Neprebojna varnost v kibernetskem svetu so sanje

Trend naraščanja kibernetskega kriminala lahko obrnemo le z izobraževanjem in ozaveščanjem uporabnikov, je prepričan Arne Pache, višji podpredsednik za izdelke in storitve v družbi Mastercard.

Potrošnike in podjetja danes vse bolj skrbi varnost njihovega digitalnega premoženja. Ali neprebojna varnost v digitalnem svetu sploh obstaja?

Bom popolnoma iskren: neprebojna varnost v kibernetskem svetu so sanje. Sanje zato, ker podjetja nimajo dovolj varnostnih strokovnjakov in drugih virov za absolutno obrambo. Skrb za varnost je nekakšno iskanje ravnotežja med tveganji in naložbami v varnostne rešitve. Vseeno pa to ni divji zahod. Kibernetski kriminal je danes zelo organiziran, od prejšnjega stoletja se je močno spremenil. Napadalci imajo dostop do res naprednih tehnologij, zato se je toliko težje braniti. »Bojišče« se je tudi zelo spremenilo. Za vse nas, ki skrbimo za obrambo, je najbolj pomembno, da smo korak pred napadalci. Ti pa so aktivni noč in dan in utrudijo tudi najboljša podjetja in organizacije.

Kaj ali kdo pa se lahko približa absolutni varnosti?

Velika podjetja z ogromnimi proračuni za informacijsko in kibernetsko varnost. V Mastercardu po svetu recimo obdelamo okoli 140 bilijonov transakcij na leto. Vsaka od njih je varovana in varna, pa vseeno sprocesirana v delčku sekunde. Na to smo zelo ponosni. A to od nas zahteva večslojni pristop k varnosti. Vse, kar zgradimo na področju plačil, je zelo varno – že od same zasnove naprej. Napadalec lahko pride čez prvo oviro, toda ovir in varnostnih ukrepov je veliko več. Ena ga bo že zaustavila. Je pa tak pristop za povprečno podjetje močno predrag in neuresničljiv.

Zakaj?

Že zaradi samega obsega varnostnih rešitev in njihove integracije. Naše omrežje, ki ga za plačevanje uporablja ves svet, stavi na večslojni varnostni pristop. Je kot čebula, ima več slojev varnostnih mehanizmov. Poleg tega za varnost skrbi »nešteto« varnostnih strokovnjakov, ki si jih povprečno podjetje preprosto ne more privoščiti. Mi smo v varnostne rešitve in infrastrukturo vložili 7 milijard ameriških dolarjev, obenem pa prispevali k zagonu več kot 20 zagonskih podjetij, ki se ukvarjajo s kibernetsko varnostjo.

Kaj pa tako opevana umetna inteligenca, vam ta pomaga pri obrambi?

Vsekakor. Umetna inteligenca je odlično orodje za odkrivanje in analizo anomalij, saj spremlja vzorce obnašanja in nam tudi napove možnost napada. Naša prednost je še to, da vse analize delamo na globalnih podatkih. Na malih trgih se veliko napadov zgodi pod radarjem, saj tam napadalci še testirajo svoje tehnike in orodja. Če te priprave prepoznamo, lahko naš sistem že pripravimo na napad, ki bo potem neuspešen.

Lahko to ponazorite v praksi?

V Združenem kraljestvu smo v partnerstvu z bankami izdelali rešitev, ki uporablja umetno inteligenco, podatke bank in naših transakcij ter zna predvideti prevare. Dela neverjetno dobro, tovrstne napade ustavimo v nanosekundi. A da smo to dosegli, smo potrebovali partnerstvo bank, dostop do računov. Dejstvo je, da danes nihče ne more sam zavarovati svojega digitalnega okolja, sploh ko gre za ogromno število povezanih naprav in ljudi. Potrebna je koalicija partnerjev. V Združenem kraljestvu smo tako dobili dostop do transakcij in 98 odstotkov vseh računov v državi. Ščitimo celoten ekosistem, 9 milijonov bank, trgovcev … Vedno znova sem navdušen, ko v varnostno-operativnem centru doživim obvestilo sistema, da se bo neki napad zgodil čez pet sekund. Včasih smo o čem takem lahko samo sanjali.

Številni izdelki, rešitve in storitve za kibernetsko varnost danes poudarjajo varnostni model in arhitekturo »brez zaupanja« (angl. zero trust). Kako se torej razlikujejo od »standardnih« varnostnih rešitev?

Pristop »brez zaupanja« v primerjavi s standardnimi varnostnimi modeli že v osnovi predvideva, da je vedno neki šibek člen v verigi. V preteklosti so varnostne rešitve ločile le črno in belo, na primer vse, kar je bilo znotraj omrežja, je bilo varno, zunaj njega pa nevarno. To je tudi omogočalo napadalcem, da so v omrežjih podjetij ostali neodkriti več mesecev. Temu želijo varnostni ponudniki narediti konec – vsaka naprava, uporabnik ali povezava se morajo najprej dokazati kot varni, šele nato lahko dostopajo do podatkov ali storitev. Redno preverjanje močno oteži delo napadalcem – tudi sam se moram večkrat na dan avtenticirati, četudi sedim v pisarni Mastercarda in se ne odjavim z računalnika.

Toda ali nemara močne varnostne rešitve krnijo uporabniško izkušnjo? Posebej v svetu plačil ...

Ko gre za plačila, vsi želimo, da so absolutno varna. Takrat nas visoka raven varnosti ne moti. Poglejmo v ne tako davno zgodovino. Magnetni trak na plačilnih karticah je bilo relativno enostavno ponarediti, zato so jih banke hitro zamenjale s plačilnimi karticami z vgrajenim čipom. Že ta čip je sam po sebi zelo varen, saj uporablja močno kriptografijo, v kombinaciji z geslom oziroma številčno kodo PIN pa bi napadalec potreboval res veliko računske moči, da bi ga zlomil, na primer kar kvantni računalnik.

A tehnologija hitro napreduje in vsaka kriptografija se prej ali slej razbije – le da pogosto traja več desetletij. Zato mi ne sedimo križemrok. Ključne podatke, kot je številka kreditne kartice, pri spletnih plačilih zamenjujemo z žetoni. Pred kratkim smo objavili strategijo, da bomo vse številke zamenjali z žetoni. Tudi če napadalci žeton prestrežejo ali ukradejo, ne morejo z njim narediti nič. Samo mi in banke lahko posamezen žeton povežemo s pravim računom uporabnika in opravimo želeno transakcijo.

Predstavljam si, da je Mastercard mogočna tarča v očeh napadalcev. Kaj vse počnete, da ne bi postali žrtev?

Predvsem poudarjamo to, da je varnost temelj zaupanja. Česarkoli se lotimo v razvoju, se najprej z mislijo na varnost. Kako zagotoviti, da bo res varno. Kot sem že omenil, naš cilj je, da po letu 2030 v obtoku ne bo več številk plačilnih kartic, le še žetoni. Tudi EU-regulacija podpira močne oblike avtentikacije. Prepoznavanje obrata, prstnih odtisov, skratka biometrija na napravah, sodobnih mobilnikih in prenosnih računalnikih, nam pri tem zelo pomaga. To so nekakšni strojni avtentikatorji za transakcije, ki jih napadalci še težje obidejo.

Od varnostnih strokovnjakov pogosto slišimo, da smo ljudje najšibkejši člen varnostne verige. Se strinjate s to oceno?

Se. V vsej verigi kibernetske varnosti je resnično veliko tehnologij, ki varujejo digitalne vire podjetij in posameznikov. Šibki člen varnosti pa smo ljudje. Ni pa nam treba biti najšibkejši. To je najbolj zahteven del naloge. Tehnologija te pripelje do določene točke. Ne more pa ustaviti transakcije, ki jo avtorizira uporabnik. Te je treba izobraziti, opolnomočiti, naučiti, na kaj bodo pozorni. Zavedanje je sicer vse večje, a še vedno premajhno. Vsak posameznik mora narediti več za varnost svojega digitalnega premoženja. Predvsem pri prepoznavanju možnosti prevar. Te so vse bolje zastavljene in posledično učinkovite. Napadalci z njimi premamijo ljudi, da jim izdajo svoja gesla in poverilnice, tako doma kot v podjetjih. Posebej prepričljive in nevarne so prevare, kjer se napadalci pretvarjajo, da so banke, energetska podjetja, državne ustanove …

Kako se torej ubraniti?

Z ozaveščanjem in izobraževanjem. Nakup varnostnih rešitev žal ni dovolj. Mi s strankami in partnerji delimo dobre varnostne prakse. Če želimo graditi varen digitalni svet, svet za boljše in dostopnejše storitve, moramo narediti zaupanja vreden sistem. Več ko slišite o zlorabah, bolj zaupanje upada. Če kdorkoli ostane brez denarja, ostane brez zaupanja v digitalno. Zato v varovanje plačil in transakcij resnično veliko vlagamo.

Obenem me veseli, ko vidim, da je EU prepoznala, da je treba narediti ovire za napadalce višje, in pripravila smernice, kako naj se podjetja varujejo. Dobra zakonodaja in regulativa v obliki PSD2, DORA, NIS2 in drugih pravil ob podjetij zahteva, da bolje skrbijo za varnost podatkov in transakcij. Le s sodelovanjem in boljšo varnostno držo ter kibernetsko odpornostjo se bomo lahko kot družba postavili po robu kibernetskemu kriminalu.