Tiskane izdaje
Z mednarodno uveljavljeno strokovnjakinjo za kibernetsko varnost Paulo Januszkiewicz, izvršno direktorico Xcqure, ki svetuje številnim vladam, med njimi tudi ameriški, in se te dni mudi v Portorožu na Microsoftovi konferenci, smo govorili o petkovem hekerskem napadu neslutenih razsežnosti WannaCry.
Vas je napad presenetil?
Pravzaprav ne. Razveselil me je, če sem iskrena. Takšni napadi so vedno opozorilo, da je nekdo tam zunaj, ki čaka na svojo priložnost in naše napake. Vedno ponavljam, da se, dokler ljudje ne bodo začeli umirati, nič ne bo spremenilo.
V britanskih bolnišnicah, ki so zaradi nezmožnosti dostopa do podatkov in aparatur odpovedale marsikatero operacijo, bi se to lahko zgodilo.
Tako, kot sem rekla. Podoben primer smo reševali v eni od bolnišnic v Los Angelesu pred nekaj meseci. Kibernetskim teroristom so v zameno za podatke, ki so jih ti zaklenili, izplačali 17.000 dolarjev. Zahtevana odkupnina je sicer znašala več milijonov, a se je vladnim službam uspelo izpogajati za nižjo vsoto. Moje podjetje je svetovalo že številnim bolnišnicam v podobnih situacijah in lahko rečem, da kibernetska varnost še zdaleč ni njihova prioriteta.
Enako je v vladnih institucijah, ki hranijo ogromno naših podatkov. Preprosto nimajo dovolj velikih IT-oddelkov, dovolj znanja, denarja in časa, da bi se s tem ukvarjali. Nekateri sistemi so tako slabo zaščiteni, da bi vanje res lahko vsakdo vdrl, dostopal do podatkov in izsiljeval. Čeprav se mi zdi problematično že to, da ima nepooblaščena oseba sploh dostop do osebnih podatkov.
Zakaj se takšni napadi dogajajo? So ljudje na za to odgovornih pozicijah premalo obveščeni, imajo premalo znanja?
Vse skupaj. Podjetja, ki imajo dovolj znanja, nimajo proračuna ali dovolj ljudi, da bi se lahko pravočasno zaščitila itd. Statistike pravijo, da bomo do leta 2019 imeli milijon kibernetskih stražarjev manj. Že zdaj je potreba po kibernetskih strokovnjakih zelo velika, posla je dovolj za dodatnih 5,5 milijona ljudi.
Napad je spet postavil vprašanje legitimnosti zakrivanja sledljivosti digitalnih valut.
To, da izvora bitcoina ali drugih kriptovalut ni mogoče ugotoviti, ni čisto res, le malo bolj zapleteno je. Nisem zagovornica neregularnih in zakritih finančnih tokov, je pa res, da je anonimnost poti denarja lahko zelo koristna pri povsem legalnih poslih. Žal pa je vsako stvar mogoče izkoristiti tudi za slabe namene.
Vzniknile so tudi razprave, da kibernetska varnostna industrija napade vidi predvsem kot možnost za zaslužek, in ne toliko kot priložnost, da bi skupaj z vladami in javnimi institucijami našla učinkovito rešitev za zmanjšanje groženj.
Ja, to je res, a je vedno bilo tako. Podjetja in vlade naj se raje vprašajo, kaj so naredile v zadnjih petih letih, da bi izboljšale našo varnost na spletu. Lahko vam povem, da niso naredile skoraj nič. Pet let je za vsako podjetje ali javno institucijo obdobje, ko lahko privarčuje sredstva za implementacijo minimalnih standardov na področju varnosti. Obstajajo tudi brezplačne rešitve, le nekaj časa je treba temu nameniti. Vem, da tudi to stane, ampak v petih letih bi lahko že koga našli, da bi to naredil.
Odgovornim v podjetju svetujem, naj uvedejo akcijski načrt kibernetske preventive. Če bi to obstajalo, se petkov napad ne bi mogel zgoditi. To niso prazne besede. Položaj je resen, a vzrok zanj je vedno enak. Sistemi niso redno posodabljani, akcijskih načrtov kibernetske varnosti ni.
Kako verjetno je, da je bil to le test pripravljenosti?
Če je to res, je bil to odličen test. Kdo ve, a takih napadov (ne sicer tako obsežnih) je zelo veliko in o njih se marsikdaj ne govori, saj tarče nočejo, da bi javnost izvedela za to. Pričakujem še več takšnih napadov, saj je priložnosti zelo veliko.
***
Celoten intervju preberite v petkovi izdaji Sveta kapitala.
