Nihče ni varen pred kibernetskimi napadi

Kaj prinašajo puške, bombe in tanki, si znamo predstavljati, a kaj lahko povzroči kibernetski napad z računalniki in internetom, marsikomu ni povsem jasno. Urad Vlade RS za varovanje tajnih podatkov ima od letošnjega februarja novega vršilca dolžnosti direktorja, pri tem pa ni zanemarljiv podatek, da je Dobran Božič po poklicu vojak s činom generalmajorja.

Dobran Božič je bil do leta 2014 načelnik generalštaba Slovenske vojske, pred tem pa je bil poveljnik 1. brigade in 15. slovenskega kontingenta v Afganistanu. Njegova največja želja je, da bi v Sloveniji postavili učinkovit kibernetski ekosistem, vanj pa bi bili vključeni tako državljani kot tudi podjetja in državne organizacije.

Še vedno ste med tistimi, ki varujejo Slovenijo, vendar brez uniforme in orožja. Kakšne so vsebinske posebnosti varovanja tajnih podatkov?

Če pogledamo, kam gre naš svet, je razumljivo, da moramo varovati tudi naše informacijsko okolje. Principi so podobni varovanju drugih nacionalnovarnostnih sistemov. Tako kot poznamo vodo, kopno, zrak in vesolje, lahko zraven uvrščamo tudi kibernetsko okolje. Sicer gre za imaginaren svet in ga ne moremo prijeti, vendar so principi organizacije varovanja enaki kot na drugih področjih.

Vse razvite države prepoznavajo kibernetiko kot bojno polje prihodnosti. Ne vem, ali bomo imeli v prihodnosti vojno z orožjem, upam, da nikoli več, toda prepričan sem o vedno večji prisotnosti kibernetskih spopadov, in to tako s kriminalnimi združbami kot tudi med državami. Že zdaj poznamo kibernetska vpletanja v volitve drugih držav. Ne nazadnje se je s kibernetskim orožjem v še večjih razsežnostih vrnilo tudi vohunjenje. Včasih so gledali kuverte z ogledalci, danes vse to poteka v elektronski obliki. Veliko obveščevalnih služb v svetu tako izkorišča kibernetski prostor za pridobivanje informacij za varovanje nacionalnih interesov.

Potem ne skrbite le za obrambo, ampak tudi napad?

Vse več članic Nata aktivno gradi zmogljivosti, da bodo ob morebitnem napadu znale odgovoriti s protinapadom, čeprav je res, da napad nikakor ni naše osnovno poslanstvo. Pred tem je imelo sposobnost napada le nekaj držav na svetu – ZDA, Kitajska, Iran, Severna Koreja, Izrael … Že Carl von Clausewitz je rekel, da je vojna nadaljevanje politike, danes pa lahko politika izkoristi tudi kibernetsko okolje za nadaljevanje vojne z omejenimi cilji, pri čemer je napad vedno najboljša obramba. V prihodnje bo svet šel še bolj v razvoj napadalnih zmogljivosti.

Kako vse to deluje v praksi?

Resnica je, da do tega trenutka nismo postavili še ničesar dokončnega. Delujemo načrtno, strokovno in zakonito. Vlada je določila Urad Vlade RS za varovanje tajnih podatkov, da prevzame vlogo koordinatorja kibernetske obrambe, vendar za delovanje potrebujemo zakon o informacijski varnosti, ki je prav zdaj v zaključni fazi in se navezuje na direktivo NIS (Directive on Security of Network and Information Systems). To je evropska direktiva, ki določa strukturo kibernetskega prostora, zakon o informacijski varnosti pa je podlaga za prestrukturiranje Urada Vlade RS za varovanje tajnih podatkov v novo vladno službo, ki bo poleg dosedanje skrbi za javne podatke pristojna tudi za informacijsko varnost in kibernetsko obrambo.

Do kdaj se morate uskladiti z direktivo NIS?

Direktivo je treba vključiti v naše predpise do 9. maja prihodnje leto. Smo na dobri poti, da bo zakon o informacijski varnosti sprejet do konca leta ali najkasneje v začetku prihodnjega. Nato bomo začeli postopno graditi zmogljivosti do leta 2022. Naš cilj je postavitev celovitega informacijskega ekosistema, saj za vse skupaj ne more biti odgovorna zgolj ena agencija ali urad. Vsi prebivalci moramo biti ozaveščeni, kaj lahko počnemo na internetu, in se zavedati številnih nevarnosti. V isti sistem morajo biti vključeni posamezniki, podjetja in izobraževalne inštitucije. Doseči je treba sodelovanje in dograjevanje vseh naštetih deležnikov.

Če Slovenija ne sprejme evropske direktive, bo denarno kaznovana z nekaj tisoč evri?

Vsi se zavedamo, da je implementacija evropske direktive v naš pravni red neizogibna, a velja poudariti, da tega ne počnemo zgolj z namenom ugajanja Evropski uniji, ampak zaradi varnosti slovenskih državljanov. Dejstvo je, da po sprejetju direktive ne bomo varni kar čez noč. V Angliji imajo zelo dobro kibernetsko varnost, a so kljub temu doživeli napad virusa, ki je povzročil škodo v zdravstvenem sistemu. Prav zaradi takšnih dogodkov se moramo zavedati, kako velike posledice lahko pusti kibernetski napad, in se vprašati, ali je kdo v Angliji zato ostal brez ustrezne zdravstvene oskrbe in koliko življenj je bilo zato ogroženih.

Kakšne so najhujše posledice kibernetskega napada?

Imamo dve skrajnosti: na eni je ohromitev normalnega življenja, kot je na primer prenehanje delovanja bankomatov, na drugi pa imamo lahko pravo vojno, ki zraven prinaša tudi kibernetski spopad. Ustavijo se promet, finančni pretok, gospodarstvo, zdravstvo … Ne bi bilo elektrike, vode, bančnih storitev … Videli smo že, kaj se je dogajalo v Estoniji in Ukrajini, ko so jim že z zelo omejenim napadom zaprli dostavo energije.

Potem je kibernetski napad predvsem napad na civilno prebivalstvo?

Civilisti so ogroženi od prvega trenutka naprej, zato nekateri menijo, da gre za kršitev mednarodnega prava in kaznivo dejanje. Toda kako to dokazati? Doslej nismo še nikomur. Kibernetski napad je zelo enostavno prekriti. V kodah so namreč lahko drugačne besede, napadi so sproženi z drugih lokacij … Obstaja zgolj sum. Obenem se moramo zavedati, da je v vojnah dovoljeno marsikaj, saj veljajo povsem drugačne dimenzije človeškega razuma.

Potem bomo imeli vojno, a sploh ne bomo vedeli, kdo je napadalec?

Načeloma ja. V Estoniji in Ukrajini so obstajali samo veliki sumi o tem, kdo je bil napadalec, toda pravega dokaza ni bilo. Če na primer danes nekdo kibernetsko napade jedrsko elektrarno Krško, bi verjetno zelo težko našli storilca. V starih časih bi denimo ujeli zločinca, ki je podstavljal eksploziv, in bi identificirali njegovo pripadnost.

Kako dobro je Slovenija pripravljena na takšne napade?

Predolgo smo živeli v prepričanju, da vojne v Evropi niso več mogoče, da vse cveti in vlada mir. Toda življenje ni takšno. Pomislite raje, kaj se je sploh spremenilo v vsej človeški zgodovini, predvsem v medčloveških odnosih? V resnici nič kaj veliko. Vseskozi imamo vojne, mrtve, migrante, zidove in žice. Vse to poznamo že več tisoč let, zakaj bi torej pričakovali, da bo danes drugače?

Kljub temu moramo upati na najboljše in skrbeti za varnost države in njenih državljanov. Kibernetska moč vsake države se meri s tremi dejavniki – kako je država zmožna izvajati kibernetsko obrambo, kako je zmožna izvajati kibernetski napad in kakšna je odvisnost države od informacijskega sistema. Severna Koreja ima, denimo, srednje razvite zmogljivosti za kibernetski napad, toda to je država, ki je precej neodvisna od kibernetskih storitev, zato nasprotniki z napadom ne bi preveč ohromili vsakodnevnega življenja severnokorejskega prebivalstva. Združene države Amerike imajo vsaj v teoriji ranljivejšo obrambo zaradi odprtega in dostopnega interneta. Na Kitajskem pa je poostren nadzor, kaj v sistem prihaja in odhaja.

Slovenija ima dobro razvit informacijski sistem, zato je tudi precej odvisna od kibernetskega delovanja in posledično ranljivejša. V državi se prepleta veliko novih in starih tehnologij, zato moramo biti pozorni na najšibkejši člen. Videli smo zadnji napad z virusi na zastarele windows XP, v Sloveniji pa je še precej industrije in inštitucij s tem sistemom. To so naše ranljive točke in ravno zato moramo poskrbeti za celoten kibernetski ekosistem.

Kaj ste že postorili pri kibernetskem ekosistemu?

Če imamo danes denar, voljo in odločitev, potem traja približno sedem let za ustrezen razvoj. Ne gre samo za naš urad, ampak moramo od osnovne šole naprej vpeljati ustrezno informacijsko izobraževanje. K zaščiti in razvoju sistema moramo privabiti tudi zasebna podjetja, inovatorje in strokovnjake.

Koliko denarja zahteva takšen projekt?

Za delovanje sistema potrebujemo predvsem idejo in željo po medsebojnem sodelovanju. Strošek bi predstavljale nove zaposlitve, kar je glede na posebnost področja neizogibno, in postavitev laboratorija za analize in razvoj, vse ostalo pa bi bilo zgolj združevanje različnih institucij. Ne gre za nakup drage tehnologije, glavni namen je privabiti mlade in izkušene v isti sistem, sočasno pa je treba ozavestiti širšo javnost. Resda je tehnologija pomembna, vendar še zdaleč ne predstavlja tako žgočega problema kot kadri in njihovo povezovanje. Mlade je treba prepričati, da je kibernetika velika tržna niša. Potreba po tovrstnih poklicih se iz leta v leto povečuje za zgovornih trideset odstotkov. Potrebujemo strokovnjake, ampak ne samo informatike, temveč tudi na drugih področjih. Dobrodošli so ljudje z različnimi znanji, a že zdaj razpolagamo s precejšnjim številom strokovnjakov v malih podjetjih, na Institutu Jožefa Stefana in na univerzah, ki bi jih bilo treba vključiti v kibernetski ekosistem in tako doseči učinkovito obrambo.

Toda kako o kibernetski varnosti ozavestiti vse državljane, čeprav imamo vse starejšo družbo?

Ideja je, da bi v lokalnih delavnicah združili mlade in stare. Delavnice bi lahko imeli v knjižnicah ali gasilskih domovih. Starejše bi izobraževali, mlajši pa bi lahko imeli tudi računalniška tekmovanja. A tega ne more početi vladna inštitucija, ampak kakšno podjetje ali izobraževalna ustanova.

Izrael že precej dolgo časa združuje državno kibernetsko delovanje z izobraževalnem sistemom.

Nekatere države načrtno vlagajo v izobraževanje prebivalstva in razvoj kadrov. Verjetno je Izrael na tem področju celo vodilna država, toda za uspešno delovanje kibernetske obrambe potrebujete ljudi, denar in predanost države, da zgradi takšen sistem. Povsem mogoče je, da smo pri kibernetski varnosti nekje okoli dvajsetega mesta na svetu, medtem ko je povsem nemogoče, da bi postali dvajseta vojaška sila sveta po številu letal, letalonosilk, tankov in ostalega orožja.

Kibernetske strokovnjake išče tudi nasprotna, kriminalna stran, ki ima morda celo več denarja.

Vedno bo tako, a kljub vsemu obstaja veliko navdušencev, ki želijo srčno in patriotsko služiti domovini. Prepričan sem, da ima večina mladih ugovor vesti, zato niso pripravljeni prestopiti na kriminalno stran. Obstajajo tudi mladi, ki vidijo potrebo po varovanju Slovenije na kibernetskem področju in so pripravljeni delati celo prostovoljno.

Obstajajo tudi ljudje, ki so v preteklosti že odkrili napake v informacijskih sistemih, a se potem ni nič popravilo, ali pa so bili celo kazensko preganjani.

Velik problem je, ko nekdo najde napako v sistemu, a ta sistem sploh ni odziven, kar se ne bi smelo dogajati. Zakonodaja pravi: »Če nekdo nezakonito vstopi v računalniški sistem, je vlomilec.« Če ponazorim s primerom: hodimo po ulici in odpiramo vsa vrata, da preverjamo, ali so odklenjena ali ne. Toda če odkrijemo odprta vrata in dobronamerno pozvonimo, da posvarimo lastnika, je to prav ali narobe? Nekdo bo morda vzel še copat, da dokaže, kako nekdo ni ustrezno varoval svoje hiše, vendar je v tem primeru marsikdo že prepričan, da je to kraja in bi moral samo od daleč posvariti lastnika, da so vrata odprta. Ravno pri teh podrobnostih se lovimo, kazensko področje pa moramo pripeljati na takšno raven, da dobronamerno vdiranje ne bo kriminalizirano. Nikakor tudi ne moremo dovoliti, da je vdiranje v sistem kar zakonito. Morda je trenutna rešitev, da se napake v informacijskih sistemih sporoči prek anonimnega telefona, toda vse mora imeti zakonsko podlago.

Koliko napadov beležijo slovenski informacijski sistemi?

Čeprav je napadov veliko, za njih ne vemo, saj jih podjetja ne sporočajo v javnost. Določena podjetja so imela več deset tisoč napadov, kakšna so bila tudi popolnoma onemogočena pri opravljanju svoje dejavnosti, toda teh podatkov niso posredovala v javnost. Spomnimo se samo ohromitve delovanja v novomeškem Revozu, nekaterim podjetjem so z napadi ukradli celo denar. Celoten sistem je podhranjen, da bi lahko beležili tekoče stanje na kibernetskem področju.

Toda obstaja še en velik problem. Težko namreč vemo, kaj je bilo v naš sistem nastavljeno na samem začetku njegovega delovanja. Tehnologija je lahko takšna, da je neki virus že prisoten, vendar ga noben sistem ne zazna in trenutno deluje povsem normalno, nato pa se sproži njegov uničujoči učinek. Prav zato nihče ne more z gotovostjo trditi, da je varen pred kibernetskimi napadi.

Koliko se bo s povečano varnostjo povečal tudi nadzor nad državljani?

Nova ureditev ne bo imela nobenih pooblastil za nadzor posameznikov in družbe. Vsi se bojimo, da bo ogrožena naša zasebnost, a gre za diametralno nasprotje – koliko zasebnosti hočemo za določeno varnost? Skrbi nas, kako nas bodo nadzorovale državne službe, a nobenega ne zanima, kaj vse o nas na internetu zbirajo multinacionalke. Če zdajle v Google vtipkam, da želim kupiti kosmiče, bom takoj začel prejemati reklame o kosmičih. Vse, kar smo kdaj pobrskali na internetu, je nekje spravljeno in shranjeno. In tega ne delajo države, ampak zasebna podjetja, pa nas to prav nič ne moti.

In kaj če državljani zahtevamo od države, da nas varuje pred zasebnimi podjetji?

Vprašanje je, kakšno moč ima država proti velikim korporacijam. Podrobnosti ne poznam, toda če bi na primer Googlu prepovedali zbiranje naših podatkov, lahko Google izključi svoje delovanje v Sloveniji. Vsi si želimo imeti čim več tehnoloških naprav, ki nam olajšajo življenje, toda potem sočasno ne moremo ostati v votlini in neopaženi. Če želimo pogledati, kje je najbližje prosto parkirno mesto ali odprta trgovina, morajo naše naprave zbirati podatke o tem, kje smo. Težko pričakujemo tovrstne usluge, ne da bi nekdo zbiral podatke in jih vključeval v celoto. In še eno dejstvo – v zadnjih dveh letih smo shranili več podatkov kot pred tem v celotni človeški zgodovini. Moderne znanosti ni brez zbiranja in shranjevanja podatkov, a spet drugi pravijo, da gremo zaradi razvoja umetne inteligence proti koncu človeštva.

Kakšno moč imajo Google in druge korporacije, če pride do kibernetskih vojn?

Vsem tem podjetjem moramo zaupati, drugače bomo težko živeli. Verjamem, da glavni odločevalci skrbijo za boljši svet. Z ustreznimi državnimi nadzornimi funkcijami moramo poskrbeti, da korporacije ne presežejo zakonskih in ustavnih omejitev. Druga rešitev je, da se od vsega odmaknemo in gremo živet v gozd brez vseh naprav.

Kje je v tej zgodbi tretji svet?

V primeru kibernetske vojne bo marsikdo imel srečo, saj bo živel enako kot prej, toda od kibernetike so odvisne tudi številne afriške in azijske države, četudi to ne velja za civilno prebivalstvo. Svet gre tako naprej, da bodo razviti še bolj razviti, nerazviti pa še manj razviti. Nesorazmerje med bogatimi in revnimi bo vedno večje, toda podporniki umetne inteligence pravijo, da bomo nekoč vsi živeli bolje. Roboti bodo opravljali nevarno in naporno delo, imeli bi lahko univerzalni temelji dohodek, kar bi predstavljalo nekakšen digitalni komunizem. In to obdobje bi lahko bilo eno najlepših v zgodovini človeštva, čeprav obstaja bojazen, kaj bo, če bodo roboti z umetno inteligenco prišli v našo nadvlado. Zanimiva je izjava Elona Muska, da bi morali sprejeti meddržavno in vsesplošno pogodbo, da države ne bodo ustvarjale ali kupovale robotov ubijalcev, kajti z njimi bo zelo lahko iti v vojno.

Saj imamo že zdaj jedrsko orožje, pa ni dogovora, da jih ne smemo metati, čeprav je le nekaj bomb dovolj, da se uniči ves svet. Zakaj bi bilo z roboti kaj drugače?

Mnogi zahtevajo, da bi morali poleg jedrskega orožja prepovedati tudi kibernetske napade. Nekateri so celo prepričani, da lahko s kibernetskim delovanjem prideš do jedrskega orožja. Ob tem se lahko spomnimo hladne vojne, ki je šla mimo nas brez tretje svetovne vojne, a predvsem zato, ker so države vedele, da imajo tudi nasprotniki jedrske bombe. Če bi jih uporabil eden, bi jih tudi drugi, zato ne bi bilo nikogar več. Prevladala je zdrava pamet in jedrskega orožja niso uporabili.

Pa imamo danes takšne voditelje, pri katerih bo prevladala zdrava pamet?

Mislim, da jih imamo. Politična retorika je podobna skozi celotno zgodovino, toda danes je več novinarjev, medijev, socialnih omrežij … Vsaka misel ali izjava takoj zaokroži med vsemi ljudmi po svetu, politike pa spremljamo 24 ur na dan. Količina dogodkov je zaradi kibernetske podpore toliko večja, zato poznamo vse politične izjave. Tudi politične krize so vedno bile, le da se danes vse zelo hitro spreminja.

Toda pri večji hitrosti je precej večja nevarnost, da zletiš s ceste.

Zagotovo, saj ne vemo povsem, kako iz celotne količine podatkov izbrati najbolj pomembne in uporabne informacije. Glede na ogromno količino podatkov je stanje težko obvladljivo, a prav zato moramo vsi skupaj spoznati, kako pomembno je kibernetsko področje, se z njim ukvarjati in vanj vlagati. Poskrbeti moramo, da bo Slovenija nadzorovala kibernetski prostor, in ne obratno, že nekaj časa pa je jasno, da je kibernetika eden najdonosnejših svetovnih poslov.