Študent Domen Leš s FERI je prvi etični heker Univerze v Mariboru s certifikatom organizacije EC-Council, s katero je univerza stopila v akademsko partnerstvo./Radio Maribor/Pia Prebevšek
Študent Domen Leš s FERI je prvi etični heker Univerze v Mariboru s certifikatom organizacije EC-Council, s katero je univerza stopila v akademsko partnerstvo./Radio Maribor/Pia Prebevšek

Domen Leš, študent na Fakulteti za elektrotehniko, računalništvo in informatiko je prvi na Univerzi v Mariboru, ki je pridobil certifikat etičnega hekerja organizacije EC-Council, s katero je univerza vstopila v akademsko partnerstvo. Z računalniškimi svetovi se je srečal že zelo zgodaj; najprej ga je pritegnila možnost nedolžnih manipulacij v računalniških igricah, danes se ukvarja z varnostjo velikih sistemov. Ugotavlja, da je kibernetska varnost za mnoga podjetja zgolj nepotreben strošek.

Varnost sistemov je pomembno področje, kar so na Univerzi v Mariboru potrdili z uvedbo študijske smeri Informacijska varnost in novih predmetov Digitalna forenzika in Kibernetska varnost. Imeti certifikat etičnega hekerja pomeni ne le dokazovati znanje o preverjanju varnosti kibernetskih sistemov, pač pa tudi takšna za pridobivanje sredstev, s katerimi lahko organizacije in podjetja vzpostavijo ali krepijo varnost svojih podatkovnih sistemov in baz.

Pri izvedbi pregleda se pogosto izkaže, da je najšibkejši člen v varnostni verigi človek. Pri enem zadnjih preverjanj kibernetske varnostni v večjem podjetju se je izkazalo, da je skoraj polovica zaposlenih nasedla poskusu vdora, pove etični heker Domen Leš/Foto: EPA
Pri izvedbi pregleda se pogosto izkaže, da je najšibkejši člen v varnostni verigi človek. Pri enem zadnjih preverjanj kibernetske varnostni v večjem podjetju se je izkazalo, da je skoraj polovica zaposlenih nasedla poskusu vdora, pove etični heker Domen Leš/Foto: EPA

Obvezuje jih pogodba
Študent Domen Leš ima tudi že službo, kar potrjuje, da gre za poklic prihodnosti – zlonamerni vdiralci v sisteme in baze podatkov so namreč vedno korak v prednosti. Sogovornik pojasni razliko med etičnim in zlonamernim hekerjem:«Etični heker je na pravi strani zakona. Imamo vsa potrdila in dovoljenje stranke oziroma tarče, da zanje opravimo napad. Poskus vdora v sistem je stvar dogovora oziroma pogodbe, poteka pa v več fazah. Podjetje izrazi zanimanje za varnostni pregled, potem se dogovorimo, kaj želijo - ali pregled spletne strani, e-poštnega strežnika, aplikacije, njihovega notranjega omrežja in podobno. Podpisati moramo tudi dovoljenja in pogodbe o zaupnosti podatkov.«

Najšibkejši člen je človek
Pri izvedbi pregleda kibernetske varnosti se pogosto izkaže, da je najšibjekši člen v verigi človek. Pri enem zadnjih preverjanj v večjem podjetju se je izkazalo, da je skoraj polovica zaposlenih nasedla poskusu vdora. Dobili so elektronsko pošto, ki jih je pozvala, naj se prijavijo v portal. Polovica jih je spletno stran odprla, nekateri so opazili, da nekaj ni v redu oziroma da je sumljivo, nekateri pa so na slepo vpisali svoje podatke. To je dovolj očitno, da bi podjetja morala vlagati ne samo v kibernetske varnostne sisteme, temveč tudi v informiranje in izobraževanje zaposlenih.

Velike družbe imajo posebne denarne sklade, z visokimi nagradami pa želijo preprečiti, da bi hekerji, ki odkrijejo ranljivosti v varnostnem sistemu ali pridejo do pomembnih podatkov, te prodali na črnem trgu. S tem se ustvarja t.i. siva cona, razloži Domen Leš./Foto: Reuters
Velike družbe imajo posebne denarne sklade, z visokimi nagradami pa želijo preprečiti, da bi hekerji, ki odkrijejo ranljivosti v varnostnem sistemu ali pridejo do pomembnih podatkov, te prodali na črnem trgu. S tem se ustvarja t.i. siva cona, razloži Domen Leš./Foto: Reuters

Siva cona in denarne nagrade
Hekerji naj bi vsakih pet minut odkrili pomankljivosti v sistemih, so pa razlike v resnosti odkritih vrzeli, od tega, da si utrejo pot do stanja ure na strežniku do popoldnega dostopa do podatkovne baze. Večina proizvajalcev produktov ima t.i. bug bounty programe, nagradni sklad, nagrade pa so lahko precej visoke. Na spletu je mogoče najti podatke o milijonskih nagradah, ki jih organizacije kot so Facebook, Google in Apple plačajo za odkrite ranljivosti, še posebej če gre za ranljivosti visokega tveganja:«..ki na primer na applovih računalnikih ali telefonih omogočijo popoln nadzor nad napravo. To so ranljivosti, ki povzročijo ogromno škodo podjetju in uporabniku«, pojasni Domen Leš,. To pomeni, da za odkrite varnostne vrzeli družbe oz. organizacije raje nagradijo etične hekerje, kot pa da bi tvegali, da se podatki prodajo na črnem trgu. Te nagrade pa ustvarijo tudi neke vrste sivo cono, saj če so dovolj visoke, odvrnejo (zlonamernega) hekerja, da pridobljene podatke proda na črnem trgu.

Etični hekerji vdirajo v sisteme z različnimi motivi, tudi denarnimi ali politično-ideološkimi. Napad na spletno stran politične stranke verjetno ni finančno motiviran, napad na menjalnico kriptovalut pa ne politično. Tudi se ne zgodi pogosto, da bi bilo tarča hekerskega napada podjetje z dvema zaposlenima, privlačnejša tarča je državni ponudnik internetnih storitev.

Še več podrobnosti lahko slišite v pogovoru: