Jedan je od zanimljivijih predavača na protekloj Span Cyber Security Areni u Poreču bio Joe Tidy, BBC-jev novinar specijaliziran za praćenje kibernetičke sigurnosti. Njegovo predavanje najviše se bavilo Juliusom Kivimäkijem, mladim Fincem koji je ukrao medicinsku dokumentaciju 30 tisuća korisnika psihijatrijskih ustanova i posljedično uzrokovao velike boli tim pacijentima i njegovim obiteljima. Povezuje ga se i s barem dva samoubojstva zbog ucjenjivačkih poruka koje je slao prijeteći da će objaviti osobne podatke žrtava.
Tidyjevo znanje o kibernetičkoj prijetnji doista je ekstenzivno, strukturirano i vrlo dubokog uvida. U razgovoru za Poslovni dnevnik ističe da vrijeme romantičnih hakera, koji se bune protiv sustava ili korporacija, više ne postoji. O hakerima govori gotovo kao da ilustrira psihološki profil kriminalca – opisuje ih kao ljude koji postaju ovisnici o svojim zlodjelima i u kojima doista nema nikakve pozitivne pobude.
Iz vašeg predavanja čuli smo kako su hakeri uglavnom mladi ljudi. No, zašto uopće počinju?
Postoji čudan obrazac ponašanja koji sam primijetio kod svakog tinejdžerskog hakera ili zapravo kod svakog hakera kojeg sam ikad intervjuirao i s kojim sam razgovarao. Mislim tu na kibernetičke kriminalce, ali vjerojatno i kod običnih hakera, i kod dobrih hakera, sve počinje u gamingu. Uvijek. Svi hakeri su gejmeri. Nisu svi gejmeri hakeri, ali svi hakeri su gejmeri. Sve što se tiče te loše putanje počinje s gejmingom, obično solo gejming, zatim prilično brzo online protiv prijatelja, pa protiv ljudi na internetu. Onda ih žele pobjeđivati pa gejming postaje znatno konkurentniji. Ti se tinejdžeri nađu se na forumima gdje mogu naučiti kako postati bolji u toj igri, ali i kako je hakirati. A onda ponekad kliznu na puno ozbiljniji put kibernetičkog kriminala gdje uče kako probijati sustave. To nisu samo moja zapažanja, nego je i nešto što je Nacionalna agencija za kriminal u Ujedinjenom Kraljevstvu također otkrila kad su intervjuirali tisuću različitih kibernetičkih kriminalaca. Ta je putanja gotovo univerzalna.
Čini se kao da sam sustav ne promatra kibernetički kriminal onako kako bi ga trebalo promatrati. Koje je vaše mišljenje?
Nemam taj odgovor. Ali znam da se u nekim različitim jurisdikcijama, možda u Ujedinjenom Kraljevstvu, tinejdžeri, kad hakiraju osjećaju nepobjedivo. To je djelomično zato što ih štiti ugodan pokrivač zakona. Ako imaš manje od 17, ne može ti biti ništa, to je poruka koja se čini da se širi među djecom u određenim zemljama, osobito u Finskoj, koju sam uglavnom spominjao u svojem predavanju. S druge strane, postoje i jurisdikcije poput Amerike gdje ponekad prilično grubo postupaju prema kibernetičkim kriminalcima tinejdžerima. To je stvarno jedan težak scenarij. Ono što mi je zanimljivo jest da e kazna, kad netko navrši 18 godina, znatno povećava. Ne znam je li to ispravno ili pogrešno, ali takva je situacija.
Znamo da imamo hakerske skupine iz Sjeverne Koreje, Irana, primjerice, ali i drugih zemalja. Možemo ih nazvati skupinama koje financiraju države. Koje su bile njihove najteže aktivnosti na koje ste naišli?
Zanimljivo je kod Sjeverne Koreje to što je jedina zemlja za koju znam da hakira za novac. Dakle, svaka zemlja hakira. Svaka zemlja na svijetu, u različitim razinama, ima kibernetičku vojsku i špijunažu. Aktivnost koju provode obično je vezana uz projiciranje moći ili krađu informacija. Sjeverna Koreja prije otprilike 10 godina počela je krasti novac. Naravno, oni su pod raznim sankcijama i ograničenjima oko toga kako mogu stvarati svoj BDP. Zato im je postalo toliko uspješno da svake godine hakiraju stotine milijuna dolara.
Prošle godine izveli su najveći hakerski napad ikad počinjen. Ukrali su 1,5 milijardi dolara vrijednosti kripta od tvrtke za kriptovalute po imenu Bybit. Dakle, to je fascinantan primjer. Rusija je, očito, kao i SAD i Ujedinjeno Kraljevstvo, vrlo zainteresirana za špijunažu. Ali Rusija je također zainteresirana za destruktivne i disruptivne kibernetičke napade, što je, opet, pomalo neobično.
Kina nije zainteresirana za disruptivno ili destruktivno, zainteresirani su za špijunažu. Oni pripremaju temelje za slučaj da dođe do potpunog rata. Imaju zlonamjeran softver unutar američkih vodnih tvrtki i telekomunikacija. Ako bi došlo do potpunog rata, mogli bi koristiti takav pristup kako bi prouzročili štetu. Ali općenito govoreći, svaka zemlja ima drugačiji način na koji koristi kibernetičke mreže.
Ovdje u Hrvatskoj imali smo slučajeve u kojima su hakirane i bolnice. Koji sve razlozi mogu biti iza takvih napada?
Mislim da treba gledati kibernetički kriminal, odnosno krajolik kibernetičkih napada u različitim kategorijama. Dakle, ljudi koji hakiraju bolnice to rade zbog novca. Postoje ransomware skupine ili iznudničke skupine koje samo žele novac. Ljudi koji hakiraju vlade vjerojatno su državno sponzorirani, vjerojatno to rade da dobiju informacije, ukradu podatke, možda projiciraju moć. Zatim imate tinejdžerske hakere koji to rade zbog novca i zbog kaosa. A onda imate “haktiviste”, koji to rade iz geopolitičkih razloga ili zato što žele nešto reći. Postoje različite skupine i treba ih tretirati drugačije.
Čini se da kibernetička sigurnost još nije cijenjena koliko bi trebala biti, čak ni u velikim tvrtkama, državama ili drugim subjektima. Zašto je tome tako?
Mislim da je to zbog toga jer je to većini teško razumljiva tematika jer je kibernetička sigurnost, zapravo, stvarno dosadna. Oko nje je teško uzbuditi ljude, pogotovo ako imate golemu radnu snagu. Ako im pokušate reći da mijenjaju lozinke svaka tri mjeseca, samo će prevrnuti očima. Održavati obuku o svijesti o kibernetičkoj sigurnosti je dosadno. Nitko to ne želi raditi. I, nažalost, potrebni su veliki “hackovi” koji utječu na ljude kako bi pomislili: uf, u redu, kibernetička sigurnost je zaista prilično važna. U Ujedinjenom Kraljevstvu prošle godine imali smo val napada na supermarkete. Marks & Spencer, Co-op i Harrod’s, svi su bili pogođeni u roku od nekoliko tjedana. Vidjeli smo pravo buđenje u našoj zemlji o tome koliko kibernetički napad može biti štetan i disruptivan. I, nažalost, bila je potrebna takva stvar da se ljudi probude.
Iz vaše novinarske perspektive, kad ste prišli svojim urednicima i rekli: Imam priču o hakiranju, kako su isprva reagirali?
Tijekom godina je postalo lakše. Lakše je sada objavljivati priče o hakiranju jer su ljudi sada više zainteresirani. Ali prije mi jesu govorili: to zvuči dosadno, to su jedinice i nule, podaci, koga je za to briga? Ali, kada vidiš učinak kibernetičkih napada, onda ljude to počinje brinuti, puno ih više zainteresira. U zadnje otprilike tri godine, zbog nekih napada koje smo vidjeli, primijetio sam da je javni interes za kibernetičku sigurnost rastao sve više. I mislim da se to sada još više pojačava zbog umjetne inteligencije.
Ovdje u Hrvatskoj imamo nekoliko institucija koje su počele pratiti kibernetičke napade. Ali većina tih napada kao da se ne priznaje ili se ne prijavljuje. Je li to, po vašem iskustvu, slučaj u Britaniji i u svijetu?
Da, i to je jako loše. Zavjesa tajnosti spušta se vrlo brzo oko žrtava kibernetičkih napada. Smatram da je to nazadno gledanje. Mislim da, ako ste žrtva kibernetičkog napada, a do sada je već bilo mnogo slučajeva u kojima je otvorena, transparentna, iskrena i snažna tvrtka prošla kroz to, a onda i dobro prošla nakon toga, preživjela je i napredovala. Ali prevladavajući osjećaj je – nemojmo o tome pričati, radije to zakopajmo. Možda platimo tim hakerima potajno i tiho, i onda možemo dalje. Po mom mišljenju činite nepravdu društvu kad ne govorite otvoreno i ne kažete što se dogodilo. U slučajevima kada su curenja podataka prikrivana netko zbog toga može postati žrtva bez ikakve vlastite krivnje, upravo zbog te tajnosti.
Koliki je globalni biznis kibernetičke sigurnosti danas?
Mislim da apsolutno buja, da se događa konsolidacija malih tvrtki za kibernetičku sigurnost koje velike kupuju. Ali mislim da ogromnu količina posla tek treba obaviti, posebno zbog umjetne inteligencije. Mislim da je rast istraživanja ranjivosti u umjetnoj inteligenciji doista, opet, šokirao ljude. I mislim da su izvršni direktori i tvrtke dovoljno uplašeni pa počinju trošiti novac na kibernetičku sigurnost.
Jeste li i sami bili žrtva kibernetičkih napada ili pokušaja?
Prošle godine pokušali su neke korake protiv mene kad sam radio priču s hakerima koji su mi ponudili platiti za moje prijavne podatke za BBC. Nikad ne bih sklopio takav dogovor. Ali glumio sam da pristajem nekoliko dana. I izgubili su strpljenje. Namjeravao sam to napraviti kao priču. Ali priča je ispala pomalo zlokobna jer su izgubili strpljenje i pokušali provesti ono što zovemo bomba višefaktorske autentifikacije, MFA bomba, gdje su stalno “spamali” moj telefon zahtjevom za resetiranje lozinki. I to mi je zaključalo telefon. Nisam ga mogao niti dotaknuti dok se nisam isključio iz BBC-jeve mreže, cijelo vrijeme sam bio pod kontrolom. Ali to je za mene bio i pravi alarm za buđenje. Dojam je bio kao da vodimo siguran razgovor u, primjerice, aplikaciji Signal, da bi se onda odjednom na početnom zaslonu počele pojavljivati te MFA bombe. Činilo se kao da hakeri kucaju na moja vrata. Zaista je djelovalo agresivno i invazivno.
