Kibernetička sigurnost, odnosno sigurnost na internetu, iz dana u dan sve je važnija u našim digitalnim životima. Ipak, ljudi još uvijek ne vode dovoljno računa o tom aspektu i vrlo često upadaju u „zamke“ interneta. O greškama koje pravimo kao korisnici, phishing napadima, o ulozi koju imaju developeri aplikacija i web stranica te o ključnim izazovima posebno u svjetlu ekspanzije vještačke inteligencije govori Neven Matas, QA & SecOps Team Director u kompaniji Infinum koja se bavi dizajniranjem i razvojem digitalnih proizvoda.
Šta bi po vama bili najveći "grijesi" odnosno najčešći prekršaji koje prosječni korisnici čine, a vezano uz sigurnost na internetu?
Broj načina na koji se prosječna osoba može izložiti rizicima interneta je veliki, a neke od najopasnijih i najčešćih grešaka koje vidimo su korišćenje slabih lozinki i recikliranje istih lozinki kod autentifikacije na online servisima. Čak i u slučajevima kad su ti osnovni uslovi zadovoljeni, korisnici nedovoljno pribjegavaju korišćenju dvofaktorske autentifikacije koja znatno smanjuje rizik od gubitka pristupa računu.
Sljedeća tema su phishing napadi kod kojih ljudi često ne raspoznaju legitimne mailove i poruke od etabliranih servisa (npr. Google, Facebook) od onih koje šalju maliciozni napadači. U toj je situaciji rizik gubitak pristupa računu ili predavanje osjetljivih podataka, što može uzrokovati i značajne finansijske štete. Čak je i dijeljenje svojih podataka s osobama od povjerenja potencijalno rizičan potez jer nikad ne možemo biti sigurni koliko te osobe paze na sopstvenu online sigurnost, što posljedično može kompromitovati i nas same.
Koliku ulogu, u cijeloj priči o našoj sigurnosti na internetu, igraju developeri aplikacija i web stranica koje koristimo? Vode li oni računa o korisnicima?
Razvojni timovi u svakom slučaju mogu na bar dva velika načina pomoći korisnicima da se uspješnije nose s izazovima sigurnosti na današnjem internetu. Prvi je zahtijevanje da korisnici slijede određene sigurnosne prakse poput kompleksnijih lozinki i više-faktorske autentifikacije. Drugi je kontinuirana edukacija i upozoravanje korisnika da budu pažljiviji kod primanja sumnjivih poruka i predavanja osjetljivih informacija te da traže od korisnika da redovno ažuriraju softver. Naravno, sami razvojni timovi su dužni da implementiraju moderne sigurnosne prakse i alate u svoje proizvode tako da on sam bude manje osjetljiv na napade svih vrsta.
Što zapravo znači baviti se "sigurnošću digitalnih proizvoda"? Koliko je to zahtjevan proces? I koliko je u krajnjem– važan?
Sigurnost digitalnih proizvoda krucijalan je aspekt razvoja svih digitalnih proizvoda, uključujući one koje korisnici najčešće prepoznaju, a to su web i mobilne aplikacije.
Tehničko osoblje treba redovno da radi na edukaciji i osvježavanju korišćenih alata i procesa rada da bi održali korak s onima koji aktivno rade na traženju i iskorišćavanju ranjivosti. To možemo nazvati defenzivnim pristupom sigurnosti. Dodatno, ono što kompanije mogu napraviti je praktikovati tzv. ofenzivnu sigurnost, na primjer naručiti penetracijsko testiranje, gdje stručnjaci za sigurnost simuliraju hakerske napade na proizvod te kompanije kako bi otkrili trenutni rizik po njihov sistem. Kontinuiranim sagledavanjem oba aspekta mogu drastično minimizirati šanse za ozbiljnu štetu od cybernapada.
Baviti se sigurnošću je važnije što je kompanija veća i izloženija, jer time postaje zanimljivija hakerima, a rizik za sve vrste napada veći. Naravno, to znači da je i osiguravanje od napada kompleksnije, stoga je važno kontinuirano se baviti tim pitanjem. Izbjegavanjem pridavanja važnosti sigurnosti softvera može imati reputacijske, finansijske i operativne posljedice po organizaciju koje mogu ozbiljno ugroziti i korisnike i sam biznis.
Koliku ulogu u cijeloj priči igra čovjek i njegovo znanje, a koliko tehnološka rješenja poput alata vještačke inteligencije i slično?
Do sad su social engineering prevare bile pripremane od strane ljudi i za ljude. Nedavni primjeri iz industrije pokazuju da čovjek često i jest najslabija karika, što ukazuje na manjak investiranja u edukaciju zaposlenih i slične proaktivne mjere. Edukacija, naravno, postaje još važnija s razvojem vještačke inteligencije i sposobnostima AI alata da imitiraju stil pisanja, zvuk, a i deep fake video snimke, jer je sve teže razaznati što je legitiman, a što maliciozan sadržaj.
Na primjer, zamislite da dobijete glasovnu poruku prijatelja ili člana porodice koji se s putovanja javlja da je izgubio novčanik i moli vas da mu pošaljete podatke svoje kartice. Što biste napravili?
Nekad je bilo gotovo nezamislivo da neko može generisati realističnu glasovnu snimku kojom se predstavlja kao vama bliska osoba, a zapravo je dio zamke da vas na neki način iskoristi (voice phishing). Danas je za to potreban jedan snimak na kojoj osoba priča te dostupan i relativno jeftin alat za manipulaciju glasa. Mogućnosti su gotovo neograničene, no srećom, isto vrijedi i za načine na koje se možemo zaštititi.
Koliko će zaista vještačka inteligencija postati faktor u kibernetičkoj sigurnosti je nešto što ćemo saznati u godinama koje dolaze, ali s obzirom na njen eksplozivan rast u svim domenama razvoja softvera, ne sumnjamo da će i sigurnost pratiti te trendove.
Šta uopšte neki pojedinci (i kompanije) mogu napraviti ako se nađu na udaru hakera? Koji su koraci koje bi trebalo preduzeti? A što nikako ne bi trebalo da radimo?
Koraci zavise o tome kojoj su vrsti napada izloženi.
Kompanije bi trebalo da imaju unaprijed pripremljene incident response planove koji uključuju procedure i procese za reagovanje na napad. One uključuju višestruke korake poput gašenja određenih sistema, komuniciranje problema zaposlenima i korisnicima, skupljanje dokaza i analizu situacije, kontaktiranje nadležnih institucija, analizu štete i gubitka, povrat podataka i konačno, uklanjanje ranjivosti.
U slučaju phishing napada, bilo bi dobro prijaviti napad organizaciji čiji se identitet koristi u svrhu prevare korisnika kako bi oni mogli intervenisati. Ako su predani neki osjetljivi podaci poput brojeva kartica, što brže kontaktirajte nadležnu finansijsku instituciju.
Šta napraviti kako bismo se uopšte pripremili i izbjegli ili barem ublažili hakerski napad?
U slučaju napada na pojedinca, svakako je prvi korak postaviti snažne i jedinstvene lozinke uz dvofaktorsku autentifikaciju na web servisima i aplikacijama. Nazovimo to osnovnom sigurnosnom higijenom.
Pored toga, potrebno je softver instalirati isključivo iz provjerenih izvora, regularno ga updejtovati te koristiti neku metodu zaključavanja uređaja (kompleksan PIN ili lozinka i biometrijske metode).
Sljedeći korak je oprezno ulaziti u interakciju sa sumnjivim mailovima i porukama, pogotovo ako sadrže dodatke koje niste nužno očekivali. Naravno, to od korisnika traži i određenu odmjerenost u odabiru sadržaja koji će posjećivati i mreža na koje će se spajati.
Ovo su samo osnovne mjere koje će otežati nekome da preuzme vaše račune ili vas na drugi način ošteti. Ponekad ni to nije dovoljno, pa se možemo pripremiti za najgore tako što sve osjetljive podatke imamo backupovane na nekom offline mediju. Što se tiče pristupa računima, korisno je imati postavljen recovery email, broj telefona ili kodove da se pristup lakše povrati.
Šta biste izdvojili kao poseban sigurnosni izazov u budućnosti? Lična sigurnost u digitalnom svijetu, sigurnost digitalnih ličnih podataka ili pak nešto treće? I zašto?
Budući da su uređaji koje koristimo sve češće spojeni na internet, kao i da je ogromna količina naših poslovnih i privatnih podataka i interakcije na sistemima nad kojima nemamo nadzor ili kontrolu, hakerima je lepeza potencijalnih tačaka napada svakog dana sve veća. Vještačka inteligencija je samo još jedan aspekt koji ju dodatno proširuje.
To će tražiti ogromne finansijske investicije na defenzivnoj strani da se krajnjim korisnicima osigura relativno miran san i istovremeno predstavlja najveći izazov u nadolazećim godinama: zadržati fokus na sigurnosti pod navalom novih široko dostupnih tehnologija.
Komentari (0)
POŠALJI KOMENTAR