Bitka za zasebnost je verjetno že izgubljena

Specialist za informacijsko varnost in spletni kriminal David Modic o stanju na tem področju pri nas in v svetu.
Fotografija: David Modic: Poznam profesorja, ki ima vedno zelo varna gesla, ampak da ga izveš, je treba samo pregledati samolepilne listke po monitorjih. FOTO: Jure Eržen
Odpri galerijo
David Modic: Poznam profesorja, ki ima vedno zelo varna gesla, ampak da ga izveš, je treba samo pregledati samolepilne listke po monitorjih. FOTO: Jure Eržen

Dr. David Modic je raziskovalec na Fakulteti za računalništvo in informatiko Univerze v Ljubljani. Poleg tega pa še član King's Collegea iz Cambridgea, donedavna tudi gostujoči akademik na Inštitutu za kriminologijo v Cambridgeu in nekdanji posebni svetovalec tamkajšnjega odzivnega centra za kibernetsko varnost CamCERT. S svojim znanjem glede informacijske varnosti in spletnega kriminala svetuje najrazličnejšim vladam in podjetjem po vsem svetu.
 

Zadnja leta mediji pokajo od poročil o najrazličnejših spletnih prevarah, ki naivneže na koncu puščajo z dolgim nosom. Včasih ostanejo samo brez osebnih podatkov, včasih pa jih to udari tudi po denarnici. Sta pohlep in naivnost res tako močna, da kljub vsem svarilom ljudje še vedno padejo na finto?


Če se osredotočim samo na osebne podatke, ti imajo nominalno zelo veliko vrednost, v praksi pa vidimo, da nimajo nobene. Naj pojasnim: če vprašaš posameznika ali je njegova zasebnost pomembna, bo odgovor nesporno da. Realno pa je s tem takole; ko ljudje nakupujejo po spletu in dobijo vprašanje ali bi za 5 % popusta dovolili uporabo svojih osebnih podatkov (elektronska pošta, naslov…), bo odgovor večinoma prav tako da. Ko te stvari preračunamo, je ocenjena vrednost zasebnega podatka po svetu okoli 20 dolarjev. Ta bitka za zasebnost je po mojem mnenju že izgubljena.


Mislite, da ljudi ne bo izučilo, če se njim ali njihovim bližnjim primeri denimo kraja identitete z vsemi posledicami?


Sleherniku je načeloma vseeno za te stvari, dokler se mu nekaj ne zgodi. Zato so vse kampanje ozaveščanja zaman, ker se ljudje začno za to zanimati, šele ko so resno osebno prizadeti.


So res za vse prevare krivi Rusi, Kitajci in Severni Korejci? Je sledljivost teh zadev toliko dodelana, da to zagotovo vemo?


No, tukaj so še Nigerijci (smeh). Resno, s kolegi, ki so preiskovali temne forume sem se nedavno pogovarjal o tem, da je svet razdeljen. Tako so Rusi specialisti za neželeno pošto in pranje denarja, Severni Korejci obvladajo napade na infrastrukturo, Nigerijci so dobri v t. i. prevarah vnaprejšnjega plačila. Načeloma zelo dobro vemo, da so za določene tipe prevar specializirane določene lokacije po svetu.

David Modic: Vse kampanje ozaveščanja so zaman, saj se ljudje začno za to zanimati, šele ko so resno osebno prizadeti. FOTO: Jure Eržen
David Modic: Vse kampanje ozaveščanja so zaman, saj se ljudje začno za to zanimati, šele ko so resno osebno prizadeti. FOTO: Jure Eržen


Je internet torej postal nekakšno maščevalno orodje zatiranih, manj razvitih nasproti bogatim?


Morda. Ampak tudi hekerji, ki so pomagali izvoliti Trumpa, so verjeli, da izboljšujejo svet. Tudi teroristi načeloma verjamejo, da je njihov boj edini način maščevanja gnilemu zahodu. Oboji s pridom uporabljajo internet.


Ko govorimo o varnosti, kateri dejavnik je odločilnejši, strojna in programska opremljenost sistema ali ozaveščenost uporabnika?


Na Cambridgeu sem imel dostop do dnevnikov o poskusih vdorov. Univerza ima mesečno okoli 200.000 poskusov vdorov, pri čemer jih je uspešnih okoli 1500, reciva, da so uspešni tisti, pri katerih pride do bodisi izgube premoženja, podatkov ali pa intelektualne lastnine. Od teh so praktično vsi - 99 odstotno - posledica izrabe človeških virov. In ko se o tem pogovarjam s predstavniki industrije, mi običajno rečejo: A ti potem praviš, da mi sploh ne potrebujemo požarnih pregrad in drugih ukrepov? Ne, jim rečem, če tega ne bi imeli, bi bilo mesečno uspešnih primerov 200.000. Zato se je po mojem ključno osredotočati na človeške dejavnike. Ne zato, ker mehanski niso pomembni, ampak zato, ker so mehanski že kar dobri. Ljudje smo trenutno varnostni problem številka ena. Na FRI se zato zdaj vedno bolj usmerjamo v to, da bi izobrazili kader, ki bo o varnosti vedel nekaj več in bo znal delati s človeškimi viri. S tem resno začenjamo in se na nek način odzivamo na trenutno situacijo.


Ampak saj ko človek pride v novo službo, šolo, kjer bo delal omreženo, mu verjetno najprej razložijo, kakšne so tam varnostne politike? Zakaj se to potem razvodeni?


Pred leti sem bil na neki računalniški konferenci, v dvorani je bilo čez 200 ljudi, večinoma vodilni kadri v podjetjih. Med predavanjem sem publiko pozval, naj dvignejo roko tisti, ki poznajo varnostno politiko svojega podjetja. Torej kako oblikovati geslo, njegovo kompleksnost, pa denimo koga obveščati, če pride do zlorab … Roke je dvignilo okoli 20 ljudi, kaka desetina. Nato sem jim rekel, zdaj pa spustite roko vsi tisti, ki ste pisali varnostno politiko v vašem podjetju. Ostal je samo en posameznik. Toliko ljudje dejansko vedo o varnostnih politikah. V resnici zaposlenim tega nikoli ne razložijo. Pričakuje se, da bo to vate zlezlo sčasoma, z nekakšno osmozo.

FOTO: Jure Eržen
FOTO: Jure Eržen


Ko sva ravno pri tem, kaj pa geslo naredi dobro? Je to kompleksnost, pa da ne vsebuje besed iz slovarjev?


Zadnje čase je politika glede tega v veliko organizacijah napačna. Najbolj pomembna stvar je dolžina gesla. Če večamo kompleksnost, z nekimi nelogičnimi zaporedji znakov, postane problem to, da si jih je težko zapomniti in si jih potem ljudje pač nekam zapišejo. Poznam profesorja, ki ima vedno zelo varna gesla, ampak vsakič, ko si ga spremeni, se je treba samo sprehoditi po oddelku, in pregledati samolepilne listke po monitorjih. Ker si geslo vedno zapiše nanje. Skratka, poleg dolžine vsaj 12 znakov, raje več, naj geslo vsebuje frazo, ki naj ne bo splošna, še najbolje je združiti tri naključne besede, ki nam osebno nekaj pomenijo. Pa vseeno odsvetujem, da je to vaše ime, ime otroka in ime psa.

Da pa si gesla lažje zapomnimo je morda uporabno tudi to, da imamo gesla razdeljena na nivoje. Prvi nivo predstavlja geslo za stvari, ki niso kritične in lahko uporabljamo enako geslo za več stvari. Če si član foruma za ribištvo, kjer zgolj sodeluješ v razpravah, potem ne potrebuješ najvišje stopnje varnosti. Naslednji nivo so stvari, ki so bolj občutljive narave, recimo kaki neadministratorski uporabniški računi, zadnji nivo pa naj ima res unikatna gesla za kritične zadeve. Kot je dostop do banke, strežnikov ipd.


Zadnje leto se v tujini ukvarjajo s fenomenom družabnih omrežij. Njihovim vplivom na politiko in na pomembne odločitve nasploh. Mark Zuckerberg verjetno zadnje čase slabo spi, potem ko ga želi zaslišati kar nekaj pomembnih parlamentov po svetu?


Dvomim, da gre za slab spanec, človek je bogat neodvisno od vsega tega dogajanja. Poleg tega resno dvomim, da bo Facebook v bližnji prihodnosti propadel.


Kaj pa afera Cambridge Analytica, zaradi katere vodstvo Facebooka precej boli glava? Sprašujem, ker prihajate prav iz institucije, ki je z afero domnevno povezana?


Uradno stališče univerze je, da z afero nimajo nobene zveze. So pa nastale zanjo kar konkretne posledice. Pred kratkim je bilo objavljeno poročilo britanskega informacijskega pooblaščenca. Dobili so visoko kazen in stalni nadzor za naprej.

David Modic: Ljudje svojo osebne podatke na spletu razkrijejo za pet odstotkov popusta. FOTO: Jure Eržen
David Modic: Ljudje svojo osebne podatke na spletu razkrijejo za pet odstotkov popusta. FOTO: Jure Eržen


Pa obstaja povezava med univerzo in afero?


Preiskave so pokazale, da obstaja. Aleksandr Kogan, ki je ustanovil Global Science Research, torej podjetje, ki je Cambridge Analytici prodalo podatke uporabnikov Facebooka, je na univerzi zaposlen. GSR ima tam sedež, infrastruktura univerze se je denimo uporabljala za pridobivanje podatkov. Vse to nakazuje, da so do vratu vpleteni. No, univerza se je dolgo zagovarjala, da je Kogan njihovo etično komisijo zaprosil, ali sme operirati s temi podatki in komisija je to zavrnila. On pa je potem to vseeno napravil.


Na nek način torej drži, da niso vpleteni?


Ne. Univerza je po GDPR zavezana in odgovorna, da skrbi za varovanje podatkov zaupne narave in ti v njenem sistemu niso bili pravilno zavarovani, dostop ni bil pravilno omejen in beležen. Ni težava v tem, da je Kogan te podatke prodal za milijon funtov, ker univerza načeloma dopušča, da trguješ s svojim znanjem. Problem je, da je zlorabil institucijo, oni pa na to niso pravilno odreagirali, še več: to so poskušali precej časa prikrivati.


Ali imate vi osebno prelepljeno kamero na svojem prenosniku? Torej, ali pa zaupate svojim varnostnim ukrepom.


Nimam. Prvič, gesla imam varna, nimam jih nikjer zapisanih. Pa tudi nič takega ne počnem, sploh pa bi mi bilo za kaj takega vseeno. Se pa to zadnje čase res veliko pojavlja – elektronska pošta, kjer vam nekdo grozi, da vas je posnel v intimnem trenutku in če mu ne plačate, bo video posnetek poslal vašim prijateljem, sodelavcem, nadrejenim... Sorodniki, sosedje, celo kolegi v službi, vsi me sprašujejo glede tega. So pa tile prevaranti po mojem mnenju precej leni. Njihova sporočila imajo slabo predpripravo. Če bi imeli res kaj v rokah, bi mi verjetno lahko pripeli pet sekundni odlomek iz tistega videa. Še vedno bi mi bilo vseeno, ampak bili bi pa bolj prepričljivi in naredili bi vtis, da resno mislijo.

Preberite še:

Komentarji: