Družba se informatizira, kar pomeni, da se vse več njenih dejavnosti seli v digitalne informacijske sisteme. Od njih je tudi vse bolj odvisna, če želi ostati razvojno konkurenčna. Tako države svoje vladarske in upravne postopke vodijo prek obsežnih baz podatkov, na njih temelji poslovanje vse več podjetij, državljani na spletu puščamo zajetne dele svojih življenj.
Kaj pa varnost? Informacijski sistemi so po definiciji nepopolni. Vedno imajo luknje, skozi katere se lahko zlonamerni vrinejo in odnesejo dragocene podatkovne baze, razkrijejo osebne podatke ali onemogočijo delovanje podjetja.
Te luknje iščejo hekerji. Zlonamerni med njimi so t. i. črnočepični, saj se poskušajo s početjem okoristiti, pri tem pa navadno oškodujejo žrtev. Na drugem koncu spektra nosijo t. i. bele čepice. Ti hekerji iščejo ranljivosti v informacijskih sistemih za brušenje lastnih sposobnosti, zaradi zanimanja ali gole zabave. In če jih najdejo, jih subjektu tudi razkrijejo, da se lahko zavaruje.
Države se pri tem spoprijemajo z dilemo, kako področje regulirati. Nepooblaščen vdor v informacijski sistem je namreč kaznivo dejanje, ki ga je pravosodje dolžno preganjati. Obenem pa je lahko početje hekerjev z belimi čepicami koristno tako širše za družbo kot za posamezne igralce v njej, saj jih pomaga zaščititi pred potencialno škodo. Ta iz leta v leto narašča in je lani na ravni Evropske unije po enih podatkih znašala 12 milijard evrov, sodeč po Europolu pa precej več: 265 milijard.
Slovenska država pripravlja nov zakon o informacijski varnosti, čeprav je vprašanje, ali bo preživel skorajšnjo menjavo vlade. Z njim poskuša nasloviti tudi področje t. i. etičnih hekerjev. O tem so razpravljali na okrogli mizi v okviru Hek.si 2018. Pod naslovom Kakšen zakon potrebujemo v Sloveniji za zaščito pred hekerji? so spregovorili: Tadej Vodopivec (Comtrade) Gregor Potočnik, član delovne skupine za pripravo zakona o informacijski varnosti, Boris Vardjan (SKB), Matej Kovačič, (Institut Jožef Stefan) in Boštjan Kežmah iz podjetja CEPRIS.
"Treba je najti kompromis"
Potočnik je poudaril, da govori v lastnem imenu in ne v imenu delovne skupine za pripravo zakona. Po njegovem mnenju je treba odpraviti obstoječe stanje, v katerem vsem hekerjem - tudi dobronamernim - grozi kazenski pregon, tudi v primeru, ko z nepooblaščenim vdorom odkrijejo in naznanijo hudo ranljivost v državnem informacijskem sistemu, ki lahko nezakrpana vodi do večje škode za družbo. To je treba storiti z zakonsko regulacijo in odpraviti sivo območje.
Še pred pravosodno verigo mora obstajati državni organ, ki odloča o naravi posameznega vdora. Biti mora od države primerno pooblaščen, da še pred policijo in tožilstvom presodi, ali je neki heker storil pregona vredno dejanje ali ne. Obenem mora obstajati grožnja z represijo, saj hekerjem ne moremo kar pustiti, da vsepovprek vdirajo.
Etični hekerji iščejo ranljivosti v informacijskih sistemih. Potočnik je to ponazoril s primerom: "Šel bom po ulici in pri vsaki hiši preveril, ali so vrata odprta in ali ključavnica deluje." Kjer bodo vrata odprta ali ključavnica nezanesljiva, bo lastniku tudi diskretno povedal. Toda vprašanje je, kako bo lastnik to sprejel in verjel domnevni dobronamernosti. Še večje vprašanje je, ali lahko domnevi o dobronamernosti verjame policist, ki mora zadevo preiskati.
"Treba je najti kompromis," je poudaril Potočnik, a v isti sapi priznal, da je naloga zelo težka.
Sam meni, da je treba uvesti neke vrste register etičnih hekerjev, sicer bo po tovrstnih ljudeh v slovenskem pravosodnem sistemu "na polno padalo". Voditi pa ga mora organ z državnimi pooblastili, da lahko še pred tožilstvom reče, ali gre za kaznivo dejanje ali ne.
Božič: Graditi je treba na zaupanju
Vodja odzivnega centra SI-CERT Gorazd Božič, ki danes opravlja tudi vlogo posrednika pri prijavah ranljivosti, se ni strinjal. Iz občinstva je predstavil svoj pogled: dozdajšnji pristop na temelju od spodaj navzgor se ni izkazal za slabega in ga je treba nadaljevati. SI-CERT si je tudi kot zavod v širšem "IT-ekosistemu" s prakso pridobil zaupanje in spoštovanje, ki omogoča, da se lahko varnostni incidenti s področja etičnega hekanja rešujejo organsko, vključno s prijavami ranljivosti. Pooblastila od države niso nujno potrebna, je poudaril, a se obenem strinjal, da bo tudi na tem področju najbrž potreben kompromis. A tako, da se najprej vidi, kaj deluje v praksi in kaj je potrebno.
"Heker se igra z ognjem"
Vardjan (SKB) nad odpiranjem prostora za hekanje ni bil tako navdušen. "Dejstvo je, da je vsak nepooblaščen vdor kaznivo dejanje. Tu ni dileme," je poudaril. "Ne kar tako preizkušati, ali je banka varna ali ni. Ne se igrati za šalo ali za lastno zabavo, ker bodo za dejanje lahko padle posledice," je poudaril.
Ni pa popolnoma jasno, kaj točno je ta nezakoniti vstop. Je že to, da v URL-naslov strani nekaj dopišeš ali ga spremeniš, s čimer se spremeni tudi del prikazane vsebine na spletni strani (kar se je pred leti zgodilo DZ-ju brez nobene praktične škode)? Je nezakonito, da kot svoje geslo za vstop v neko spletno mesto vpišeš nekaj, kar potem - namenoma ali nenamenoma - omogoči dostop do notranje baze (t. i. SQL-vrivanje)? Kovačič (IJS) je dodal primer, ko se je IT-strokovnjak zatipkal pri vnosu naslova spletne strani in pri tem po nesreči "padel" v račun nekoga drugega.
Dobro je, da imamo za presojanje pravosodni sistem, v katerem so vloge in zadolžitve razporejene, in ni dobro, da se mešajo, je poudaril bankir. Imamo policijo s predkazenskim postopkom, tožilstvo s kazenskim pregonom in sodišče, ki presodi, kaj je po nesreči in kaj naklepno, kaj protipravno.
"Zunaj tega ni dobro, da imajo drugi pooblastila," je presodil predstavnik banke.
Poudaril je še, da so banke incidente dolžne prijavljati več institucijam in organom, po novem tudi Banki Slovenije in Evropski centralni banki.

Kdo bo lahko državni etični heker
Čežmaha so zanimali predvsem vstopni pogoji v register etičnih hekerjev. Sin se zaradi starostne omejitve ne sme vpisati v Facebook, potem pa ga bo kot oče vpisal med hekerje in bo imel blagoslov države, da za narodov blagor vdira in išče ranljivosti, je ponazoril. Treba bo uvesti stroga preverjanja, je poudaril. Ne le to: kakšna pa bo odgovornost etičnega hekerja, ko enkrat pride v register? Ne moremo kar računati, da bodo vsi registriranci kar dobronamerni pri vseh svojih početjih. Nič manj ni pereče vprašanje odgovornosti. Kaj pa, če etični heker vdre v banko in jim nehote izbriše del podatkovne baze?
Preveč koristi, da bi jih kar odpisali
Vodopivec (Comtrade) je poudaril koristnost sodelovanja s hekerji. Proizvajalec programske opreme namreč nikoli ne more narediti popolnega izdelka brez kakršnih koli ranljivosti, četudi ima vzpostavljena ustaljena testiranja. Zato so v podjetju hvaležni za obvestila, ki jih dobijo s tretjih strani, kar prispeva k informacijski varnosti za vse.
Izrazil je prepričanje, da problematike nobena zakonodaja ne bo rešila, a zakon za to področje je vseeno potreben. SI-CERT lahko danes opravlja vlogo posrednika pri prijavljanju varnostnih ranljivosti. A če na ta zavod pride policija s sodnim nalogom, se najbrž ne bodo mogli upreti - treba bo razkriti identiteto prijavitelja, je poudaril.
Oceniti, ali je šlo za zlonameren ali dobronameren vdor, po njegovem mnenju ni nemogoča naloga. Iz okoliščin je mogoče sklepati marsikaj. Je heker pobral le del baze, do koder je segala ranljivost, ali si je privoščil celotno? Je ranljivost sam sporočil ali pa je pri tem izsiljeval?
Moderator pogovora je spomnil na Jugoslavijo, ki ni bila del ne zahodnega ne vzhodnega bloka. "Ni bila nič, vsi pa so jo potrebovali, saj je bila tamponsko območje. Morda potrebujemo prav to." Neki nevtralni organ, ki bo omogočal obstoj "pozitivnih hekerjev" in državo obveščal o njihovem pozitivnem delovanju, obenem pa držal zlonamerne hekerje na drugi strani.