Ljubljana – Če Slovenijo jutri doleti velik hekerski napad, pozabite na bankomate, elektronska plačila, daljinsko ogrevanje, delujoče električno omrežje, opozarja general Dobran Božič, direktor državnega urada za varovanje tajnih podatkov. Medtem ko se svet pospešeno pripravlja na kibernetično (ne)varnost, v Sloveniji boj proti vdorom zavira pomanjkljiva zakonodaja.
In lahko se zgodi, da je zaradi odstopa vlade še nekaj časa ne bomo dobili. Škoda pri tem je dvojna – izpostavljeni smo novim napadom in manj privlačni za tuje naložbe.
»Novinarji ne boste mogli opravljati dela, kar morda ni tako slabo. Zvečer z ženo ne bosta mogla gledati televizije, kar tudi morda ni slabo,« v šaljivem tonu pove Božič, a precej resneje doda: »Zeblo vas bo, morda boste lačni, ker si ne boste mogli skuhati ali ne bodo mogli dobaviti živil v trgovino. To pa je slabo.«
Nemočni pred hekerji?
Čeprav se zdi opisani scenarij za zdaj malo verjeten, se število kibernetičnih napadov pri nas povečuje; v osmih letih za skoraj sedemkrat, na 2300, kažejo podatki nacionalnega centra za odzivanje na omrežne incidente SI-CERT. A tu gre samo za prijavljene vdore, vseh je verjetno bistveno več. In razmere se bodo še zaostrovale. V digitalnem svetu je o vsem in vsakomer na voljo čedalje več podatkov, ki se bodo prek pametnih naprav kopičili v računalniške oblake. S tem se povečuje nevarnost za zlorabe.
Čeprav je Božič prepričan, da je internetni prostor v Sloveniji podobno ranljiv kot kjerkoli v EU, je dejstvo, da zakonodaja ne sledi hitro spreminjajoči se internetni in podatkovni krajini. »Slovenija je zamudila precej že zato, ker dolgo ni dovolj vlagala v strokovne kadre,« pravi Gorazd Božič, vodja SI-CERT, ki na podhranjenost sistema za kibernetično obrambo opozarja že leta: »Lani smo bili skoraj na tem, da sistem razpade. Vlada zdaj zamuja tudi s krovnim sistemskim zakonom o informacijski varnosti – ta je v parlamentarni proceduri, na poslancih pa je, da ga sprejmejo na svoji zadnji aprilski seji.«
Kibernetična varnost brez zakonske podlage
Odlašanje s sprejemanjem nujne zakonodaje je večkrat videna zgodba, ki se spet ponavlja. »Zakon o informacijski varnosti vsekakor potrebujemo, pa ne zato, ker to od nas zahteva EU, temveč zaradi nas in zagotavljanja nacionalne varnosti,« opozarja dr. Denis Čaleta z Inštituta za korporativne varnostne študije (ICS) in dodaja: »Bojim se, da bo v predvolilnem času zakon obstal v proceduri in da bo treba počakati novo vlado in sestavo državnega zbora.«
»Zavedanje o kibernetični (ne)varnosti se počasi, a vztrajno povečuje,« pravi Čaleta, ki pa meni, da je pred Slovenijo še dolga pot, preden bo stanje na zadovoljivi ravni.
Veliko o tem povedo tudi besede Dobrana Božiča, da ni mogoče oceniti, koliko država vlaga v kibernetično varnost, saj so dejavnosti preveč razdrobljene po resorjih in uradih: »Kljub temu lahko mirno rečemo, da država ne sledi hitrosti, s katero se ekonomija seli na splet.«
Luknje krpajo z evropskim denarjem. »Predvidevamo, da bomo v dveh letih porabili 600.000 evrov, četrtino, 150.000 evrov, pa naj bi v proračunih za 2019 in 2020 prispeval direktorat za informacijsko družbo na ministrstvu za javno, kjer so naša prizadevanja podprli,« pojasni Gorazd Božič, ki meni, da je skrb za varnost ključna tudi z gospodarskega vidika: »Veliko poslušamo, da bo Slovenija izkoristila potencial digitalizacije – če to hočemo, moramo pritegniti tuje naložbe in zagotoviti varno okolje. Imeti moramo zadostne odzivne kapacitete za kibernetično obrambno, znanje, vlagati moramo v raziskave. Vprašanje pa je, ali za to namenjamo dovolj denarja.«
Ni modna muha, temveč realnost
Kibernetična nevarnost ni modna muha, ampak realnost. Z informacijami ne želijo obogateti le tehnološki velikani, temveč tudi nepridipravi za zmogljivimi programskimi kodami. Samo v zadnjem letu so hekerji z vdori pridobili podatke o več sto milijonih uporabnikov.
Nihče ni varen. Takšna bi vsaj lahko bila ugotovitev posameznika, ki je prebiral novice o lanskih kibernetičnih napadih. Hekerji so leta 2013 pridobili podatke o več kot treh milijardah (!) uporabniških računov pri spletnem velikanu Yahoo. Samo v enem lanskem napadu so nepridipravi podjetju Equifax, ki ocenjuje kreditno sposobnost podjetij in posameznikov, ukradli podatke o 145 milijonih strank. Zaradi izsiljevalskega virusa WannaCry, ki je okužil več kot 300.000 računalnikov, so obstale tovarne – tudi Revozova v Novem mestu. Med slovenskimi žrtvami v nekem drugem napadu je bilo podjetje NiceHash, ki je ostalo brez dobrih 4700 bitcoinov, na dan so prišle tudi informacije o vdoru v eno največjih zagonskih podjetij na svetu, Uber, iz podatkovnih baz katerega so bile leta 2016 ukradene informacije o 57 milijonih uporabnikov.
Uber, ki s pomočjo aplikacije na pametnem telefonu povezuje tiste, ki potrebujejo prevoz, s tistimi, ki ga ponujajo, je poskušal vdor prikriti. Pred dnevi je prišlo na dan še, da si je nekaj podobnega privoščil tudi Facebook. Odgovorni naj bi namreč že leta 2015 vedeli, da je podjetje Cambridge Analytica, ki je sodelovalo z ameriškim predsednikom Donaldom Trumpom, leta 2014 prečesalo podatke v profilih okoli 50 milijonov uporabnikov facebooka.
»Facebook smo izkoristili za pridobivanje podatkov o profilih ljudi in izdelali modele, s katerimi smo izkoriščali, kar vemo o posameznikih, za nagovarjanje njihovih notranjih demonov,« je bistvo poslovnega modela izpovedal žvižgač Christopher Wylie.
So žrtve in so tisti,
Časi se spreminjajo. Če so bili nekoč podatki shranjeni v papirni obliki, mogočnih arhivih, za debelimi jeklenimi vrati, so danes v računalniških oblakih, za zidovi iz računalniških kod, ki jih občasno obidejo hekerji. Zdi se, da noben podatek ni več varen. Kibernetični napadi povzročajo po ocenah Cybersecurity Ventures že več kot 3000 milijard dolarjev škode na leto. Ta znesek naj bi do leta 2021 narastel že na 6000 milijard dolarjev – vsota je enormna, saj predstavlja 120-kratnik slovenskega BDP.
Slovenija je pikica na svetovnem podatkovnem zemljevidu. Smo zato kaj bolj varni oziroma manj zanimivi za hekerje? »Majhnost v globalnem informacijskem svetu ni nikakršna prednost v smislu, da bi bili zaradi tega manj ogroženi,« poudarja dr. Denis Čaleta z Inštituta za korporativne varnostne študije (ICS). Čeprav Slovenija še vedno ni članica Evropske organizacije za kibernetično varnost (ECSO), je vključena v nekaj združenj in je s tem del mednarodnega varnostnega okolja ter posledično soodgovorna tudi za varnost zunaj svojih meja.
Kako varni so slovenski podatki
»Napadov manjšega obsega smo se zmožni ubraniti, hekerskim, kot sta jih doživeli Estonija in Ukrajina, pa bi bil kdorkoli težko kos,« pravi general Dobran Božič, direktor državnega urada za varovanje tajnih podatkov, in dodaja, da očitno ni dobro priti na pot Rusom, saj so njihovi strokovnjaki na tem področju vodilni na svetu. Mnogi med njimi niti ne delajo za Kremelj. Gre za tako imenovane patriotske hekerje, ki se jim po Božičevih besedah zazdi, da se njihovi državi godi krivica, in se nato sami po svojih močeh spravijo na tistega, o katerem menijo, da je vir krivice.«
Ali ima Slovenija patriotske hekerje? Božič trdi, da jih imamo in da so zelo usposobljeni, po njegovem so naši strokovnjaki za informacijsko varnost primerljivi z estonskimi.
»Iz prve roke vem, da je med našimi strokovnjaki veliko patriotov, ki ljubijo Slovenijo in bi bili v primeru tveganja pripravljeni priskočiti na pomoč svoji državi. Se pa bojim, da je zaradi vseh varnostnih tveganj čas, ko smo informacijske sisteme lahko povsem prepustili v roke informatikov, minil. Za varnost države bi bilo koristno, da bi vse te entitete združili v eno na ravni države, da bi se lahko obvarovali pred tveganjem obsežnejšega hekerskega napada,« še pove Božič.
Pred Slovenijo je torej naloga, da se na področju kibernetične varnosti organizacijsko postavi na noge in okrepi vlaganja. Čeprav tega v slovenski vladi morda še niso prepoznali, so trendi v svetu jasni. Družba Gartner, denimo, ocenjuje, da se bodo vlaganja v kibernetično varnost letos povečala na 93 milijard dolarjev. Toda vsaj za zdaj se zdi, da bodo hekerji, podobno kot športniki na dopingu, ostali korak pred oblastmi.