Pred časom sem v neki tuji publikaciji objavil zanimiv članek o hackerjih kot obliki naročene storitve. V IT svetu poznamo kar nekaj raznih oblik računalniških storitev – Infrastrukturo, Platformo, Program,… kot Storitev (IAAS, PAAS, SAAS,…).
Na pojav hackerjev v obliki naročenih storitev (HAAS – Hacker As A Service) sem opozoril že tudi v enem izmed člankov v SAVUS-u.
Najemanje hackerjev je, predvsem ob eksploziji ransomware napadov, postalo široko ‘priljubljena’ in donosna oblika spletnega kriminala.
Pri hackerjih naročite storitev, oni na dogovorjeni način izvedejo napad na želeni subjekt in zagotovijo želeni rezultat (denar, informacije,…). Za poplačilo svojih storitev običajno poskrbijo sami, ob tem pa ‘uporabnikom’ – vam in napadenim – zagotavljajo 24/7 pomoč.
Hacker kot simptom
Pred kratkim sem pojav analiziral in ovrednotil s precej drugačne perspektive – Hacker kot Simptom. V članku na to temo sem opisal precej nekonvencionalen pogled na hackerje in celoten ekosistem.
Pri raziskovanju (bolj) zdravih rešitev zase in družino sem ugotovil, da se (prevečkrat) slepimo z fokusiranjem na simptome ter hipnim in na žalost kratkotrajnim odpravljanjem teh.
Simptome pogosto vidimo kot krivce za neprijetnosti in bolezni, dejansko pa so ti v glavnem posledice in ne vzroki za težave. Odprava teh večinoma ne rešuje (vsaj celostno in dolgoročno ne) oziroma ne reši osnovnih vzrokov. Tako številne bolezni – ob ‘zdravljenju’ simptomov in neodpravi vzrokov – označujemo kot kronične in zaključimo kot nerešljive.
Ko sem ta pojav v iskanju rešitve (zase in na sebi) zelo podrobno raziskal, lahko zdaj rečem, da ga (malce) bolje razumem. S tem mislim predvsem, da lahko ta ponavljajoči se vzorec, ko se ta pojavi drugje, razmeroma hitro prepoznam.
Večino kompleksnejših težav rešim s sistemskim pogledom in razmišljanjem ter vedno stremim k odkrivanju temeljnih vzrokov in načinov za učinkovitejše rešitve. O tem sem že večkrat pisal, v tujih publikacijah in tu.
Svoj pogled in ugotovitve z veseljem podelim, ampak se moram na tem mestu vrniti na izvorno temo o hackerjih.
Poplava kibernetskih napadov
Sem samostojni svetovalec za informacijsko varnost. Postavljam in svetujem pri sistemih informacijske varnosti, neprekinjenega poslovanja in vodenja kakovosti, ter te tudi presojam za mednarodno certifikacijsko hišo.
Tako kot pri zgoraj omenjenih osebnih raziskavah in izzivih, tudi na teh področjih opažam zelo podobne vzorce, simptome in vse bolj kronične težave: zlonamerne (hackerske) napade na “zdravje sistema”, pred katerimi se vsi bolj ali manj brezupno trudijo obraniti.
Ne glede na vložen trud večini to ne uspeva. Še huje, kibernetski vdori se zdijo neustavljivi. Takoj ko sistem eliminira eno grožnjo, to nadomesti nova.
Te se vedno znova pojavljajo in zagotov(ljen)e varnosti ni. Tudi po vdoru ne.
To pa je s perspektive sistemskih teorij zelo zanimivo.
Vsak (naravni) sistem namreč spodbuja vse, kar podpira njegovo rast in napredek. Vse, kar je nekoristno, potrošno ali škodljivo, pa zelo hitro izluži ali presnovi.
Kje so torej koristi in kaj predstavlja nevarnost za sistem? Hackerji obstajajo že od začetka. Napredujejo, se razvijajo, uspevajo in sobivajo s sistemom. Z (dovolj) razdalje kaže kot, da jih sistem ne želi odpraviti.
Aktualna dogajanja
V nedavnih odmevnih dogodkih ste lahko opazili, da je šlo pri mnogih za večje, močne in stabilne organizacije z dovršenimi sistemi tehničnega varovanja.
Pri mnogih, zanimivo, pogosto pride do kibernetskega vdora kmalu po uvedbi tehničnih varnostnih sistemov. Za to sicer obstajajo povsem logični, sicer z znanstvenimi raziskavami z drugih področij varnosti potrjeni razlogi.
Varnostni (tehnični) sistemi postajajo vse bolj napredni in sofisticirani. Celo umetna inteligenca (ki je na voljo na obeh straneh) igro mačke in miši samo dviga na višji nivo.
Ljudje ob zagotovljeni tehnični varnosti postanejo bolj zaupljivi, površni in nepazljivi.
Hackerji pa na splošno ne želijo oziroma jim ni treba vdirati skozi ‘robustna protivlomna vhodna vrata trdnjave’. Zakaj bi se trudili, če pa je vedno na voljo nešteto nevidnih in lahkih vstopnih točk?
Statistike kažejo letno (v povprečju) porabljena sredstva za uvedbo, nadgradnjo in vzdrževanje tehničnih varnostnih sistemov. Lahko pa ugibate, kolikšna so ta v primerjavi s sredstvi za ‘nadgradnjo’ (izobraževanje in ozaveščanje) veliko bolj tveganega in najpogosteje ciljanega vektorja napadov – ljudi.
Osredotočanje na simptome
Ampak, to še ni vse. Zgoraj omenjen temeljni problem – ‘osredotočanje na simptome’ še vedno ostaja neprepoznan.
Pogosto slišim, kako je ‘hackerjem uspelo izvrtati luknje’ v nek sistem. Te in podobne izjave me še vedno spravljajo v smeh. Vedno se spomnim na dva znana tv reklamna spota.
“…in potem svizec zavije čokolado.”
“Kdo jih je izvrtal? Hackerji?”
Luknje so namreč navrtane že dolgo pred ‘obiskom’ hackerjev.
V tem istem primeru pa leži še en pogosto ponavljajoč vzorec.
Organizacije oziroma predvsem njihovi vodilni – večinoma z zmotnim in nevarnim prepričanjem, da jih bo pridobljen certifikat rešil pred hackerji ali odgovornostjo – še vedno ne vidijo temeljnega vzroka.
Kaj je potem pravi temeljni vzrok?
Z eno besedo – kakovost.
Z dvema – vaš sistem!
Rešitev?
Če se vrnem k navezavi na zdravje, je pri hackerjih podobno kot pri bakterijah: (samo) opravljajo delo, ki jim ga zagotovite vi. Torej so posledica (ne)kakovosti vašega sistema.
Ker izpostavljajo (namerne ali nenamerne) napake, ter s tem krovni sistem družbe silijo v napredek in izboljšave, tako upravičujejo svoj doprinos in obstoj.
Tako je videti s sistemske perspektive.
Če želite zavarovati in optimizirati svoj sistem, vam lahko pri tem pomagam najti primerno rešitev. Na komentarje na članek ali kakšna vprašanja z veseljem odgovorim na spodnjem mail naslovu.
Kot zunanji vodilni presojevalec, svetovalec in arhitekt sistemov upravljanja in vodenja imam pri opazovanju in analiziranju različnih sistemov bogate izkušnje ter odličen vpogled v rešitve, ki delujejo.
Ogromno edinstvenih izkušenj sem pridobil tudi pri vključitvi v vodenje obnove sistema organizacije, ki je v ogromnem kibernetskem vdoru utrpela več kot 40-milijonsko škodo.
Z nabranimi izkušnjami gradim enostaven, skalabilen, vitek in učinkovit sistem upravljanja informacijske varnosti, ki pomaga reševati težave, ki sem jim priča pri presojah.
Borut Kmetič
Poklicno se ukvarjam s celovitim vodenjem informacijske varnosti, od načrtovanja in implementacije sistemov za varovanje informacij do izboljševanja in presojanja skladnosti z ISO standardi.
Kot zunanji svetovalec vam lahko pomagam pri razvoju varnostne strategije, implementaciji in upravljanju sistemov vodenja oziroma optimiziranju poslovnih procesov, ter zagotavljanju skladnosti s predmetno zakonodajo in regulativo.
Osebno veliko časa posvečam raznovrstnim oblikam optimizacije – biohackingu, osebni rasti, raziskovanju novih prebojnih idej in tehnologij, organizacijske kulture, eksponentnih organizacij, sistemskega razmišljanja in drugih naprednih metod za izboljšanje kakovosti življenja.
Borut@SmartAssets.it
Borut@Medium
