Profesionalus programišius C. Maartmannas-Moe: „Sugriauti pasitikėjimą labai lengva“

Profesionalus programišius C. Maartmannas-Moe: „Sugriauti pasitikėjimą labai lengva“

Grėsmės internete kyla kiekvienam iš mūsų. Norvegijos informacinio saugumo specialistas, profesionalus įsilaužėlis Carsten Maartmannas-Moe pabrėžia, kad skaitmeninėje erdvėje niekas negali būti visiškai saugus. Visgi kalbėdamas su IQ apžvalgininke Ieva Žvinakyte jis sakė, kad svarbiausi kibernetinio saugumo iššūkiai vis dar laukia ateityje.

– Daugelį metų mėgaudamiesi interneto teikiamu patogumu žmonės ne itin daug galvojo apie privatumą ar saugumą jame. Tačiau po pastarųjų metų skandalų, atskleidusių, kad tokios bendrovės kaip „Facebook“ gali pardavinėti mūsų duomenis tretiesiems asmenims, privatumo internete tema tapo kur kas aktualesnė. Ar tikrai turime pagrindo nerimauti dėl savo saugumo skaitmeninėje erdvėje?

– Internetas atsirado kaip atvira erdvė, skirta laisvai dalytis informacija, žiniomis ir idėjomis. Šiandien kiekvienas iš mūsų prie savęs nuolat turi du ar tris kompiuterius. Problema kyla iš to, kad šie prietaisai nėra kuriami mąstant apie saugumą, nes saugumas nėra tai, dėl ko mes naudojamės internetu ir technologijomis – priešingai, čia viskas privalo būti atvira, patogu ir lengvai prieinama.

Tačiau išaugusi technologijų ir interneto svarba mūsų gyvenimuose nulemia tai, kad norintieji tam tikra prasme paveikti sistemą – ar tai būtų šalių institucijos, ar įmonės, ar įsilaužėliai  staiga turi daugybę būdų tai padaryti, pavyzdžiui, paskleisdami klaidinančią tikslinę informaciją, manipuliuodami žmonių duomenimis ar pavogdami ir nutekindami svarbią informaciją. Interneto atvirumas tapo problema, nes išsivystė supratimas, kad jį galima panaudoti ir neteisėtiems, nešvariems tikslams.

Visgi tikimybė, kad konkretaus asmens duomenys bus pavogti ar nutekinti ir tai turės svarbių pasekmių jo gyvenime yra labai maža. Daug svarbesnis kiekvienam žmogui yra privatumo klausimas. Labai sunku pasakyti, ar tai, kaip mes šiuo metu elgiamės internete, kuo dalijamės, kur registruojamės, neturės neigiamų pasekmių ateityje. Skaitmeninius duomenis lengva kopijuoti: kai tik jie atsiduria internete, gali būti nukopijuoti ir pasidalyti begalę kartų. Nuo to beveik neįmanoma apsisaugoti, tad kiekvienam svarbu pagalvoti, kuo dalijasi internete.

Šiuo metu išskiriamos keturios didelės tendencijos – daiktų internetas, didieji duomenys, dirbtinis intelektas ir robotika. Šie reiškiniai pakeis mūsų santykį su technologijomis, tad jau dabar svarbu mąstyti, kaip naujojoje realybėje užtikrinsime asmens sugumą ir privatumą.

– Net jei asmeniškai neturėtume per daug nerimauti dėl galimų kibernetinių antpuolių, šis klausimas yra itin svarbus valstybės lygmeniu. Valdžios duomenų bazėse yra saugoma slapta valstybinė informacija, o internetinių svetainių saugumas yra būtinas stabilumui šalyje palaikyti. Ar yra būdų užtikrinti visišką svarbių valstybinių duomenų saugumą?

– Niekada negalime būti visiškai saugūs internete. Valstybių informacija niekada nebuvo 100 proc. apsaugota. Jei tam tikri asmenys užsibrėžė pavogti svarbią informaciją, tai padaryti būdų buvo visada. Ar kalbėtume apie fizinį įsilaužimą į valstybės saugyklas, ar kibernetinį įsilaužimą į duomenų bazes, principas nelabai pakito.

Visgi didžiausia saugumo problema ta, kad duomenys internete yra labai plačiai pasklidę, todėl tampa pažeidžiamesni, o jų saugumui užtikrinti nėra skiriama pakankamai lėšų. Valstybinės institucijos, kurios patiria spaudimą skaitmenizuotis ir vis daugiau duomenų padaryti prieinamais visuomenei internete, turėtų daugiau investuoti į saugumo mechanizmų užtikrinimą. Galų gale, jei valdžia siekia žūtbūt apsaugoti tam tikrą svarbią informaciją, geriausia jos neskelbti skaitmeniniu formatu.

– Išsivysčiusiuose šalyse daug diskutuojama apie internetinio balsavimo galimybę. Jei vienintelis būdas apsaugoti nacionalinės reikšmės duomenis yra nedėti jų į internetą, ar internetinis balsavimas niekada neturėtų tapti realybe?

– Tai labai įdomi problema. Net jei ir pavyktų sukurti technologiją, užtikrinančią visišką internetinio balsavimo nepažeidžiamumą, svarbiu trukdžiu išlieka pasitikėjimas šia sistema. Tam, kad balsavimo sistema veiktų sklandžiai, rinkėjai turi ja visiškai pasitikėti. Jei žmonės nepasitiki sistema, jie nepasitikės ir balsavimo rezultatais bei išrinktais valdžios atstovais. Akivaizdu, kad didžioji dauguma balso teisę turinčių asmenų šių technologijų veikimo nėra perpratę, tad jiems sunku pasitikėti tuo, ko nesupranta.

Jei egzistuoja pasitikėjimo problema, pakenkti labai lengva. Užtenka pasakyti: „Mes įsilaužėme į jūsų balsavimo sistemą“, ir žala jau padaryta. Net nebūtina iš tiesų įsilaužti, pakanka vien paskleisti melagingą informaciją ir žmonės nebepasitikės balsavimo rezultatais, net jei jie teisėti. Skaitmeniniame pasaulyje labai lengva manipuliuoti žmonių pasitikėjimu ir tai yra problema, kurios sprendimo dar niekas nerado.

– Kalbame apie nelegalius kibernetinius nusikaltimus, tokius kaip įsilaužimai, duomenų pasisavinimas ir nutekinimas. Tačiau jūsų veikloje įsilaužimai yra teisėti. Kam naudojama tokia paslauga?

– Mūsų klientai yra privačios ir viešojo sektoriaus institucijos, kurios samdo mus tam, kad patikrintume jų internetinių puslapių, mobiliųjų programėlių, elektroninės įrangos saugumą. Šios paslaugos paklausa yra išties didelė, nes sistemos saugumas yra geriausiai patikrinamas tada, kai į ją bandoma pažvelgti iš įsilaužėlio perspektyvos.

Visgi mes nuolat stengiamės įtikinti klientus, kad ateityje vertėtų dar laisviau žvelgti į bandymus įsilaužti į jų sistemas. Šiuo metu bendrovėse, kurių veikla yra plėtojama internete, gana įprasta praktika tapo „klaidos premijos“ programos. Šios programos skatina programuotojus ieškoti spragų sistemose. Jei esi programuotojas ir tam tikroje sistemoje pastebi saugumo klaidą, ją atskleidęs gausi sistemą valdančios bendrovės premiją.

Skatiname šią praktiką pritaikyti ir viešajame sektoriuje. Dabar, jei nusprendi patikrinti valdžios internetinį puslapį, jame randi saugumo spragą bei praneši apie ją atsakingoms institucijoms, labai tikėtina, kad netrukus sulauksi kvietimo atvykti į teismą. Visgi vis labiau artėdami prie skaitmenizuotos visuomenės vizijos turime suteikti daugiau galimybių žmonėms patiems tikrinti sistemų saugumą. Ši praktika privalo būti atlyginama, o ne baudžiama, nes jos teikiama nauda yra visuomeninė.

– Netrukus daiktų internetas sujungs visus mūsų prietaisus, namų apyvokos reikmenis, automobilius ir kaups dar daugiau asmeninių duomenų. Dėl ko turėtume nerimauti?

– Yra du svarbūs klausimai, susiję su daiktų internetu. Mūsų naudojamų prietaisų skaičius auga nepaliaujamai. Teikdami profesionalaus įsilaužimo paslaugą, pirmiausia žiūrime į „atakos plotą“. Bandydami įsilaužti į sistemą ieškome visų įmanomų prieigos taškų. Kuo sistema kompleksiškesnė, tuo sunkiau ją apsaugoti ir kuo daugiau prieigos taškų sistemoje, tuo didesnė tikimybė, kad viename iš jų rasime saugumo spragą. Daiktų interneto realybėje staiga turime kompiuterius kiekviename prietaise ir jie yra nuolat prijungti prie interneto. Tai sistema su trilijonais ar net daugiau prieigos taškų. Pabandykite įsivaizduoti, kaip apsaugoti tokią sistemą.

Be to, daiktų internete sunku įdiegti atnaujinimus. Jei sistemoje randi spragą, dideliu iššūkiu tampa ją ištaisyti, nes prie daiktų interneto prijungti prietaisai turi skirtingas operacines sistemas, trūksta standartizavimo.

Tad daiktų internetas sukuria milžinišką „atakos plotą“, aprėpiantį visus gyvenimo aspektus. Kibernetiniai nusikaltimai iki šiol buvo susiję su duomenų pasisavinimu ir nutekinimu, įsilaužimu į svetaines ar socialinių tinklų paskyras. Tačiau prijungdami visus prietaisus prie daiktų interneto judame link ateities, kurioje kibernetinės atakos turės daug rimtesnių fizinių padarinių, pavyzdžiui, nuo bėgių nuvažiavusį traukinį ar sutrikdytą didelės gamyklos veiklą. Nepakankamai mąstydami apie elektroninių prietaisų saugumą kuriame sau gana sudėtingą ateitį.

 

C. Maartmannas-Moe

2008 m. Norvegijos mokslo ir technologijų universitete įgijo telematikos, kompiuterinio ir tinklų saugumo bakalauro laipsnį.

Iki 2014 m. dirbo „Ernst&Young“ konsultavimo įmonėje Norvegijoje ir JAV. Buvo Norvegijos informacinio saugumo komandos vadovas. Dirbo su „Fortune 500“ įmonėmis, padėdamas gerinti jų informacinį ir kibernetinį saugumą.

Nuo 2015 m. IT valdymo ir rizikos konsultavimo įmonės „Transcendent Group“ partneris ir IT valdymo ir saugumo grupės vadovas Norvegijoje. Profesionalus įsilaužėlis.

Jūsų komentaras

Daugiau leidinio naujienų