O informačnej bezpečnosti, formách počítačovej kriminality, ale aj o možnostiach, ako odvrátiť útoky hackerov sme sa porozprávali s doc. RNDr. Danielom Olejárom PhD., ktorý na Univerzite Komenského v Bratislave pôsobí ako vedúci Katedry informatiky.
Dnešná doba prináša každú chvíľu množstvo správ o útokoch hackerov, zlomení kódov či nabúraní sa do systémov rôznych inštitúcií, štátnych aj súkromných. Myslíte si, že je vôbec možné tomu predchádzať?
Obávam sa, že celkom sa útokom zabrániť nedá, ale verím, že sa dá podstatne znížiť pravdepodobnosť toho, že sa útok na systém podarí. Väčšina útokov využíva známe nedostatky počítačov, ich programového vybavenia a spôsobov používania. Ak by vlastník alebo správca systému systematicky ošetroval aspoň známe zraniteľnosti svojho systému a vyhýbal sa chybám pri jeho používaní, značne zredukuje útočníkove šance na úspech.
Je pre útočníkov náročnejšie nabúrať sa do počítačov v súkromnej alebo štátnej sfére? Prečo sú tam rozdiely?
Tu sú dôležité dva faktory – akú má útočník motiváciu, aby zaútočil na konkrétny počítač, a ako je ohrozený počítač chránený. Ak počítač nie je niečím zaujímavý (napr. tým, že obsahuje cenné údaje, alebo to je slabo chránený bod vo vnútornej sieti firmy alebo inštitúcie), je veľká pravdepodobnosť, že bude vystavený nanajvýš automatickému testovaniu známych zraniteľností. Ak však útočník bude mať dôvod zamerať sa na konkrétny počítač, nenechá sa odradiť prvými neúspešnými pokusmi a bude hľadať aj zložitejšie metódy útoku. Úspešnosť útoku závisí od sily obrany a zdrojov, ktoré si útočník môže dovoliť vynaložiť na prekonanie obrany.
Výhodou štátnej sféry pri zaisťovaní informačnej bezpečnosti je možnosť stanoviť povinnosť chrániť systémy (napr. Výnos Ministerstva financií SR o štandardoch pre informačné systémy verejnej správy), nevýhodou je nedostatok kvalifikovaných odborníkov na informačnú bezpečnosť a neschopnosť takýchto odborníkov primerane zaplatiť. Aj pre niektoré systémy v súkromnej sfére kladie povinnosť ich ochrany zákon (systémy, v ktorých sa spracovávajú utajované skutočnosti, osobné údaje; resp. prvky kritickej informačnej infraštruktúry), ale pre ostatné súkromné systémy ich ochrana závisí od bezpečnostného povedomia majiteľa systému a jeho možností a ochoty investovať do zabezpečenia systému.
Prečo sa mnohokrát stáva, že útočníci sú popredu a ochranné opatrenia prichádzajú neskoro?
Boj v kybernetickom priestore je asymetrický; t. j. útok je podstatne jednoduchší ako obrana. Zraniteľnosti súčasných systémov možno nájsť na internete, často hneď aj s návodmi, ako príslušnú zraniteľnosť využiť. Útočníkovi stačí, aby sa pozrel na „hackerskú“ stránku, vybral nejaké zraniteľnosti, prečítal si návod, stiahol nástroje, vybral cieľ a môže skúsiť podniknúť útok. Aby správca systému zaistil primeranú ochranu systému, o ktorý sa stará, mal by všetky odhalené zraniteľnosti svojho systému nejako ošetriť. A to je podstatne prácnejšie a často na to správca ani nemá potrebné prostriedky (napr. výrobca programového vybavenia nestihol vytvoriť bezpečnostné záplaty). Ale, ak by aj správca systému stihol ošetriť všetky známe zraniteľnosti (čo je veľmi zriedkavý prípad), sú tu tzv. Zero Day exploits, pomenované podľa toho, že medzi odhalením novej zraniteľnosti a publikovaním nástrojov na jej využitie je nulový časový odstup (ktorý by správca mohol využiť na upevnenie obrany svojho systému).
Navyše, obraz o úspešnosti obrany/útokov v kybernetickom priestore je skreslený tým, že nevieme, na koľko systémov bol podniknutý útok, ktorý obrana úspešne odrazila. Keď sa zverejňuje len štatistika úspešných útokov, môže vzniknúť klamlivý dojem, že každý útok je úspešný; resp. že útočníci sú omnoho šikovnejší, ako obrancovia.
Takže existuje efektívna obrana voči takýmto pokusom o útok… Čo sa s tým dá robiť?
Keďže väčšina útokov je automatizovaných a využíva známe zraniteľnosti, výrazne by pomohlo, keby sa správcom/majiteľom systémov podarilo ošetriť známe zraniteľnosti, a potom trvale udržiavať ochranu systémov na dostatočnej úrovni (inštalácia bezpečnostných záplat, zavedenie bezpečnostných opatrení a dodržiavanie jednoduchých zásad na prácu so systémami a údajmi). Najsilnejším a súčasne aj najslabším článkom obrany systémov sú ľudia; ak naozaj chceme zvýšiť úroveň informačnej bezpečnosti (lokálne aj globálne) potrebujeme naučiť používateľov, čo majú a čo nesmú robiť (bezpečnostné povedomie a základné zručnosti) a mať v organizácii aspoň pár odborníkov na informačnú bezpečnosť, ktorí budú schopní zorganizovať ochranu informácií v organizácii a spolupracovať s odborníkmi na informačnú bezpečnosť z iných organizácií na ochrane informačných a komunikačných technológií (IKT) v globálnom meradle.
Ktoré oblasti hospodárstva či ekonomiky a ktoré segmenty sú najviac ohrozené z hľadiska počítačovej kriminality?
Táto otázka sa dá chápať dvojako – kde je pravdepodobnosť toho, že sa staneme obeťou počítačového zločinu najväčšia a v ktorej oblasti je dopad počítačovej kriminality najväčší? Pripomínam, že do počítačovej kriminality patria trestné činy, pri ktorých bol počítač buď cieľom, alebo nástrojom nejakej nekalej činnosti. Vzhľadom na masové rozšírenie IKT1, narastajúci počet ich používateľov a aplikácií, ktoré poskytujú, kybernetický priestor máme prakticky všade a každý jeho nedostatočne chránený prvok sa môže stať cieľom nejakého útoku.
Z hľadiska dopadu počítačovej kriminality existujú systémy a zariadenia, ktoré sú pre chod spoločnosti nevyhnutné (kritická infraštruktúra). Informačné a komunikačné systémy sú jednak samé o sebe prvkami kritickej infraštruktúry spoločnosti (rozhlas, televízia, telefónna sieť, počítačové siete) a jednak činnosť kritickej infraštruktúry by nebola možná bez fungovania IKT. IKT, obrazne povedané, sú kritickou infraštruktúrou kritickej infraštruktúry spoločnosti. Najväčšiu hrozbu pre spoločnosť predstavuje možné narušenie riadiacich systémov kritickej infraštruktúry, ktoré by spôsobilo jej znefunkčnenie, resp. zničenie (doprava, výroba, zdravotná starostlivosť, zásobovanie vodou, potravinami, distribúcia elektrickej energie, záchranný systém, obrana, finančné inštitúcie, sociálna a zdravotné poisťovne, atómové elektrárne a pod.).
Počítačová kriminalita môže mať dosah, ktorý by v reálnom svete mala vojenská operácia alebo teroristický útok. A hoci je primárnou motiváciou kybernetického zločinu ekonomický zisk, v kybernetickom priestore operujú jednotlivci, skupiny, organizácie, ktoré sledujú iné (napr. politické ciele), majú vynikajúcich odborníkov, veľké zdroje a nemajú zábrany používať akékoľvek metódy. Preto je hrozba zameraná na kritickú (informačnú) infraštruktúru reálna.
Zvlášť by som upozornil na podvody s identitou a narušovanie súkromia. V reálnom živote zväčša človeka, s ktorým komunikujete, poznáte, stretli ste sa s ním a viete ho identifikovať. Internet, elektronická pošta, mobilné telefóny a sociálne siete nám umožňujú komunikovať s ľuďmi, ktorých sme v živote nevideli a nevieme si overiť, či sú naozaj tými, za ktorých sa vydávajú. Podvodníci môžu predstierať cudziu identitu, získať od nás informácie, ktoré by sme im inak neposkytli, alebo dokonca nám ukradnúť identitu, nechať nás zaplatiť za tovar alebo služby, ktoré si vo našom mene objednali alebo nám úplne vybieliť účet.
Internet je fantastický zdroj informácií a priestor na realizáciu rôznorodých zaujímavých aktivít. Surfovanie po internete má však aj tienistú stránku. Existujú programy, ktoré zbierajú informácie o našich aktivitách na internete a na ich základe vytvárajú používateľský profil. Možno len jednoduchý, ktorý umožňuje posielať cielené reklamné ponuky, ale z údajov o navštívených webových stránkach, zapájania do diskusných fór, zverejnených fotografií, adries mailovej pošty a ďalších dostupných informácií sa dá získať ďaleko presnejší obraz o človeku. Otázne už potom je len to, kto a ako tieto informácie využije. Pôsobením v kybernetickom priestore sa stráca súkromie človeka.
Ak si zoberieme špeciálne bankovníctvo, ktoré pracuje s citlivými údajmi svojich klientov, existujú podľa vás nástroje, ktoré by pomohli chrániť dáta, údaje klientov bánk? čo preferujete vy?
Nepoznám univerzálne jednoduché riešenie a obávam sa, že také ani neexistuje. Keď budeme hľadať dobré riešenia pre špecifické problémy, v prvom rade si potrebujeme ujasniť, o aké údaje ide, čo sa s nimi má robiť, čo by bežný spôsob spracovania mohlo narušiť, aké bezpečnostné riešenia prichádzajú do úvahy, aké obmedzenia z nich vyplývajú na spracovávanie údajov. Je možné, že uspokojivé riešenie nenájdeme, pretože sa do konfliktu dostanú základné požiadavky – dostupnosť (jednoduchosť a rýchlosť spracovania) a bezpečnosť. Predpokladajme, že máme bankové údaje v elektronickej (nie papierovej) forme. Údaje, ktoré sa až tak často nepoužívajú, a v prípade potreby môže prístup k nim chvíľu trvať, sa dajú chrániť napríklad umiestnením na systémoch, ktoré budú fyzicky oddelené od internetu a zdrojov potenciálneho ohrozenia. Ďalšiu vrstvu ich ochrany by mohlo tvoriť šifrovanie na zaistenie dôvernosti týchto údajov a použitie digitálnych odtlačkov na zaistenie integrity, resp. digitálnych podpisov na zaistenie autentickosti údajov. To sú však údaje, ktoré sú vo vlastných systémoch banky, ku ktorým nemajú prístup ľudia zvonku a zamestnanci banky len obmedzený prístup. Ak však požadujeme, aby boli údaje prístupné aj na diaľku (pobočky banky alebo dokonca priamo klienti), relevantných hrozieb voči bankovým údajom bude podstatne viac. Ak odhliadneme od prírodných vplyvov a technických porúch, tak údaje možno ohroziť počas prenosu (napr.) medzi bankou a klientom, pri spracovaní v bankovom systéme, v klientovom systéme. Dôvernosť, integritu a autentickosť prenášaných informácií vieme zaistiť pomocou kryptografických prostriedkov – šifrovanie, digitálne odtlačky a digitálne podpisy, pečate, časové pečiatky.
Systém banky a ešte aj komunikačný kanál vieme ako-tak ošetriť. Slabým miestom je však systém klienta; vieme zaručiť, že počítač, alebo mobil nie je infiltrovaný nejakým škodlivým kódom, ktorý odchytáva zadávanie tajných údajov, prípadne umožňuje modifikovať platobný príkaz? To sa dá s vysokou pravdepodobnosťou zaistiť, ale za cenu drahšieho zariadenia na strane klienta a obmedzenia klientovho pohodlia. Nemôžete mať bezpečný systém bez toho, aby ste pre to niečo spravili.
Absolútne bezpečné riešenia zatiaľ nepoznáme, ale existujú dobré riešenia, ktoré sú rozumným kompromisom medzi úrovňou bezpečnosti, cenou a náročnosťou obsluhy. Osobne preferujem riešenia založené na kryptografických bezpečnostných funkciách, elektronickom podpise vytváranom pomocou špeciálneho hardvérového zariadenia. Ale pre bežné účely stačia aj jednorazové heslá, časový limit na transakciu a šifrová ochrana prenášaných údajov, za predpokladu, že klientov systém neobsahuje malígny kód.
Aký je podľa vás celkovo stav na Slovensku, čo sa týka počítačovej bezpečnosti?
Na rozdiel od nedávnej minulosti Slovensko dnes už vníma informačnú bezpečnosť, ako nevyhnutnú podmienku existencie informačnej spoločnosti, ale zatiaľ nevytvorilo na dosiahnutie potrebnej úrovne informačnej bezpečnosti nutné podmienky. Máme Národnú stratégiu informačnej bezpečnosti z roku 2008 a skúsenosti z jej realizácie, Koncepciu kybernetickej bezpečnosti (2015), Akčný plán ku Koncepcii kybernetickej bezpečnosti, paragrafové znenie ešte na MF SR pripraveného zákona o informačnej bezpečnosti, zákony o ochrane utajovaných skutočností, ochrane osobných údajov, kritickej infraštruktúre, dôveryhodných službách, e-Governmente, informačných systémoch verejnej správy a iné. Eset sa vypracoval na jedného zo svetových lídrov v ochrane pred malvérom, IT firmy zaradili informačnú bezpečnosť do svojho základného portfólia.
Na UK a STU sa roky prednáša informačná bezpečnosť, organizujú odborné a vedecké podujatia, od roku 1997 sa na UK, neskôr na STU organizujú skúšky CISA, CISM a CGEIT, ktorých úspešní absolventi vytvorili profesijnú organizáciu ISACA Chapter Slovakia. Informačná bezpečnosť sa stala jednou zo štyroch podtém témy Informačné a komunikačné technológie RIS32. Slovensku však chýba lex generalis o informačnej bezpečnosti, ale najmä inštitúcia, s dostatočnými kompetenciami a odborne kvalifikovanými ľuďmi, ktorá by zjednocovala čiastkové aktivity, zabezpečovala ich financovanie a koordinovala spoluprácu štátnych orgánov so súkromnou a akademickou sférou.
Ako je na tom celkovo svet? Ktoré krajiny sú bezpečné, ktoré menej?
Globálne hodnotenie prenechám radšej iným. OECD sa analýzam informačnej bezpečnosti vo svete venuje pravidelne a výsledky sa dajú nájsť na stránke oe.cd.
Čo by sa podľa vás malo urobiť, aby sa zvýšila počítačová bezpečnosť u nás?
Informačná bezpečnosť pre Slovensko nie je iná ako informačná bezpečnosť pre Čínu, Spojené štáty alebo Nemecko; každý štát potrebuje riešiť zhruba rovnaké úlohy. Prvou z nich je budovanie a rozvíjanie know-how. Mnoho riešení sa dá prebrať zo zahraničia, kúpiť a zaviesť u nás. Ale aby fungovali, je potrebné im rozumieť, aby človek vedel, čo si vybrať a dokázal vybraté riešenie prispôsobiť domácim pomerom. Potrebujeme cca 200 – 300 kvalifikovaných ľudí, ktorí by vedecky a odborne pracovali v informačnej bezpečnosti, rozvíjali vo vybraných oblastiach informačnej bezpečnosti (IB) aj základný aj aplikačný výskum a sledovali vývoj v ostatných oblastiach IB. Títo by mali riešiť bezpečnostné problémy koncepčného charakteru, spolupracovať s partnermi v zahraničí, ale aj na kľúčových domácich projektoch.
Vzorom fungujúceho centrálneho pracoviska tohto typu je nemecký BSI a americký NIST, resp. jeho Divízia počítačovej bezpečnosti. Potom potrebujeme niekoľko pracovísk, ktoré budú riešiť akútne bezpečnostné problémy – hasičské stanice pre hasenie požiarov v kybernetickom priestore. Pár takýchto už na Slovensku máme, sú to útvary pre riešenie počítačových incidentov – CSIRT. Potrebujeme vyšetrovateľov schopných vyšetrovať počítačovú kriminalitu a právnikov (sudcov, prokurátorov, advokátov), ktorí budú schopní viesť súdne procesy s páchateľmi počítačových zločinov a dosiahnuť ich potrestanie. Na úrovni organizácií potrebujeme manažérov informačnej bezpečnosti, technikov rozumejúcich informačnej bezpečnosti a aj na tej najnižšej, používateľskej úrovni potrebujeme, aby ľudia vedeli čo môžu, na čo si majú pri práci s počítačmi a IKT dať pozor a čo robiť v prípade, keď zbadajú, že došlo k nejakému bezpečnostnému útoku. Tomu potrebujeme dať právny rámec – upraviť kompetencie štátnych orgánov, definovať povinnosti štátnych aj súkromných organizácii v informačnej bezpečnosti. Hlavne však treba začať, dať dokopy tých pár odborníkov na informačnú bezpečnosť, ktorí na Slovensku sú, stanoviť zmysluplné priority, vytvoriť im podmienky pre prácu a začať pracovať najmä na zvýšení odborných kapacít, širokého bezpečnostného povedomia, legislatívy a štandardov.
Doc. RNDr. Daniel Olejár PhD. je informatik a univerzitný pedagóg pôsobiaci na Katedre informatiky Fakulty matematiky, fyziky a informatiky Univerzity Komenského v Bratislave, Oddelenie kryptológie a informačnej bezpečnosti. Vo funkcii profesora pôsobí od roku 2003. Je garantom študijného programu informatika. Štyri funkčné obdobia bol a v súčasnosti je vedúcim Katedry informatiky FMFI UK. Odborne pracoval v oblasti diskrétnej matematiky a teórie náhodných grafov, začiatkom deväťdesiatych rokov prešiel do oblasti kryptológie a informačnej bezpečnosti. Podieľal sa na návrhu šifrovacieho algoritmu pre Ministerstvo vnútra SR, návrhu klíringového systému Národnej banky Slovenska, koordinoval prípravu poslaneckého návrhu zákona o elektronickom podpise a podieľal sa na príprave ďalších zákonov, vykonávacích predpisov a štátnych koncepcií (Informatizácia spoločnosti, Národná stratégia informačnej bezpečnosti v SR, Návrhu systému vzdelávania v informačnej bezpečnosti, Zákona o informačnej bezpečnosti, Štandardov pre ISVS a i.) Bol tiež predsedom subkomisie SÚTN pre informačnú bezpečnosť, dlhoročným členom výboru Slovenskej informatickej spoločnosti; 12 rokov pôsobil ako hlavný skúšajúci pre organizáciu ISACA. Bol členom AS MFF, resp. FMFI UK, jedno funkčné obdobie bol členom a druhé podpredsedom AS UK. Od februára 2015 je prorektorom UK.
1 Už sa nedá hovoriť len o počítačoch, počtom ich prevyšujú výkonné mobilné telefóny s prístupom na internet a rýchle sa rozširuje počet inteligentných zariadení, ktoré majú zabudované čipy a pridelenú IP adresu.
2 Research and Innovation Strategies for Smart Specialisation
Zdroj: uniba.sk
Rozhovor pripravila: Slávka Habrmanová, NCP VaT pri CVTI SR
Foto: uniba.sk; Pixabay.com (ilustračné foto)
Uverejnil: MZ