kriminaliteta pa se nezadržno širi in po neuradnih podatkih odnaša več denarja kot trgovina z mamili.

Kako se zavarovati – so predstavili na že 14. mednarodni konferenci Infosek v Novi Gorici, ki se je udeležuje 500 mednarodnih strokovnjakov s področja informacijskega tveganja, med njimi tudi "etični hekerji".

Dejstvo je - kibernetski kriminal z majhnim tveganjem omogoča velike zaslužke ... Za milijon evrov ni več treba oropati banke, ampak je dovolj, da milijonu neprevidnih spletnih uporabnikov neopazno ukradete evro ali dva. Wojciech Golobiowski, strokovnjak za informacijska tveganja iz Poljske, opozarja: "Zavedati se moramo, da stoodstotne varnosti ni! Vsaka nova tehnologija prinaša nova tveganja. Zavarovanja, tako imenovani »požarni zidovi«, so dragi. Napadalci pa imajo ob tem neomejene možnosti, imajo neomejen vir denarja. Zato za obrambo pred računalniškimi vdori, pred hekerji, ki so praviloma vedno korak pred nami, potrebujemo drago tehnologijo. Še enkrat pa poudarjam, da nikoli ne bomo stoodstotno varni pred kibernetskimi zlorabami."

Rekordni Infosek
Letošnjega Infoseka, ki je že 14. po vrsti, se udeležuje skoraj 500 kibernetskih strokovnjakov z vsega sveta. Aleksander Šinigoj, direktor družbe Palsit, ki organizira mednarodno konferenco Infosek, to rekordno številko razlaga: "Vedno več je različnih naprav, ki se povezujejo na internet, in s tem vedno več vdorov, ranljivosti in potencialnih lukenj. V podjetjih se vse bolj zavedajo, da morajo vlagati v informacijsko varnost in se izobraževati. Zato prihajajo na našo konferenco, da spoznavajo, kakšni so trenutni kibernetski trendi, kakšne vrste vdorov se dogajajo, kaj za varnost lahko naredijo sami in kaj — kot osebe, ki vodijo področje informacijske varnosti — lahko naredijo za podjetje. Zavedati pa se moramo, da je informacijska varnost področje, za katerega mora poskrbeti čisto vsak zaposleni v podjetju – tako za svoj računalnik, kot za to, kako se vede na internetu. Vedeti mora, kako lahka tarča je lahko …"

Primanjkuje kibernetskih strokovnjakov
V fundaciji Siceh, slovenski ustanovi za razvoj kibernetike, ob preteči nevarnosti vdorov in medmrežnih zlorab opozarjajo, da je strokovnjakov na področju kibernetske varnosti premalo. "Pri trenutnem razvoju in izobraževanju na področju kibernetske varnosti bomo potrebovali približno dvajset let, da zapolnimo kadrovsko praznino tega področja," je na uvodnem predavanju konference Infosek 2016 povedal Sergej Bižal iz fundacije Siceh. Razlog za slabo stanje na tem področju je po njegovih besedah pravnozakonodajni okvir, ki razvoja ne dopušča oziroma ga upočasnjuje. Tadej Nared, prav tako iz Fundacije Siceh, pritrjuje: "Mi smo trenutno v neki fazi med aktivno in pasivno obrambo, medtem ko vse druge države že dejavno razvijajo ofenzivne ekipe!"

Dodatni razlog je premalo finančnih sredstev, ki jih država namenja za razvoj področja kibernetske varnosti in za izobraževanje, ki po raziskavah zaostaja za razvojem na tem področju. Da bi obstoječe stanje stanje premaknili na boljšo raven, je po Bižalovih besedah potrebna sprememba zahtevane stopnje izobrazbe pri zaposlovanju kibernetskih strokovnjakov. Delodajalci namreč v večini primerov zahtevajo univerzitetno izobrazbo, univerze pa študentov večinoma ne usposobijo za delo na področju kibernetske varnosti. Tu gre za drugače pridobljena specialna znanja.

Pomoč "etičnih hekerjev"
Pomoč pri razkrivanju kibernetskega kriminala so tako imenovani "etični hekerji". Kdo pravzaprav je "etični heker"?! Najenostavneje povedano: etični heker uporablja iste metode, programe in tehnike kot klasični heker, le da to počne z vednostjo naročnika oziroma stranke, ki je naročila storitev za odkrivanje varnostnih lukenj v svojem sistemu. Etični heker ima zakonito podlago, medtem ko je klasični hekerji, t. i. "slabi fantje", nimajo. Naročnik tudi določi rok, v katerem mora biti storitev opravljena, kolikšen je obseg vdora, kaj je dovoljeno početi in kdaj lahko etični heker opravlja svoje delo in kdaj ga ne sme. Simulacije vdorov so različne. Najbolj tipičen je primer "črne škatle", kjer naročnik napadalcu ne poda nobene informacije, tako da mora etični heker sam odkrivati ranljive točke. Grega Prešeren, etični heker, ki sicer dela pri S & T Slovenija, o svojih "etičnih vdorih" - logično - ni bil najbolj zgovoren. Povedal je le: "Največkrat testiram spletne aplikacije — spletne banke, spletne trgovine, različni portale, kjer opravljate svoje naročniške storitve."

Naučimo se pravil!
Boštjan Špehonja, tudi etični heker iz podjetja Unistar, ki je specializirano za informacijsko varnost, opozarja, da moramo za osnovno kibernetsko varnost poskrbeti sami: "Tako kot se naučimo prometnih pravil za vožnjo po cestah, tako se moramo naučiti tudi pravil za krmiljenje po medmrežju." Če ne posodabljate programske opreme in če ne uporabljate protivirusnih programov, je to tako, kot če bi se odpravili na počitnice, v domači hiši pa pustili odprta vsa vrata in okna, je že nekdaj opozoril Andrej J. Pirnat. Zavedati se tudi morate, da če izpostavljate sebe kibernetskim tveganjem, zlahka sami postanete tarča. Toda ne končna tarča, katero bi heker zlorabil – pač pa ste zanj le vmesna etapa, le odskočna deska.

V vaš sistem vdiralec vdre le zato, da si odpira anonimno pot naprej. In ko ga policija razkrinka, pride po sledi do vas. In zlorabe ste krivi tudi vi. Krivi, ker ste dovolili oziroma omogočili vdor. Krivi, ker niste dovolj dobro zaščitili svojega računalnika! Varnostne ukrepe lahko razdelimo na tehnične rešitve, kot so protivirusni programi in požarni zidovi in na človeški dejavnik Prav na tega pa največkrat pozabimo. Zato – telefone zaklepajmo s šifro ali varnostnim vzorcem, poznamo že tudi zaklepanje s prstnim odtisom. Zaščitna gesla naj bodo kompleksna. Nikar ne uporabljajte rojstnih datumov, imen, vaših začetnic … Za uporabnike okolja Windows je priročen varnostni trik, da si na računalniku odvzamejo administratorske pravice, kadar jih ne potrebujejo. In predvsem — ne nalagajte aplikacij iz nepreverjenih ali sumljivih virov.

Malo obravnavane kibernetske kriminalitete
"Kibernetska varnost Slovenije je na nizki ravni, predvsem kar zadeva zakonodajno osnovo", opozarja Tadej Nared iz Fundacije Siceh. Igor Bernik s Fakultete za varnostne vede mariborske univerze se strinja: "V Sloveniji je v kibernetski kriminaliteti res izjemno malo sodne prakse. Primere lahko preštejemo na prste ene roke. Najbolj znan primer je na primer Maripos, ki je bil svetoven. Spomnimo se – dva naša, slovenska študenta sta sprogramirala kodo za tujo kriminalno združbo. Seveda sta s tem nekaj zaslužila. Bila pa sta tudi obsojena." Res pa je tudi, da podjetja, predvsem pa banke ali pa zavarovalnice, ki so največkrat hekerske tarče, o vdorih v svoje sisteme nočejo govoriti. Jih ne priznajo. Molčijo o njih, saj svoje ranljivosti nočejo izpostavljati. Aleksander Šinigoj iz Palsita temu napoveduje konec: "V pripravi je novela zakona, po kateri bodo podjetja dolžna, da bodo vse vdore v najkrajšem mogočem času, v le nekaj dneh, nujno javno objavila".

Vdori v delavčevo "e-zasebnost"
Na novogoriškem Infoseku so opozorili tudi na vdore v delavčevo "e-zasebnost". Mojca Prelesnik, informacijska pooblaščenka, pravi, da je prijav vse več: "Prednjačijo prijave delavcev, ki jim delodajalci hočejo slediti na vsakem koraku. 'Vohunske' ideje delodajalcev so vseobsegajoče: od tega, da hočejo svoje delavce opremiti z GPS-i, do tega, da hočejo stalne podatke o tem, kje se njihov zaposleni giblje. Delodajalci hočejo imeti popoln vpogled v delavčevo elektronsko pošto … Skratka – hočejo imeti delavčevo zasebnost popolnoma pod nadzorom".

Prelesnikova ob tem spodbuja zaposlene, ki opazijo tak vdor, naj ga takoj prijavijo: "Prijave so lahko tudi anonimne." In kako lahko informacijska pooblaščenka ukrepa? Delodajalcu lahko izreče globo za prekršek. Ta znaša 830 evrov za en osebni podatek. Če je vdorov v osebne podatke več, se globa množi s številom odkritih primerov. Posameznik pa potem lahko vloži tudi odškodninsko tožbo na sodišče.