Ku-ku, je kdo doma?

Kadarkoli komu uspešno vdrejo v informacijski sistem z njim sočustvujem. In moje globoko sočustvovanje trenutno velja državnemu izpitnemu centru (RIC), ki je bil tarča uspešnega hekerskega napada.

Sam sem bil nekaj let edini informatik ne ravno nepomembnega državnega organa. Ameriško različico takšnega državnega organa me v Washingtonu niso pustili niti slikati. Ko sem privlekel iz torbe fotoaparat, je takoj k meni pristopil varnostnik, ki je stal pred zgradbo, in me prijazno opozoril, da je tudi fotografiranje prepovedano.

V eni osebi sem počel vse. Če je prišel kamion z novimi računalniki, sem pomagal razkladati vročo robo, če se je zataknil papir v tiskalniku, sem na klic letel na mesto dogodka in razdrl vpričo zaposlenih napravo, sam sem odločal o nakupu opreme, urejal spletno stran, administriral strežnike, v prostem času pa še vodil kakšen manjši projekt in bil dežurni psiholog za vse tiste brezštevilne, ki jih je računalnik spravljal ob pamet.

O računalniški varnosti raje nisem niti razmišljal.

Če povem po pravici, sem se počutil kot vojak na straži, ki mu v roke potisnejo zarjavelo šibrovko, ki strelja ali pa tudi ne, oblečejo ga v staro preperelo uniformo, ki smrdi po formaldehidu in ga postavijo pred leseno barako, v kateri so podatki, ki ne smejo priti sovražniku v roke. Na leseni baraki je zarjavela ključavnica, ki se vda ob prvem močnejšem sunku z vrati. Kasarna nima niti žične ograje, kaj šele bodeče žice ali kakšne nadzorne kamere. Teritorij kasarne je označen z belim apnom kot nogometno igrišče in na vhodu v kompleks je napis, da je zadrževanje v okolici nezaželeno, če pa se že boste zadrževali, vas verjetno ne bomo niti opazili.

Sam veš, da obstajajo satelitsko vodene bombe, rakete, ki sledijo terenu na pol metra natančno, specialci, ki so sposobni v popolni bojni opremi preteči 20 km v uri in pol in vidijo v temi bolje kot večina podnevi, vohunska letala, ki iz višine petnajst kilometrov razpoznajo barvo oči in prečitajo vse našitke in medalje na uniformi.

Na začetku, ko te postavijo v takšno pozicijo in se počasi zavedaš problema, ti ni vseeno. Samo čez čas ugotoviš, da to dejansko ni tvoj problem. To je problem tistih, ki so te postavili v tak položaj. Potem ne študiraš več literature o tem, s čem lahko vse sovražnik razpolaga in kje so tvoje nebranjene šibke točke, ampak samo skrbiš zato, da se ubraniš, če slučajno zaupne podatke ukradejo. Pri čemer seveda dobro veš, da če do tega zares pride, si edini možni krivec daleč naokoli, ker si imel eno in edino nalogo. Da varuješ kasarno, čeprav si vmes razkladal kamione, glancal čevlje poveljniku brigade in z zobno ščetko čistil dovozno pot.

Moje mnenje je, da je uspešno izvedenih računalniških vdorov, za katere se v javnosti izve, bistveno manj, kot pa je slabo varovanih informacijskih sistemov. Pa četudi prištejem zraven še tiste vdore, ki ostanejo skrbno varovana skrivnost, jih je še vedno malo.

Prvi razlog za to po moje tiči v dejstvu, da verjetno tudi na javnem parkirišču obstaja nekaj avtomobilov, ki jih lastniki pozabijo zakleniti. Pa ne hodimo po parkirišču in naključno preizkušamo, če kateri ni zaklenjen. Nekateri imajo visoke moralne vrednote, drugi se boje vklopljenih alarmov ki zatulijo, ko se avta samo dotakneš, večina pa ima svoj avto in jim ne pade kaj takega niti na misel. In zaklenjeni avtomobili za spretne tatove tudi niso nek hud problem. Obstajajo naprave, ki lahko posnamejo obnašanje daljinskega zaklepanja in to potem reproducirajo tako, da se avto odpre.

In kljub temu se še vedno ne krade kar vsepovprek.

Drugi razlog pa je ta, da vdiranje v računalniške sisteme ni isto kot če si čez obraz natakneš črne rabljene volnene nogavice stare mame z dvema luknicama za oči, se odpelješ z maminim avtomobilom ponoči na prvo bencinsko črpalko ter zahtevaš od prodajalca dve šteki cigaret in en porno film.

Hekerski vdori zahtevajo znanje, ki ga večina priložnostnih tatičev nima.

Vendar če obdeluješ v informacijskem sistemu občutljive osebne podatke potem si dolžen poskrbeti za njihovo zaščito. Tu neznanje ne more in ne sme biti opravičilo. Če drugega ne, se moraš vsaj zavedati širine problema, kar je pri zagotavljanju računalniške varnosti že prvi ključni korak in poklicati na pomoč ljudi, ki se na te zadeve spoznajo in so profesionalci.

Če nekdo napiše, da je hekerski napad trajal nekaj ur in iz naslovov računalnikov, ki se nahajajo v tujini, je iz povedanega takoj očitno, da ta informacijski sistem ni imel nameščenega domnevam nobenega resnega sistema za detekcijo napada (IDS – intruder detection system). Ti sistemi poznajo prstne odtise klasičnih hekerskih napadov in so sposobni takšen napad hitro detektirati ter blokirati napadeni strežnik. In hitro pomeni v računalništvu sekunde ne ure. Takšen sistem lahko naučiš, da če se uporablja informacijski sistem za izmenjavo podatkov večinoma znotraj običajnega delovnega časa in krajevno omejenega območja je vsaj alarmantno, če prihajajo zahtevki iz tujine in recimo v nedeljo pozno zvečer. Tako alarmantno, da dobi administrator sistema SMS na mobilni telefon, če že drugega ne.

Po mojem mnenju in glede na to, kar sem videl v praksi do sedaj, večina nima zaposlenega ustreznega kadra, ki bi bil sposoben področje informacijske varnosti suvereno obvladovati pa ne glede na to ali ima nameščene microsoftove strežnike ali linuxove strežnike ali kaj tretjega.

Tudi pri nas obstaja nekaj podjetji, ki so se specializirala za varnost računalniških sistemov in imajo ustrezna znanja in izkušnje. Taka podjetja je pametno po moje vključiti že v fazi načrtovanja informacijskega sistema, kjer je brezhibna varnost ena ključnih zahtev in potem ko je informacijski sistem postavljen lahko preizkusijo implementirane rešitve tako, da izvedejo “obremenitveni test”. Enako, kot bi to počeli hekerji, ki se lotijo napada.

Če so moji podatki točni, tudi slovenski Kazenski zakonik obravnava hekerske vdore kot kaznivo dejanje in sicer v 225. členu, ki govori o Neupravičenem vstopu v informacijski sistem in 242. členu, ki obravnava Vdore v informacijski sistem. In že sam neupravičen vstop v informacijski sistem, brez da storilec povzroči kakršnokoli škodo, je kaznivo dejanje, ki se kaznuje z denarno kaznijo. Če pa se zlorabi, spremeni ali uniči podatke, ovira prenos ali delovanje informacijskega sistema pa je zagrožena zaporna kazen do dveh let, ob povzročitvi velike škode pa celo do pet let.

Previdno torej.

Oddajte komentar

Fill in your details below or click an icon to log in:

WordPress.com Logo

Komentirate prijavljeni s svojim WordPress.com računom. Odjava /  Spremeni )

Google photo

Komentirate prijavljeni s svojim Google računom. Odjava /  Spremeni )

Twitter picture

Komentirate prijavljeni s svojim Twitter računom. Odjava /  Spremeni )

Facebook photo

Komentirate prijavljeni s svojim Facebook računom. Odjava /  Spremeni )

Connecting to %s


%d bloggers like this: