Mnogi od njih su dobili teške oblike depresije i izgubili su posao i porodice. Sveštenik iz Nju Orleansa i profesor bogoslovije Džon Gibson izvršio je samoubistvo nakon što je identifikovan od strane hakera kao korisnika Ešli Medisona. U svojoj oproštajnoj poruci je govorio o svojoj depresiji i sramoti zbog toga što je to objavljeno.
Moderni digitalni lopovi su 2013. provalili sigurnosne sisteme na Ekvifaksovom (Equifax) sajtu AnnualCreditReport.com i došli do kompletnih kreditnih izveštaja za 145 miliona građana. Žrtve tog napada bile su i brojne slavne ličnosti, među kojima i Arnold Švarceneger, Kim Kardašijan, Bijonse, Robert de Niro, Ledi Gaga pa čak i Bil Gejts. Provaljeni su bili i kreditni izveštaji nekoliko izuzetno poznatih političkih ličnosti, poput prve dame Mišel Obame, potpredsednika Džoa Bajdena, bivšeg predsednika Džordža Buša i državnog javnog tužioca Erika Holdera.
Zvuči neverovatno, ali krajem juna u medijima se pojavila informacija da je hakerska grupa RansomHouse izvršila uspešan napad na tehnološkog giganta AMD (uz Intel najveći proizvođač čipova) i tom prilikom ukrala više od 450 gigabajta podataka.
Najzanimljiviji podatak vezan za ovaj hakerski napad jeste tvrdnja RansomHouse-a da su uspeli da probiju zaštitu kompanije AMD zbog loših lozinki koje su koristili zaposleni. Hakeri navode da su neke od lozinki bile “123456a”, “P@sw0rd”, “am!23” “Welcome1”. Takođe su objavili kako je “ sramota da su ovako slabe lozinke koristili zaposleni u jednom tehnološkom gigantu kao što je AMD“. Još je veća sramota što sektor za informacionu bezbednost ove kompanije nije radio svoj posao na pravi način. U medijima za sada nema informacija o tome da li je "RansomHouse" tražio novac za otkup podataka, ali čini se, na osnovu njihovih objava, da im cilj nije bila klasična ucena.
Kada je u pitanju Srbija – u našoj javnosti nema ovako transparentnih i detaljnih informacija o incidentima sa podacima. To je možda najvažniji razlog zašto je potrebno da ova tema bude u većoj meri prisutna i sa većom pažnjom razmatrana u našoj sredini. Posebno treba istaći da nema analitičkih tekstova o tome šta se tačno dešavalo. Novi Sad je ostao u senci pandemije i izgleda da je imao sreće da je ’razbijena’ šifra zlonamernog softvera (Pwndlocker) kojim je napadnut. Što se tiče Republičkog geodetskog zavoda javnosti su bila dostupna samo zbunjujuća i nelogična objašnjenja zvaničnika.
U oba slučaja javnost nije bila detaljno obaveštena o tome kako je došlo do problema, kako je on otklonjen i kakve su štetne posledice za celo društvo i za nas pojedince. Zvanične institucije treba da budu u obavezi da javnost obaveste o tome da li je uopšte obavljena forenzička analiza nad celim sistemom u kojem se desio incident, šta je utvrđeno, a posebno da li je bilo zloupotrebe podataka o ličnosti.
Nadam se da je iz svega prethodno navedenog postalo jasno da se ovi problemi tiču svih nas i da se mnoge loše stvari u oblasti digitalnih tehnologija dešavaju jednostavno zato što još uvek ne shvatamo da je informaciona bezbednost kolektivni problem. Celom društvu bi bilo bolje kada bi svi imali prihvatljive standarde informacione bezbednosti - poslovne tajne bile bi bolje zaštićene a lični podaci građana bili bi bezbedniji od zloupotreba.
Međutim, većini kompanija nije u interesu da ulažu u bezbednost informacija, jer im to ne donosi neku tržišnu prednost, a i skupo je, što ih može dovesti u nepovoljan položaj u odnosu na konkurente. U trenutnoj situaciji, nedovoljno sigurni proizvodi mogu veoma lako da istisnu sa tržišta bezbedne proizvode, jer ulaganje u sajber bezbednost povećava troškove proizvodnje.
Kroz istoriju se pokazalo da je državna regulativa način na koji se poboljšava bezbednost. Da nije bilo državnih institucija koje su propisivale obavezne standarde, mnoge zgrade, lekovi, hrana, automobili i avioni bili bi manje bezbedni. Proizvođači automobila su se na početku protivili obaveznim sigurnosnim pojasevima. Smatrali su da je to glupa ideja i da ih korisnici neće prihvatiti. Vremenom su svi shvatili opštu korist od propisa koji štiti i njih i kupce njihovih automobila. Ponekad je državna regulativa jedini način na koji se kompanije mogu privoleti da ulažu u nešto što predstavlja vrednost za čitavo društvo iako ne donosi trenutni povraćaj uloženih sredstava.
Sadašnji zakoni o bezbednosti podataka nisu u dovoljnoj meri efikasni. Fokusiraju se na organizacije koje su pretrpele hakerske napade, ali se ne bave mnogim drugim akterima koji doprinose problemu: softverskim firmama koje stvaraju softver sa tehničkim slabostima koje prevaranti mogu da iskoriste na bezbroj načina, kompanijama koje proizvode nesigurne uređaje, donosiocima regulatornih propisa i organizacijama koje se bave obukom ljudi za život i rad u digitalnom prostoru.
Zakoni i politike bezbednosti podataka treba da imaju u vidu širu sliku problema. Potrebno je da uzmu u obzir odgovornost svih aktera u ekosistemu podataka, pa čak i nas pojedinaca koji koristimo usluge raznih servisa informacionog društva. Naša je lična odgovornost ako koristimo tako glupave lozinke kao „12345!“ i slične.
Pošto smo počeli sa Gudmanovim pesimističkim napomenama, red je i da završimo sa njegovim, ali sada optimističkim, razmišljanjem. „Postoji put napred iz navale tehnoloških pretnji s kojima smo danas suočeni. Mobilizacijom običnih građana i ponovnim preuzimanjem kontrole nad sopstvenim uređajima i tehnologijama, svi možemo da te alate koristimo maksimalno u dobre svrhe. Drugim rečima, oruđe za promenu sveta nalazi se svakome u rukama. Kako ćemo ga koristiti ne zavisi samo od mene; to zavisi od svih nas. Ta bolja verzija naše budućnosti – ona koju svi želimo – neće se čarobno pojaviti sama od sebe. Za nju će biti neophodni izuzetni ciljevi, nastojanja i borba. Ali zahvaljujući tom predanom radu, biće moguće ne samo da preživimo napredak već i da doživimo procvat u meri koju niko ranije nije mogao ni da zamisli. To je svet u kojem ja želim da živim.“
Comments