Za izbris s spleta sem se odločil, ker ne želim postati žrtev spletnega kriminala, ki so ga dandanes sposobni izpeljati že posamezniki z malo ali celo brez računalniškega znanja. Se pa spletu nisem odpovedal popolnoma. Konec koncev je moje delo, da pred nevarnostmi, ki jih predstavlja prav splet, pomagam zaščititi druge.
Je tak izbris nekaj, o čemer bi morali razmisliti vsi?Med zlata pravila kibernetske varnosti spada tudi možnost, da se izbrišemo s spleta in s tem zmanjšamo obseg tveganj, ki se jim v virtualnem svetu izpostavljamo. Z izbrisom zavarujemo svoje realno življenje in bolj realno tudi živimo. A za zavarovanje zasebnosti na spletu izbris ni nujen, saj za to obstajajo nastavitve, ki jih ozaveščeni uporabniki poznajo. Sam sem se odločil za bolj skrajen ukrep, a bomo videli, kako dolgo lahko zdržim.
Razumemo, da so slavni, vplivni in premožni lahko tarče napadov, a zakaj bi se s spletno varnostjo obremenjevali preostali? Zakaj bi kdo sploh želel naše podatke?Ni več vprašanje, zakaj bi kdo želel dobiti vaše podatke, ker jih načeloma že ima. Vprašanje je samo, kdaj jih bo izkoristil in unovčil proti vam. Velika količina podatkov, logično kombiniranih med seboj in analiziranih z določeno metodologijo, pa nam lahko služi tudi kot pomembna poslovna informacija. Poglejmo primer. Neki gostinec je želel najeti lokal, pred tem pa seveda imeti tudi informacijo, ali bo to zanj finančno vzdržno. V lokalu, ki ga je želel najeti, je postavil lastno wifi točko in beležil, kolikšen je tam pretok ljudi. Na prvi pogled je to čisto nedolžna poteza. Obiskovalci lokala so bili veseli, ker je bil tam brezžični internet, bodoči najemnik pa je s tem prišel do bistvene informacije za svoj posel.
Podobno je pri nagradnih igrah na družbenih omrežjih, v katerih nas pozivajo, da se označimo na fotografijah. So takšne prakse neškodljive ali bi morali biti pri tem previdni?Najrazličnejše marketinške kampanje so za uporabnike dobrodošle, saj jim pomagajo priti do cenejših izdelkov in storitev. Pri tem ima vsak uporabnik tudi možnost nastaviti, kaj se sme početi z njegovimi podatki. Vseeno pa nagradne igre na družbenih omrežjih niso tako nedolžne. Kljub nedavno uvedenemu GDPR, ki lahko zagotavlja višjo raven varovanja osebnih podatkov, je treba biti previden in preveriti, kaj takšno sodelovanje povleče za seboj. Obvezno je prebrati drobni tisk, saj je v njem lahko zapisano marsikaj, v kar morda nikoli ne bi privolili, če bi ga res prebrali. Med drugim je lahko zapisano tudi to, da se strinjamo z uporabo svojih podatkov v reklamne in promocijske namene ali celo, da jih organizator nagradne igre s tem namenom posreduje drugim.
Kaj so pogoste napake, ki jih počnemo v zvezi s spletno in podatkovno varnostjo ter jih lahko preprečimo?Ljudje smo naredili največjo napako, ko smo v navideznem svetu prenehali uporabljati vzdevke. Namesto tega se danes povsod po spletu izpostavljamo z imenom in priimkom, kar spletnim kriminalcem olajša delo pri morebitnem napadu.
Prav tako imajo uporabniki domačih računalnikov, pogosto pa tudi ponekod v podjetjih, preveč administratorskih pravic. Tako lahko nehote, nevede ali celo pomotoma namestijo zlonamerno programsko opremo in spletnim kriminalcem omogočijo dostop do interneta prek domačih računalnikov. Vsem tistim, ki računalništva niso vešči, svetujem, naj raje uporabljajo omejen uporabniški račun in pogosto menjavajo geslo za brezžični internet. Poleg tega je priporočljivo za gesla poleg črk uporabljati še kakšen znak, številko, tudi presledek.
Dodatna težava je tudi, da starši otrokom na računalnike nameščajo najrazličnejše računalniške igrice. S tem načeloma ni nič narobe, ampak kot starši bi morali biti pozorni, kaj otroci počnejo, ko so na spletu. V virtualnem svetu so otroci in njihovi računalniki izpostavljeni tujcem, pa čeprav morda igrajo samo tetris. Staršem priporočam, da si na računalnikih in mobilnih telefonih, ki jih uporabljajo otroci, namestijo starševske nastavitve. V večini primerov je takšna programska oprema brezplačna, treba jo je le nastaviti.
Kaj so največje napake, ki jih počnejo podjetja?Najpogosteje do napak pride v podjetjih, ki ne vlagajo v znanje in razvoj zaposlenih. Ni slabšega sistema od tistega, ki je slabo načrtovan in administriran. IT-strokovnjaki zaradi specifike svojega dela v podjetju poleg tega pogosto potrebujejo tudi tolmača, ki zna sodelavcem in vodstvu razložiti, zakaj je smiselno in potrebno investirati v določen IT-projekt. Prej se niti ne zavedajo tveganj, ki so jim izpostavljeni.
V nekaterih srednje velikih podjetjih je pogosta tudi praksa, da vodstveni kader želi imeti največji nabor pravic v sistemu. To je napaka, saj te pravice potem najpogosteje upravljajo tisti, ki za to niso strokovno usposobljeni. Največja napaka, ki jo sicer zaznavamo pri podjetjih, pa so nastavitvene napake, ki pričajo o nepoznavanju in neupoštevanju najboljših varnostnih praks. Nekatera podjetja tako še vedno uporabljajo domenski skrbnik za vsa dnevna opravila v sistemu. Pri tem se ne zavedajo tveganja oziroma ranljivosti. Lahko vam povem, da je mogoče že z malce več računalniškega znanja v štirih do šestih urah priti do zelo občutljivih podatkov nekega podjetja.
Na kakšne spletne prevare ste že naleteli?Poznam žrtev socialnega inženiringa. Na spletnem portalu za povezovanje je spoznala ljubezen svojega življenja. Že po prvem srečanju z izbrancem je povedala, da se bo poročila, saj da je ta moški popoln. Seveda smo se vsi veselili zanjo. Nekega dne ji je bodoči mož sporočil, da ji je po pošti poslal poročni prstan in več sto tisoč ameriških dolarjev gotovine, pošiljka pa da je obtičala na carini, zato mora za prevzem na določen račun nakazati davek, kar je takrat zneslo skoraj sto tisoč ameriških dolarjev. Ker je bila zaljubljena do ušes, opozoril prijateljev, da gre za potegavščino, ni poslušala. Dvignila je vse prihranke, si denar sposodila še od prijateljev in celoten znesek položila na določen račun. Seveda škatle ni nikoli videla, domnevnega bodočega moža pa tudi ne. Dogodivščina ji je popolnoma uničila življenje, saj je izgubila službo in hudo zbolela.
Drugi primer je podjetje, ki je računalniško infrastrukturo delno preselilo v oblak, da bi pokazalo svojo naprednost, nihče pa ni pomislil na tveganja, ki so se jim s tem izpostavili, pa ne zaradi oblaka, temveč zaradi slabo nastavljenega protokola za poštno komunikacijo SMTP (preprost protokol za prenos elektronske pošte). Če ta ni nastavljen pravilno, se vede, kot da bi imeli nabiralnik brez ključavnice, povrhu pa še zmedenega poštarja, kar spletnim kriminalcem ponuja odlično priložnost za prestrezanje e-poštne komunikacije. Tako je eden izmed zaposlenih prejel e-sporočilo od sicer znanega in stalnega dobavitelja, da je njihovo podjetje preselilo finančne storitve v drugo državo in da bo v kratkem poslal nov TRR-račun, na katerega naj v prihodnje izvedejo plačila. V trenutku, ko so mu odgovorili, je izkoriščevalec že pridobil prejemnikovo zaupanje in poslal novi TRR, ki so ga nato vnesli v poslovni program, ki ni imel dodatne varovalke. Plačila lažnemu dobavitelju so bila izvedena, podjetje pa je utrpelo škodo v višini več kot 100.000 evrov. Sanacija je znašala približno 25.000 evrov, če pa bi pravočasno investirali v ustrezno varovanje sistema, bi jih to stalo okoli 20.000 evrov.
V zadnjih letih se močno promovira pametne domove. Kako varne so te naprave, tudi tiste največjih in najbolj zvenečih proizvajalcev?Po podatkih raziskovalnega podjetja Gartner je bilo lani v uporabi 8,4 milijarde »stvari«, kar je 31 odstotkov več kot leta 2016. Po napovedih bo leta 2050 povezanih naprav že 50 milijard, kar je približno petkrat več od takrat predvidenega števila prebivalcev na Zemlji. Virtualni kriminalci o tem že razmišljajo in se že pripravljajo.
Spomnimo, na področju interneta stvari se je lani zgodila največja zloraba vseh časov, ko je zlonamerna programska oprema v zombie omrežju oziroma botnetu okužila več milijonov naprav in povzročila neprestan in nezavarovan prenos podatkov po internetu s hitrostjo kar 1,2 terabita na sekundo. Zaradi tega je več mednarodnih internetnih storitev, kot na primer github.com, utrpelo izpad delovanja zaradi prezasedenosti omrežja in s tem tudi milijonske izgube.
Dokler živite in uporabljate tehnologijo na zavarovanem območju, ste na varnem. Zanesljivi proizvajalci vam bodo podali osnovna navodila, kako varno uporabljati te naprave. Nikakor in nikoli pa ne morejo odgovarjati za slabe prakse. Treba je biti previden in se dobro podučiti o tem, kaj pametne naprave že same po sebi ponudijo kot možne rešitve.
