Damir Dizdarević je stručnjak za informacione tehnologije s gotovo tri decenije iskustva. Direktor je sarajevske ICT kompanije Logosoft i jedan od najistaknutijih ličnosti u BiH kada je riječ o zaštiti digitalnih identiteta i kriptovanju podataka.
U razgovoru za Fokus govori o sve većim izazovima koje donosi era digitalne povezanosti, ali i o zabludama koje korisnike – i pojedince i kompanije – često skupo koštaju.
Kako ističe, mnoge cyber prijetnje danas ne poznaju geografske granice, a ni BiH nije pošteđena. Naprotiv, ranjivost je dodatno naglašena zbog niskog stepena svijesti o rizicima.
Savremeni napadi sve više koriste tehnike socijalnog inžinjeringa i sofisticirane AI alate
Upozorava da savremeni napadi sve više koriste tehnike socijalnog inžinjeringa i sofisticirane AI alate, dok su reakcije žrtava često zakašnjele i neefikasne. U intervjuu analizira koncept “zero trust”, objašnjava zašto lozinke više nisu dovoljne te kako balansirati između sigurnosti i funkcionalnosti.
Na kraju, iznosi preporuke koje bi mogle značajno smanjiti izloženost napadima – počevši od obrazovanja korisnika do pravilnog izbora zaštite.
Na početku razgovora Dizdarević nam je ispričao kako je sve krenulo.
U IT-u sam profesionalno već skoro 30 godina. Amaterski i više od toga. Često kažem da otkako sam sjeo za svoj prvi kompjuter (Commodore 64) sa nekih 12 godina života, nisam se više ni odvojio. To mi je uz matematiku, koju sam na fakultetu studirao, uvijek bilo jako interesantno pa je tako i danas. Imao sam i tu sreću da ispratim mnogo ključnih promjena, moglo bi se reći i revolucija u IT-u. To mi danas omogućava mnogo širi pogled na tehnologiju generalno.
Sigurnost u IT-u mi je uvijek bila zanimljiva tema, ali je vrlo široka da bi se iko njome mogao baviti na neki univerzalni način. Ja sam se posvetio oblastima zaštite digitalnih identiteta i tehnologijama kriptovanja komunikacija i podataka. Time se i danas bavim i o tome uglavnom predajem na konferencijama. Privatno se, u vidu hobija, dosta bavim pametnim uređajima (IoT). To je područje u velikoj ekspanziji i veoma je interesantno.
“Zero trust”
Na koji način je koncept sigurnosti evoluirao kroz godine? Da li su se mijenjali i fundamentalni principi sigurnosti?
Naravno da jesu. Mada ne tako brzo i ne tako često kako se nekad misli. Neki sigurnosni koncepti koji su uspostavljeni prije 20 i više godina, vrijede i danas. Ključna promjena kada je pitanju pristup sigurnosti desila se omasovljavanjem internet pristupa i praktično povezivanjem skoro svih uređaja na internet. To je otvorilo jako puno područja gdje sigurnost postaje vrlo važna. Pristup sigurnosti je multi-perspektivan. Postoji mnogo potencijalnih tačaka rizika. Aktuelni koncept cyber sigurnosti se često naziva „zero trust“. Mislim da je već iz imena jasno šta to znači.
Cyber napadi su specijalan slučaj cyber kriminala
Koja je ključna razlika između cyber napada i cyber kriminala?
Cyber napadi su specijalan slučaj cyber kriminala. Cyber kriminal je u širem smislu, praktično svaka nedozvoljena aktivnost koja se provodi korištenjem računara, odnosno interneta. Cyber napadi su aktivnosti koje se sprovode ciljano prema poznatoj meti. Uglavnom u cilju krađe podataka ili onesposobljavanja nekog sistema.
Koja je uloga ljudskog ponašanja u cyber sigurnosti? Da li se trebaju štiti samo kompanije ili to trebaju raditi i pojedinci? Kako definisati strategiju koga, odnosno šta štitite te kako balansirati sigurnost i upotrebljivost?
Ta uloga je ogromna i zato je svijest o važnosti sigurnosti u digitalnom svijetu vrlo bitna. Nijedna sigurnosna tehnologija ne može zaštititi nesvjesnog ili nesavjesnog pojedinca. Zato uvijek savjetujemo kompanijama da paralelno sa uvođenjem sigurnosnih tehnologija rade i na podizanju svijesti uposlenika. Najveći broj uspješnih napada počiva upravo na zavaravanju nedovoljno educiranog pojedinca. Balans između sigurnosti i upotrebljivosti je vječna tema. Mada danas i ne toliko izražena kao ranije, najviše zbog toga što se dobar dio sigurnosnih mehanizama izmiješta u cloud umjesto da se instalira lokalno. Dodatno, sve je više i softvera u cloudu. Mnogo manje se toga instalira lokalno na računar. Dobro zaštićen i svjestan pojedinac je glavni preduslov za dobro zaštićenu kompaniju, jer neki osnovni postulati cyber sigurnosti vrijede pojednako bez obzira na tip korisnika.
„Neće mene, kome sam ja zanimljiv“
Imaju li geopolitički faktori utjecaja na cyber sigurnosne strategije?
Da, ali ne toliko da bi se mijenjale kompletne sigurnosne strategije u zavisnosti od geopolitičkih prilika. No, ono što je sasvim sigurno je da se ratovi, i manjeg i većeg obima, danas vrlo intenzivno vode ne samo na terenu nego i u digitalnom svijetu. Pored toga, u posljednjim godinama često se formiraju manje ili više neformalne grupe onih koji putem djelovanja u digitalnom svijetu pokušavaju da ostvare ili podrže neke političke ciljeve. Mislim da će kroz vrijeme ovaj tip djelovanja biti sve izraženiji pa će to početi uticati na geopolitiku, a ne obrnuto.
Da li su kompanije i pojedinci iz BiH manje izloženi cyber napadima u odnosu na EU i šire?
To je jedna od vrlo čestih zabluda ili kako ja to kolokvijalno volim reći, stav „neće mene, kome sam ja zanimljiv“. Kompanije i institucije BiH nisu ništa manje česta meta cyber napada, tim prije što se recimo većina ransomware napada (kriptovanje sistema i traženje otkupa) često radi prilično nasumično, čak i bez dobrog poznavanja žrtve. Tako da odgovor je definitivno NE i ne treba se zavaravati time što se kod nas o cyber napadima ne piše i ne govori često. To uopšte ne znači da se ne dešavaju. Mi smo dio globalnog digitalnog svijeta, gdje ne postoje granice poput onih u geografiji. Kod nas još uvijek, bar koliko je poznato, ne postoje tako ozbiljno organizovane napadačke grupe, ali iz pozicije potencijalne žrtve nismo ništa zaštićeniji. Naprotiv, obzirom na još uvijek dosta nizak nivo svjesnosti, kompanije i institucije u BiH su i ranjivije nego bi trebale biti.
Koji su pozitivni i negativni utjecaji novih tehnologija, poput AI, na cyber sigurnost?
Taj uticaj je dvojak. Prvo, AI se danas sve više koristi u sigurnosnim sistemima, gdje značajno poboljšava analitiku, predikciju napada i pomaže da se bitne informacije odvoje od nebitnih. S druge strane, AI svakako koriste i napadači. Generalno, zloupotreba AI će sigurno biti jako bitna tema u budućnosti, i to bliskoj budućnosti. To treba vrlo ozbiljno shvatiti.
Nisu rijetki slučajevi da napadači mijenjanju stranu
O kojim etičkim pitanjima treba voditi računa u cyber sigurnosti a i upotrebi AI?
To pitanje je vrlo interesantno, posebno kad je u pitanju AI. Nisu tako rijetki slučajevi da napadači mijenjanju strane pa da nakon što odustanu od cyber kriminala postanu stručnjaci za cyber sigurnost i zaštitu. Iako je etičnost angažovanja takvih ljudi upitna, njihova stručnost se ne može poreći. Kada je u pitanju AI, posebno generativni AI, tu će etička pitanja tek da se pojave. I bojim se da neće biti ugodna. Pošto etika sama po sebi uglavnom nije podrazumijevana i obavezna, bit će neophodno uvesti neku vrstu regulative upotrebe AI-a. O tome ćemo sigurno dosta slušati u narednim godinama.
Koji je glavni razlog uspješnosti cyber napada? Da li se može izdvojiti samo jedan ili ih ipak ima više? Zašto cyber napadi postaju sve češći i više sofisticirani?
Razlog zašto ima sve više uspješnih cyber napada je najviše u tome što tehnologije i tehnike koje koriste napadači napreduju brže od odbrambenih tehnologija ili bolje reći od brzine implementiranja novih odbrambenih tehnologija. Tu je takođe i već pomenuti nedostatak odgovarajućeg stepena svjesnosti kod korisnika. Sigurnosni sistemi su ponekad i dosta skupi što takođe usporava korisnike u implementaciji. Pored toga, ulaganje u te tehnologije ne donosi direktnu dobit kompanijama pa ih zato često i ne posmatraju kao prioritet. Generalno, moglo bi se reći da su napadači daleko svjesniji alata koje imaju na raspolaganju i onoga što njima mogu postići nego što su potencijalne žrtve svjesne rizika koji sa sobom nosi neadekvatan pristup cyber sigurnosti.
Apsolutna prevencija ne postoji
Na koji način se mogu prevenirati cyber napadi?
Apsolutna prevencija ne postoji, ali se svakako značajno može smanjiti vjerovatnoća da kompanija (ili pojedinac) postane žrtva cyber napada. Ja bih na prvo mjesto stavio edukaciju korisnika, naprosto zato što se vrlo često sreću primjeri uspješnih cyber napada koji su počeli tako što je neko od korisnika unutar kompanije kliknuo na link na koji nije trebalo da klikne. Tehnike socijalnog inžinjeringa, kojima se korisnici navode da urade taj pogrešan korak, danas su veoma razvijene. Zato je vrlo važno da se taj prvi korak ne desi.
Naravno, pored toga neophodno je imati adekvatnu zaštitu, u vidu firewall uređaja, zatvoriti sve portove koji nisu neophodni za rad, aktivirati sistem za detekciju napada i naravno, na svim računarima imati ažuran anti-malware softver itd. Ono što je takođe veoma važno naglasiti je i korištenje više-faktorske autentikacije prilikom prijavljivanja korisnika na sistem. Lozinke koje smo koristili godinama unazad više nisu dovoljne. Aktuelne sigurnosne preporuke idu u smjeru da se one ili potpuno izbace iz upotrebe (u korist nekog od naprednijih metoda provjere identiteta) ili da se dopune sa više-faktorskom autentikacijom.
Koje su Vaše preporuke za reakcije na cyber napada? Koga pozvati? Kako reagovati?
Zavisno od toga o kakvom se napadu radi. Danas su najčešći napadi oni tokom kojih se kriptuje dio ili cijeli sistem žrtve te se onda traži novac za otkup odnosno za dekripciju podataka. Svakako ne bih nikome preporučio da plaća otkup. To nije nikakva garancija da će podaci biti vraćeni. Treba se pobrinuti da uvijek imate ažuran backup, kako bi u slučaju ove vrste napada gubitak bio što manji. Svakako treba obavijestiti nadležne policijske službenike. Mada treba reći da ova vrsta napada uglavnom vrlo teška za rješavanje u smislu otkrivanja počinilaca. Ne samo kod nas nego i globalno, posebno ako se radi o profesionalcima. Ipak, ovo nije jedina vrsta cyber napada i svakako je pametno u svakom slučaju obavijestiti policiju.
Posebno je to važno uraditi ako dođe do bilo koje vrste ugrožavanja djece na internetu. U takvim slučajevima se pokazalo na primjerima da se počinioci dosta uspješno otkrivaju. Koliko je meni poznato, naše službe su dosta dobro povezane u smislu saradnje sa regionalnim i svjetskim službama koje se bave cyber kriminalom.
Uloga AI u odbrani i napadu
Obzirom da ste direktor ICT kompanije Logosoft iz Sarajeva, koja na tržištu BiH uspješno posluje već 30 godina, možete li izdvojiti ključne usluge Logosofta iz segmenta cyber sigurnosti koje nudite svojim klijentima?
Naša ključna usluga je prevencija, iako po potrebi djelujemo i reaktivno, kada se napad već desi. U komunikaciji sa našim klijentima mnogo radimo na tome da podignemo svijest o važnosti prevencije i adekvatne zaštite. Takođe, trudimo se i da preporučimo odgovarajuća rješenja korisnicima, budući da u području cyber sigurnosti ima mnogo različitih proizvoda i nisu baš svi univerzalne namjene. Veoma je važno pravilno odabrati rješenje za zaštitu prema veličini kompanije, broju i strukturi lokalno instaliranih servisa, broju korisnika, načinu rada i sl. Na primjer, kompanija koja ima većinu svojih resursa smještenih u cloud-u trebat će bitno drugačiji pristup zaštiti od kompanije koja većinu svojih servisa i podataka ima instalirano lokalno u svom data centru. Ukratko, klijent se nama može obratiti za kompletno rješenje – od analize, preko odabira rješenja, implementacije, kasnijeg nadzora i održavanja.
Da li postoje neka predviđanja šta možemo očekivati u budućnosti na polju cyber sigurnosti?
Ono što je gotovo izvjesno je da će se vještačka inteligencija sve intenzivnije koristiti i kod napada i kod mehanizama odbrane. Pored toga, napadači će koristiti sve naprednije i naprednije tehnologije i posebno usavršavati socijalni inžinjering, budući da se ta tehnika napada gotovo redovno pokazuje kao najuspješnija. Osim toga, zaštita naših digitalnih identiteta će postajati sve važnija budući da će sve više usluga i digitalnih proizvoda da se veže na naše digitalne identitete. Svijest o važnosti cyber sigurnosti će nadam se rasti, jer je to jedini način da se kompletiraju i učine uspješnim tehnike zaštite.
