Znanost in tehnologija
Ocena novice: Vaša ocena:
Ocena 2.3 od 6 glasov Ocenite to novico!
false
Za varnost Slovenije v kibersvetu naj bi skrbela posebna agencija. Foto: Pixabay
false
Velikokrat je nemogoče ugotoviti, kdo je v ozadju velikih hekerskih napadov. Foto: Pixabay

Dodaj v

Kibernetska varnost: "Nismo ravno goli in bosi, smo pa slabo oblečeni"

Posvet o stanju kibernetske varnosti v državi
16. junij 2017 ob 15:43,
zadnji poseg: 16. junij 2017 ob 15:52
Ljubljana - MMC RTV SLO

Slovenija je bila nekoč med vodilnimi na področju kibernetske varnosti, nato pa naj bi ambicioznost na tem področju začela usihati. Nov varuh na tem področju naj bi kmalu postala posebna državna agencija.

Virus WannaCry je sredi maja v nekaj urah povzročil kibernetski kaos po Evropi. V Sloveniji je bil najbolj prizadet, glede na javno priznanje, novomeški Revoz, ki je za en dan prekinil proizvodnjo. V nekaterih drugih državah pa je bila prizadeta tudi t. i. kritična infrastruktura. V Veliki Britaniji je denimo virus zaklenil dostop do kartotek pacientov, odpovedali so številne preglede in operacije.

Slovenija bo kmalu dobila zakonodajo o zaščiti kritične infrastrukture, v katero med drugim sodijo preskrba z vodo, hrano, energijo, zdravstvene in finančne storitve, pa tudi informacijsko-komunikacijski (IKT) sistemi, je na nacionalnem posvetu o kibernetski varnosti, ki je potekal v dvorani državnega sveta, razkrila obrambna ministrica Andreja Katič. Omenjeni zakon bo namreč pokrival tudi kibernetsko varnost slovenske kritične infrastrukture.

Zaradi evropskih uredb mora Slovenija do prihodnjega leta sprejeti tudi novo zakonodajo tako na področju varovanja osebnih podatkov, pa tudi na področju informacijske varnosti. Veljati bosta začeli (šele) maja prihodnje leto in v tem tempu se pripravljajo tudi nove zakonske rešitve.

Kdo stoji za kibernapadi?
"Živimo v svetu brez meja. Država je vpeta v vsa mednarodna tveganja," je na posvetu pojasnil varstvoslovec Denis Čaleta z inštituta za korporativno varnost ICS-a. Tveganju je po njegovih besedah najbolj izpostavljena kritična infrastruktura, ki je pomembna za delovanje. Pri zadnjih kibernetskih napadih pa je skrb vzbujajoče, kdo sploh stoji za njimi. Ali so države, posamezniki ali celo korporacije, ki so zaradi svoje velikosti prerasle že marsikatero državo.

Vodja nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT Gorazd Božič je povedal, da je vzrok za vedno večje število kibernetskih incidentov dejstvo, da narašča tudi uporaba informacijskih tehnologij. "Vendar nas čakajo resni izzivi, kot je internet stvari."

Internet stvari, povezovanje naprav prek interneta, kot pravi Božič, po desni prehiteva dejavnosti za njegovo zaščito. Vedno več kibernetskih napadov namreč poteka prek nezaščitenih naprav, povezanih v internet, kot so recimo spletne kamere.

Božič je kibernetsko varnost Slovenije opisal, da "nismo ravno goli in bosi", kar je menil poslanec NSi-ja Matej Tonin, temveč "slabo oblečeni". Slovenija je bila pred dvema desetletjema, ko je začel delovati SI-CERT, na področju informacijske varnosti ob boku najbolj razvitih držav, kot je Japonska. Toda nato ni bilo politične volje in sledila je stagnacija, ki se med drugim odraža pri drastičnem pomanjkanju računalniških varnostnih strokovnjakov.

"Lahko bi imeli uspešen sistem kibervarnosti," je dodal in opozoril tako na pomanjkanje ustrezne strategije in tudi na to, da smo se priprave zakonodaje o informacijski varnosti, zgolj zaradi EU-uredbe, lotili (pre)pozno.

Nezavedanje politike
Politiki se teh nevarnosti ne zavedajo, je slovenske politične poglede na tovrstno problematiko opisoval podpredsednik komisije za nadzor obveščevalnih in varnostnih služb DZ-ja Matej Tonin in za primer, kako ključni ljudje v Sloveniji nepravilno komunicirajo med seboj, navedel zgodbo o arbitražnih prisluhih. Nekateri slovenski politiki po njegovih besedah sploh ne uporabljajo računalnika in se s tem še hvalijo.

Medtem ko SI-CERT ugotavlja, da se številno incidentov povečuje, pa agencija za komunikacijska omrežja in storitve (AKOS) dobiva od IKT-operaterjev zelo malo prijav o incidentih. Prijavljenih je bilo le pet vdorov v njihova omrežja, je povedala Tanja Muha, namestnica direktorja AKOS-a. Po njenih besedah operaterji poročajo zgolj o tem, kar je potrebno, o manjših incidentih, ki jih sami sanirajo in nimajo velikih posledic, pa ne poročajo.

Prav obvezno poročanje o kibernetskih incidentih naj bi bilo zapisano v novi zakonodaji o informacijski varnosti. Kar nekaj razpravljavcev je menilo, da bi morali vsi, ki morajo skrbeti za kibernetsko varnost, poročati o slehernem incidentu. Ali kot je orisal v. d. direktorja urada za varovanje tajnih podatkov Dobran Božič, je to tako, kot da bi nekdo neuspešno skušal oropati banko. Vendar, ker mu rop ni uspel, banka o tem ne bi nikogar obvestila.

Agencija za informacijsko varnost
Z novo zakonodajo naj bi Slovenija dobila novo državno agencijo, za kibernetsko varnost, v katero naj bi vključili tudi urad za varnost tajnih podatkov in tudi SI-CERT. Kako bo strukturirana nova kibervarnostna agencija, ostaja vprašanje. Matej Tonin je menil, da bi vse zaposlene v državnih oz. javnih institucijah, ki se ukvarjajo z vprašanjem kibernetske varnosti, morali "združiti pod eno streho". Agencija pa bi morala delovati po vojaškem vzoru, po liniji poveljevanja. Gorazd Božič pa je na drugi strani menil, da je centralizacija precej vprašljiva in da bi bili boljši postopni koraki, kot neka "revolucija" na tem področju.

Kako privabiti ustrezne strokovnjake?
Velika težava pa je kadrovanje primernih strokovnjakov, ki jih je glede na plače v javnem sektorju težko primerno nagraditi. Generalni direktor direktorata za informatiko na ministrstvu za javno upravo Jurij Bertok je menil, da bi bila primerna rešitev tudi javno-zasebno partnerstvo.

Pojasnil je, da je trenutno v državnih institucijah zaposlenih osem strokovnjakov za kibernetsko varnost. Na zadnjem razpisu, s katerim so želeli pridobiti nove tovrstne strokovnjake, pa noben kandidat ni bil primeren (zaposliti so želeli inženirje računalništva). Najbrž tudi zato, ker tovrstni strokovnjaki na trgu dosegajo neprimerno višje plače, kot pa jih nudi sistem plač v javnem sektorju.

Gregor Cerar
Prijavi napako
Komentarji
fmg9
# 16.06.2017 ob 16:42
S kadri bo tezko. Sposobni so sli v tujino - tezko konkurirati glede plac.Morda bo pa kaj pripomogel t.i. "visoko izobrazen" kader z BV in Afrike...
sistemc.
# 16.06.2017 ob 16:50
Slovenija bo kmalu dobila zakonodajo o zaščiti kritične infrastrukture, v katero med drugim sodijo preskrba z vodo, hrano, energijo, zdravstvene in finančne storitve, kot tudi informacijsko komunikacijski (IKT) sistemi,

To je enako Butalcem, ki so v času turških vpadov na začetku vasi postavili znak : "Turkom vstop prepovedan". Potem jih je pa malo zaskrbelo, da to ne bo ustavilo Turkov, pa so znak spremenili v: "Turkom vstop najstrožje prepovedan".

Kaj naj si misliš o državi, kjer minister za finance ob prevzemu mesta javno izjavi, da bo uporabljal zasebni računalnik, da bo država prihranila.

Katera država, morda Hrvaška ob nakupu Merkatorja?
5tane
# 16.06.2017 ob 17:16
Še tisti ki je policiji pokazal njihove ranljivosti je preganjan. Ne vem zakaj bi kdo šel v državno službo.
marvin34
# 16.06.2017 ob 16:45
mb128, novega programskega jezika ni problem izumiti. V resnici vsakdo, ki gre trenutno cez univerzitetni program fri naleti na predmet, kjer se "izumi" nov programski jezik in se ga prepise v strojno kodo.
mataj-finance
# 16.06.2017 ob 20:00
WannaCry je v Revoz prišel iz Francije, preko internega omrežja. Tudi v Franciji je obstalo par Renaultovih tovarn. Ostalih večjih težav ni bilo, kar pomeni, da imamo v Sloveniji te zadeve solidno urejene.

Še ena agencija je zadnje, kar Slovenija ta trenutek potrebuje. Še več birokracije in še bolj zapletena zakonodaja lahko stanje kvečjemu poslabšata.
XFX
# 16.06.2017 ob 18:46
Matej Tonin je menil, da bi vse zaposlene v državnih oz. javnih institucijah, ki se ukvarjajo z vprašanjem kibernetske varnosti, morali "združiti pod eno streho". Agencija pa bi morala delovati po vojaškem vzoru, po liniji poveljevanja.

To bo to, ITjevci, posebej hekerji, s(m)o hudi pristaši avtoritativnih sistemov. ;)
visoki
# 16.06.2017 ob 17:30
pri nami lahko edino vdre v nlb in odkrije silne nepravilnosti
penzl
# 16.06.2017 ob 16:42
@mb128 težko je razložiti nekaj nekomu, ki sploh še sam ne vem o čem govori.
gispa
# 16.06.2017 ob 17:57
@fmg9

Res je. Poznam fanta iz paralelke na gimnaziji, ki je doštudiral FRI, smer programiranje. Velik talent, zdaj že par let dela za Google v ZDA, kamor je bil v bistvu povabljen. Tam tudi nadaljuje študij.
Poznam pa še enega fanta, v bistvu moj sosed, ki je tudi velik talent za programiranje. Ravno letos zaključuje magisterij, isto na FRI, smer programiranje. Tip se je vsega naučil sam že v OŠ. Takrat se je s tem ukvarjal za hobi. Ko je prišel na srednjo šolo, se mu ni bilo treba učit. On se je takrat že ukvarjal s problemi, ki jih dobiš na faksu. Dodiplomca je zaključil z odliko, brez pretiranega učenja, ocene več ali manj 10ke. Šele sedaj na magisteriju pravi, da mora malo več časa porabiti za faks. Je pa tak, precej samoiniciativen in zmožen marsikaj sprogramirati sam, iz glave. Potrebuje le res dobro idejo pa lahko zasluži ogromno denarja. Kot študent je delal za eno firmo v Lj., kjer je služil 7€/h. Za študenta odlično. Nato se je odločil, da ne bo več delal, ker mu ne predstavlja nobenega izziva. Zdaj dela doma na nekih projektih. Če bo ostal v Sloveniji, se lahko zgodi, da bomo o njem še slišali, odvisno kaj bo spacal skupaj. :) Je pa tudi tako, tip je celo življenje preživel na kompu (star je cca 27 let). Še danes dvomim, da bi mu ratalo prižgat ogenj. :) Ok, šalo na stran, hočem povedati, da je pač bolj računalniški tip človeka, ki ne hodi veliko ven in se ne ukvarja z veliko drugimi stvarmi.
JanezNovak
# 17.06.2017 ob 00:58
"Nekateri slovenski politiki po njegovih besedah sploh ne uporabljajo računalnika in se s tem še hvalijo."

To v bistvu sploh ni slab varnostni ukrep.
XFX
# 16.06.2017 ob 20:32
@mb128Ti bi res moral prenehat pisat nebuloze. Ena od pomebnejsih zrtev Confickerja leta 2008 je bil NATO. Slovenske vojasnice in njihova izolirana omrezja pa so bila onesposobljena tedne, ce ne mesece.
marvin34
# 16.06.2017 ob 18:29
mb128, ne razumem, kaj slabega naj bi po tvojem mnenju ta jezik pocel - sodec po whitepaperju je zgolj ideja za jezik, ki bi laikom olajsal definiranje ustreznih pravil za zascito sistema.
marvin34
# 16.06.2017 ob 18:23
fmg9, ni cisto res, marsikdo, ki je sel v tujino je tudi prisel nazaj - dobra placa ti nic ne pomaga ce je prostor zanic.
marvin34
# 16.06.2017 ob 18:20
mb128, kaj tocno te muci pri openc2?
bori
# 16.06.2017 ob 17:40
Slovenija bo kmalu dobila zakonodajo o zaščiti kritične infrastrukture, v katero med drugim sodijo preskrba z vodo, hrano, energijo, zdravstvene in finančne storitve, pa tudi informacijsko-komunikacijski (IKT) sistemi, je na nacionalnem posvetu o kibernetski varnosti, ki je potekal v dvorani državnega sveta, razkrila obrambna ministrica..

Se marsikje je bila Slovenija veliko bolj napredna.. v optiki.. in nenazadnje še vojska je bila boljša in bolj poceni.
Antivirus zakonodaja.. bravo, ta bo gotovo zaščitila vodo, hrano... dokler ne pride stric$$$ pod prste..
Gepard007
# 16.06.2017 ob 17:15
Bojmo se državnih agencij...
Rugess Nome
# 16.06.2017 ob 16:50
vzrok za vedno večje število kibernetskih incidentov, dejstvo da narašča tudi uporaba informacijskih tehnologij. "Vendar nas čakajo resni, kot je internet stvari."

kaj naj bi ta stavek pomenil?!
mb128
# 17.06.2017 ob 20:02
XFX
Jep, tukaj pa se popolnoma strinjam s teboj. Človek kot največji rizičen faktor. Ampak nekaj mi pa vseeno ni jasno veš. Ko smo mi delali s "tistimi" stvarmi smo bili nonstop pod nadzorom in tudi v samem štartu so nam takoj povedali kakšen je modus operendi.
Ampak človek je pač tudi zvedava in malomarna žival. Me pa vseskupaj čudi še veliko bolj ker tam imajo tudi računalnike, ki so priključeni na internet. No, ne vem, leto 2008 je bilo tudi poslednje zame ko sem bil tam tako da o tem kaj se je tam godilo kasneje ne morem pisati. Je pa čudno, skrajno čudno!
XFX
# 17.06.2017 ob 15:45
@mb128

Imaš prav, MORS je fasal šele Confickerja januarja 2009. Je trajalo nekaj časa, da je nekdo prinesel okužen USB ključek na izolirano omrežje. ;)

"Šele" pomeni, samo to, da je bil popravek na voljo "skoraj" tri mesece.

Hmm, po spletu naključij sem bil oktobra 2008 v Poljčah.

Očitno se nikogar nič ni prijelo. ;)
marvin34
# 16.06.2017 ob 20:29
mb128, sem govoril o precej resnejsi zadevi kot neka tajnica na upravni enoti - pa tudi tu, ko gre za podatke o ljudeh bi morale zadeve biti ustrezno zascitene.
mb128
# 16.06.2017 ob 20:22
marvin34
Veš kaj, boli me kateri os uporablja tajnica nekega župana v Sloveniji. Tukaj se gre za kritično infrastrukturo in slednja, vsaj po moje, ne bi smela biti del interneta!
marvin34
# 16.06.2017 ob 20:16
mb128, povecini je problem v slabo posodobljeni programski opremi - dokler se bodo uporabljali neposodobljeni windows xp leta 2017 bodo enaki problemi. Osebno vidim, kako v nekaterih drzavnih institucijah uporabljajo neposodobljeno 20 let staro programsko opremo.
marvin34
# 16.06.2017 ob 20:08
mataj-finance, mislim, da sploh ne gre za programski jezik ampak pac jezik za lazje urejanje varnostnih nastavitev - podobno, kot je latex jezik za urejanje porocil.
mataj-finance
# 16.06.2017 ob 20:04
@marvin34

Računalniški jezik, ki naj bi laikom olajšal definiranje tega in onega in tretjega, izumljajo že odkar vem zase, pa še vedno niso nič uporabnega izumili. Prvi poskus na tem področju je bil COBOL. Živa groza od jezika!
JJstyle
# 16.06.2017 ob 18:20
Vse slovenske javne službe skupaj so za eno večjo korporacijo. Ne rabite sprejemat nobenih zakonov, najemite mednarodno priznanega zunanjega izvajalca, da vam poenoti celotno mrežo (s smiselnimi notranjimi pregradami) z izjemo top vladnih, varnostnih in obrambnih služb, tam so zahtevani standardi zaščite višji (vsaj naj bi bili), postavi sistem enotnih požarnih sten in izobrazi notranje IT-jevce za vzdrževanje mreže ter poučevanje zaposlenih o osnovah varnega rokovanja z občutljivimi podatki, plača letno licenčnino in to je to. Itak se 90 % zadev danes posodablja samodejno, tako da ni treba bit nek hud poznavalec za vzdrževanje mrežne zaščite. Prosim pa, da ne odkrivate tople vode in najemate kakšne slovenske "vsevednike". Ne obstajajo zastonj IT korporacije, ki se vsakodnevno ukvarjajo samo z zagotavljanjem kibernetske varnosti.
mb128
# 16.06.2017 ob 22:31
Evo dokaza, da je open c2 ne samo kreiran in operativen in negira zapis na openc2.org
Cyberscoop
NSA's new open language for cyber-defenses will aid interoperability
Ko tu kome bolestan majmun?!
In naši?! Interesi, še enkrat vam zapišem zgolj privatni interesi!
Da smo slabo oblečeni, slabo obuti?! Nak, ne bo držalo. Goli in bosi smo spoštovani, goli in bosi na žalost pa nam nekaj razlagajo "krojači" in "čevljarji", ki na poskušajo prodati v najboljšem primeru predlansko "modo"!
mb128
# 16.06.2017 ob 20:45
marvin34
Jep, ravno zato ne bi smela biti kritična infrastruktura na internetu! Mimogrede je razlika med tajnico nekega župana in UE mar ne?! No, vsaj jaz mislim da je!
XFX
Da bluzim, leto 2008?! Naj malo pomislim kje vse sem bil tistega leta.
Recimo v Poljčah in ne spomnim se da bi na vajah imeli kakršnekoli težave!
Še kaj?!
Mimogrede, to ne pišem na pamet tako kot ti to počenjaš po vsej verjetnosti!
mb128
# 16.06.2017 ob 20:11
Sicer pa a ste se že kdaj vprašali kako to da nikoli niso prizadeti Europol, Interpol, Nato ipd.?!
No do kakšnega zaključka vas to pripelje?!
Skrivnosten odgovor je da so vsi ti poleg interneta še na kakšnem drugem omrežju! Tako kot slovenska vojska že dolgo. Zakaj torej temu ne bi mogla slediti druga kritična infrastruktura?! Interesi, interesi vam rečem! Jep, prav vse za ljubi kruhek in da bi ta kruhek bil večen tako kot je večen pri tistemu, ki je zaposlen pri kakšnem pogrebnem podjetju!
mb128
# 16.06.2017 ob 18:53
marvin34
Kaj misliš kako sem jaz zvedel za ta jezik? O njem sem bral pred kakšnima dvema dnevoma. Tam je pisalo da ga je razvila NSA!
Da bi NSA kaj razvila samo za zaščito?! Dvomim, močno dvomim!
mb128
# 16.06.2017 ob 18:22
Še glede tetre.
Kaj ti pomaga še tako sofisticiran sistem če pa niti malo ne izkoristiš njegovega potenciala?!
Mimogrede, pri nas so 3. tetre. Policijska, od civilne zaščite, vojaška. Kompromitirana, če temu sploh lahko rečemo tako je bila samo policijska. Se je kdo sploh vprašal zakaj je bilo temu tako?! Mislim, ne bi jaz hvalil tistega fanta, vsaj preveč ne. To kar je ugotovil on bi lahko prav vsak izmed nas le na pravi frekvenci bi moral biti. On je samo odkril policijsko malomarnost ali celo neznanje!
JJstyle
# 16.06.2017 ob 17:00
Mah panika brez zveze... Če hočete zaščititi svojo zasebnost uporabljajte twofish enkripcijski algoritem (AES je tudi ok, sam mi je mal sumljiv, ker je v množični uporabi in zato se pojavljajo pritiski NSA in FBI na razvijalce, da vanj namerno vgradijo backdoore, kot se je to dogajalo pri DES), VPN in brskalnik Tor. Za direktno zaščito pred vdori pa en dobro protivirusno zaščito in požarni zid ala Symantec Endpoint Protection in ste OK v 99,9 % primerov. Na P2P pa pozabite, če vas resno skrbi varnost.
mb128
# 16.06.2017 ob 18:26
marvin34
Muči me njegov potencial in bojazen, da se pred njim ne bo možno obraniti čeprav je povdarjeno da naj bi ta jezik služil zgolj za zaščito!
mb128
# 16.06.2017 ob 18:13
Pa da ne bo še kdo kje pomislil češ ta mb128 zopet nekaj bluzi!
http://openc2.org/
A to se tudi poučuje na FRI?!
mb128
# 16.06.2017 ob 16:52
penzl
It iskalnik➡open c2➡BERI➡odgovor (zaželjen)
Medtem jaz
Kazalo