Bivši NSA operativac: Ne krivite samo korisnika, zaštitite sistem

Može li jedna glupa ljudska greška srušiti celu kompaniju? Koliko ste samo puta čuli rečenicu: „Ljudi jednostavno ne razmišljaju. Kliknuće na sve.“ U svetu sajber sigurnosti, to je postala gotovo poslovica – tihi izgovor svaki put kad neko otvori sumnjivi prilog, klikne na lažni link ili slučajno podeli poverljive informacije. Međutim, šta ako to nije samo problem korisnika već simptom loše dizajniranih sistema? Ira Vinkler, jedan od najuglednijih svetskih stručnjaka za informacijsku sigurnost, tvrdi da organizacije prečesto upiru prstom u ljudsku grešku, a premalo se pitaju kako je sistem dopustio da greška jednog čoveka dovede do kompromitovanja celog sistema. Njegov pristup se temelji na iskustvu iz odbrambenih i obaveštajnih sistema gde „greška“ može značiti ljudske žrtve – i gde je baš zato sve podređeno prevenciji i ublažavanju štete. I zato je njegova poruka jasna: „You Can Stop Stupid“, a to je ujedno i naziv njegovog predavanja na predstojećoj konferenciji Span Cyber Security Arena koja će se održati od 19. do 21. maja u Opatiji. 

Male greške, veliki rizici 

„Kad me pitaju može li jedna glupa ljudska greška srušiti celu kompaniju, kažem da da, ali pritom ne mislim da bi baš ta jedna greška sama po sebi trebalo da ima toliku snagu. Na primer, ako korisnik ima lošu lozinku, to samo po sebi ne bi smelo biti dovoljno da sruši celu kompaniju. Međutim, ako sistem nije dovoljno otporan i nema dobre zaštitne mehanizme, ta loša lozinka može pokrenuti lančanu reakciju i dovesti do ozbiljnih problema“, objašnjava Vinkler navodeći kao primer kibernetički napad na kolonijalni gasovod (Colonial Pipeline) gde lozinka sama po sebi nije srušila celu kompaniju, ali je neko uspeo doći do te lozinke jer nije bilo višestruke autentifikacije. 

„Napadač je uspeo da se prijavi kao legitimni zaposleni zbog čega je imao dovoljno prostora da se polako probija kroz celu infrastrukturu, postavljajući malver na ključna mesta sve do tačke kad je Colonial Pipeline odlučio da im je bolje ugasiti celi sistem, nego pokušati zaustaviti napad i rizikovati da napadač preuzme kontrolu nad mrežom“, pojašnjava Vinkler te zaključuje kako je svakako moguće da jedna greška izazove haos, ali i da se uz dobre zaštitne mehanizme to može sprečiti. 

„Tu mislim na višestruku autentifikaciju, slojevitu odbranu, ograničavanje korisničkih prava i slične sigurnosne prakse“, zaključuje Vinkler koji je u IT svetu poznat i kao moderni Džejms Bond jer je kao bivši operativac Nacionalne bezbednosne agencije (NSA) SAD, sprovodio kompleksne simulacije špijunaže s ciljem testiranja otpornosti organizacija. Danas kao voditelj sigurnosti u kompaniji CYE Security, primenjuje ta znanja kako bi korporacijama širom sveta pomogao u dizajnu otpornijih sistema. Bio je i glavni sigurnosni arhitekta Volmarta, gde je vodio strategiju zaštite za jednu od najvećih mreža podataka na svetu. 

Sigurnosni inženjering bez krivice 

Vinklerov slavni moto „You Can Stop Stupid“ pretočen je i u istoimenu knjigu u kojoj on opisuje konkretan pristup koji se temelji na principima iz takozvanog behavioral security engineeringa – discipline koja kombinuje psihologiju, dizajn i sigurnost. Ključna je ideja da se sigurnost ne oslanja isključivo na korisnikovu sposobnost da „učini pravu stvar“, već na to da sistem postavi granice i barijere koje sprečavaju eskalaciju grešaka. 

Jedan od Vinklerovih najpoznatijih koncepata je tzv. „Security Failure Chain“, odnosno niz tačaka na kojima sistem može (i treba) prekinuti put prema šteti. To znači višestruke slojeve zaštite, pravovremene kontrole, automatizovano prepoznavanje sumnjivih radnji i sisteme koji „opraštaju“ greške, a ne kažnjavaju korisnike za njih. 

Vinklerovo predavanje dolazi u pravom trenutku kada Hrvatska, ali i regija ubrzavaju svoju digitalnu transformaciju, a sigurnosna infrastruktura često ne prati taj tempo. Brojni napadi na institucije, obrazovne ustanove i poslovne subjekte u poslednjih godinu dana pokazuju da nije pitanje hoće li doći do napada, već kada – i koliko će sistem biti spreman na njih. Umesto panične reakcije nakon incidenta, nudi se proaktivni okvir koji pomaže organizacijama svih veličina da prvo razumeju rizike, a zatim i da ih smanje kroz bolji dizajn, obuku i tehnologiju. 

Ako mislite da već znate sve o sajber bezbednosti – Vinklerovo predavanje vas može razuveriti. Ovaj svetski priznati stručnjak ne dolazi s alarmantnim statistikama niti prodajom magičnih rešenja, već s nečim još važnijim – godinama iskustva i sistematskim pristupom koji funkcioniše uprkos korisničkim greškama. Ili baš zbog njih. Bez optuživanja. Bez iluzija. Zato nabavite svoju kotizaciju na vreme i poslušajte predavanje modernog Džejms Bonda.