Nekdanji operativec NSA: Ne krivite zgolj uporabnika, zaščitite sistem

Ali lahko ena neumna človeška napaka uniči celotno podjetje? Kolikokrat ste že slišali stavek: »Ljudje preprosto ne razmišljajo. Kliknili bodo na vse.« V svetu kibernetske varnosti je to skorajda postalo pregovor – ali tihi izgovor vsakič, ko nekdo odpre sumljivo priponko, klikne na lažno povezavo ali nehote deli zaupne informacije. Toda kaj če to ni zgolj težava uporabnika, temveč simptom slabo zasnovanih sistemov?

Ira Winkler, eden najuglednejših strokovnjakov za informacijsko varnost na svetu, trdi, da organizacije prepogosto s prstom kažejo na človeške napake, premalo pa se sprašujejo, kako je sistem sploh dovolil, da ena sama napaka privede do ogroženosti celotnega sistema. Njegov pristop temelji na izkušnjah iz obrambnih in obveščevalnih sistemov, kjer lahko »napaka« pomeni človeške žrtve – in kjer je zato vse podrejeno preprečevanju ter ublažitvi škode. Zato je njegovo sporočilo jasno: »You Can Stop Stupid« – kar je tudi naslov njegovega predavanja na prihajajoči konferenci Span Cyber Security Arena, ki bo med 19. in 21. majem v Opatiji.

Majhne napake, veliki tveganji

»Ko me vprašajo, ali lahko ena neumna človeška napaka uniči podjetje, odgovorim pritrdilno – vendar ob tem ne mislim, da ima lahko ta ena napaka sama po sebi tolikšno moč. Na primer, če ima uporabnik slabo geslo, to ne bi smelo biti dovolj, da sesuje celotno podjetje. Če sistem ni dovolj odporen in nima ustreznih varnostnih mehanizmov, pa lahko to geslo sproži verižno reakcijo, ki vodi v resne težave,« pojasnjuje Winkler in kot primer navaja kibernetski napad na Colonial Pipeline – tam geslo samo po sebi ni sesulo podjetja, a ker ni bilo večstopenjske avtentikacije, ga je napadalec razkril.

»Napadalcu se je uspelo prijaviti kot zakoniti zaposleni, zaradi česar je imel dovolj prostora, da se je postopno premikal po celotni infrastrukturi, nameščal zlonamerno programsko opremo na ključna mesta, vse do točke, ko se je Colonial Pipeline odločil, da je bolje, da ustavijo celoten sistem, kot da tvegajo, da napadalec prevzame nadzor nad omrežjem,« pojasnjuje Winkler. Zaključuje, da je vsekakor mogoče, da ena napaka povzroči kaos – vendar se to z dobrimi zaščitnimi mehanizmi lahko prepreči.

»Tu mislim na večstopenjsko avtentikacijo, slojevito obrambo, omejevanje uporabniških pravic in druge dobre varnostne prakse,« sklene Winkler, ki je v svetu IT znan tudi kot sodobni James Bond, saj je kot nekdanji operativec NSA izvajal kompleksne simulacije vohunjenja z namenom preizkušanja odpornosti organizacij. Danes kot vodja varnosti v podjetju CYE Security ta znanja uporablja za pomoč korporacijam po vsem svetu pri načrtovanju odpornejših sistemov. Bil je tudi glavni varnostni arhitekt v Walmartu, kjer je vodil varnostno strategijo ene največjih podatkovnih mrež na svetu.

Varnostno inženirstvo brez krivde

Winklerjev znani moto »You Can Stop Stupid« je tudi naslov njegove knjige, v kateri opisuje konkreten pristop, temelječ na načelih t. i. vedenjskega varnostnega inženirstva – discipline, ki združuje psihologijo, dizajn in varnost. Ključna ideja je, da varnost ne temelji zgolj na sposobnosti uporabnika, da »naredi pravo stvar«, temveč na tem, da sistem postavi meje in ovire, ki preprečujejo eskalacijo napak.

Eden izmed njegovih najbolj znanih konceptov je t. i. »veriga varnostnih napak« (Security Failure Chain) – niz točk, na katerih bi moral (in lahko) sistem prekiniti pot do škode. To pomeni večslojno zaščito, pravočasne kontrole, avtomatizirano zaznavanje sumljivih aktivnosti in sisteme, ki »odpustijo« napake, namesto da kaznujejo uporabnike zanje.

Winklerjevo predavanje prihaja v pravem trenutku, ko Hrvaška in regija pospešeno digitalizirata svoje družbe, varnostna infrastruktura pa pogosto ne sledi temu tempu. Številni napadi na institucije, izobraževalne ustanove in podjetja v zadnjem letu kažejo, da ni vprašanje, ali bo prišlo do napada, temveč kdaj – in kako pripravljen bo sistem. Namesto paničnih odzivov po incidentih ponuja Winkler proaktiven okvir, ki pomaga organizacijam vseh velikosti najprej razumeti tveganja, nato pa jih zmanjšati z boljšim dizajnom, usposabljanjem in tehnologijo.

Če menite, da že veste vse o kibernetski varnosti – Winklerjevo predavanje vas lahko prepriča nasprotno. Ta svetovno priznani strokovnjak ne prihaja z alarmantnimi statistikami ali z zavajajočimi obljubami o čudežnih rešitvah, temveč s tistim, kar je še pomembnejše – z dolgoletnimi izkušnjami in sistematičnim pristopom, ki deluje kljub človeškim napakam. Ali pa ravno zaradi njih. Brez obtoževanja. Brez iluzij. Zato si pravočasno zagotovite vstopnico in prisluhnite sodobnemu »Jamesu Bondu«.