Foto:
Foto:

Virus WannaCry je v nekaj urah poskrbel za pravi kibernetski kaos. V Veliki Britaniji so zaradi virusa, ki je zaklenil dostop do kartotek pacientov, odpovedali številne preglede in operacije. Za en dan je obstala tudi proizvodnja v novomeškem Revozu.

Kako osebne podatke varujejo v slovenskih podjetjih in ustanovah? Ezdravje, Euprava, Ebančništvo. Nekje na spletu je shranjenih na tisoče naših osebnih podatkov, tudi zelo občutljivih: o prekoračenem limitu, višini socialne pomoči, davkih, ki jih plačujemo, operaciji, na katero smo naročeni. To so podatki, za katere ne želimo, da bi prišli v javnost ali v roke nepridipravom. Pa bi lahko? V slovenskih bankah, javni in finančni upravi ter zdravstvu zatrjujejo, da smo lahko mirni.

Institucije trdijo, da so podatki varni
Na Ministrstvu za javno upravo so nam povedali, da se varnostni sistemi osvežujejo sproti, najmanj pa na vsako uro. "Za varnost poskrbimo tako, da želimo, da je informacijska varnost vgrajena v same sisteme že na začetku, torej v času obratovanja oziroma razvoja teh sistemov," nam je povedal Damijan Marinšek z Direktorata za informatiko pri Ministrstvu za javno upravo. V zadnjem času najbolj pogosti izsiljevalski virusi običajno pripotujejo po elektronski pošti. Pri okoli 3700 zaposlenih na Finančni upravi Republike Slovenije (FURS) se lahko zgodi, da kdo takšno pošto odpre in pomotoma namesti zlonamerno kodo. Tako so se pred časom FURS-ovi računalniki okužili z izsiljevalskih virusom Tesla. "Protivirusne signature ga niso zaznale in zato se je delovna postaja okužila. Mi smo bili o tem takoj obveščeni, vendar se ta vdor ni širil na strežnike in dejansko ni naredil škode," pravi dr. Tomaž Kralj s FURS-a. Na Nacionalnem inštitutu za javno zdravje (NIJZ) pravijo, da so informacijske rešitve Ezdravja postavljene v varno omrežje Znet, v katero so povezani tudi vsi izvajalci. "Poleg tega vsakih šest mesecev izvajamo penetracijske teste, torej napade na našo infrastrukturo s podatki," nam je povedal Simon Indihar.

Banke neprestano na udaru
V banki Sparkasse so nam povedali, da doslej izgube podatkov ali njihove odtujitve še niso zaznali, da pa se preverjanje bančnih omrežij dogaja tako rekoč v vsakem trenutku. "Prav zdaj, ko se pogovarjava o tem, se gotovo dogaja scan našega omrežja, nekdo z drugega konca planeta prav zdaj preverja, ali imamo vse varnostne luknje zaprte," pravi Mauricio Olenik iz Sparkasse. V Novi Ljubljanski banki pravijo, da ravno v kontekstu napadov, ki smo jim priča po vsem svetu, redno izobražujejo sodelavce na področju prepoznavanja socialnega inženiringa. "Varnost je v veliki meri odvisna od varnostne ozaveščenosti zaposlenih, pomembna pa je seveda tudi ozaveščenost strank," nam je povedal Rok Praprotnik, direktor Centra za skladnost poslovanja in krepitev integritete pri NLB-ju. Naši osebni podatki so torej razmeroma varni. Kaj pa spletni vdiralci? Slovenska policija jih odkrije približno polovico. "Če gre za slovenske državljane, smo uspešnejši, imamo podatke, lahko z drugimi policijskimi ukrepi pridemo do storilcev, identificiramo njihovo lokacijo delovanja. Če pa gre za tuje napadalce, se moramo povezovati s tujimi medmrežnimi ponudniki, sodišči, Interpolom, Europolom." Toni Kastelic, vodja Centra za računalniško preiskovanje pri Upravi kriminalistične policije Generalne policije uprave dodaja, da se nekje v daljni Afriki in Aziji za nepridipravi pogosto izgubi vsaka sled. "Če so to kakšne oddaljene države vhodne Azije ali celo Afrike, teh podatkov žal ne dobimo."

Motivi napadalcev: denar in zabava
Poznavalci pravijo, da so motivi napadalcev oziroma hekerjev, ki napadajo računalniške sisteme, različni: finančni, politični ali pa predstavljajo zgolj zabavo za napadalca. "Nikoli nisem vdiral v informacijske sisteme oziroma sem to počel v nekem kontroliranem okolju, da sem torej sam postavljal neka okolja, v katera sem vdiral," nam je povedal Dejan Ornig. Pred leti je opozoril na pomanjkljivosti informacijsko-komunikacijske mreže Tetra, ki jo med drugim uporabljata slovenska policija in vojska, in na lastni koži izkusil, da je meja med legalnim in nelegalnim zelo tanka. "Samo v tem konkretnem primeru sem šel do te točke, da policija potemtakem očita neki poskus vdora oziroma vdor. Ali je bil vdor ali ne, naj pač odloči sodišče." Informacijsko-tehnološki strokovnjak Jan Bervar iz podjetja Nil pravi, da se način, kako hekerji vdirajo v sisteme, v zadnjih 20 letih ni bistveno spremenil. "Spremenil pa se je način, kako gledajo na izkupičke, ki jih imajo od teh napadov. Eni so usmerjeni v to, da vam pobrišejo datoteke, drugi grozijo banki, da jo bodo odklopili z interneta in zahtevali denar." Ker so sistemi danes bistveno bolj kompleksni in jih povprečen uporabnik ne obvlada, lahko napadalci, ki imajo več časa in znanja, napako določenega sistema odkrijejo bistveno prej. In tu nastopijo etični hekerji, ki z vednostjo naročnikov vdirajo v njihove informacijske sisteme in na ta način opozarjajo na njihove pomanjkljivosti. "Delamo ilegalne stvari na legalen način, pa še plačajo nas, če se pošalim. Delamo iste stvari kot pravi hekerji. Torej po naročilu testiramo spletne strani, elektronsko bančništvo, aplikacije in podobno," pravi Milan Gabor iz podjetja Viris. Vsi sogovorniki se strinjajo, da povprečni uporabniki interneta digitalne sledi puščamo vsepovprek, ne da bi se pri tem zavedali posledic.

Povprečen uporabnik se ne zaveda pasti
Sogovorniki se strinjajo, da povprečni uporabniki informacijsko varnost dojemajo kot nekaj abstraktnega, kar se dogaja nekje daleč stran od njih. "Dokler se ne zgodi nam. Dokler zdravniki ne morejo narediti našega rentgena ali pa ne morejo izdelati našega avtomobila. Če ima heker dober dan, se lahko razgleda po sistemih kliničnega centra in odklopi dihalni aparat, na katerega ste priklopljeni," pravi Milan Gabor. Jan Bervar ob tem izpostavlja tudi situacije, ki niso samo hipotetične. Tako so, denimo, leta 2016 vdrli v spletno mesto za zmenkarije in razkrili osebne podatke uporabnikov. "Policija je ugotovila, da se je nekaj samomorov zgodilo zato, ker so bili v zvezi s tem razkriti podatki ljudi, ki so se dogovarjali za zmenke. Digitalni svet se je torej že dotaknil tudi človeških nesreč." Dogaja pa se tudi popolnoma blizu nas: spomnimo se, denimo, Sebastjana Mihelčiča, ki se je na zatožni klopi znašel zaradi osmih napadov na informacijski sistem. "Napad smo poimenovali "balkan boy", storilec pa je namensko pridobival dostope do sistemov podjetij in nakazoval denar svojim denarnim mulam ter skušal pridobiti več kot dva milijona evrov premoženjske koristi," nam je povedal Matej Breznik iz Si Certa. Znan je tudi primer Matjaža Škorjanca, ki ga je mariborsko sodišče zaradi vdorov v informacijske sisteme, s katerimi je povzročil več sto milijonov evrov škode in pritegnil tudi pozornost ameriškega FBI-ja, obsodilo na štiri leta in 10 mesecev zapora.