De vorbă cu un hacker reformat

L-am întâlnit pe Karsten Nohl în Berlin, în cadrul unei conferințe despre comunicarea de criză. Când am văzut că printre vorbitori este un fost hacker, am așteptat cu nerăbdare să aud ce are să ne dea din casă. Am apreciat sinceritatea lui, chiar dacă o transparență totală a informațiilor nu se cădea din partea lui. Răspunsurile au fost sincere și cumva a dominat panelul. M-am decis să vorbesc cu el și să încerc să obțin cât mai multe răspunsuri la întrebările mele despre cyber attacks și cyber security.

Când o companie este atacată, reacțiile sunt diverse, dar niciodată nu am văzut o astfel de criză că fiind mai “neimportantă” decât altă de altă natură. Karsten însă insistă să nu ne panicăm foarte tare și să nu ne luăm armele la subțioară pentru a ataca… Se pare că hackerul știe că orice atac este o dovadă de slăbiciune. Ce face un hacker când vede slăbiciune? Mai sapă nițel în sistem…

Cu ce te ocupi acum, de fapt?

Eu și echipa de la SRLabs cercetăm metode de hacking pe o gamă largă de dispozitive și servicii. Apoi, ajutăm companiile să se protejeze împotriva unor astfel de atacuri. În mod constant ne ajutăm clienții să depășească un atac cibernetic după ce datele le-au fost deja șterse. Uneori, este drept, mai generăm și mici situații de criză pentru niște companii după ce facem publice rezultatele studiilor noastre.

Care crezi sunt cele mai des întâlnite idei preconcepute despre hackeri?

Există o credință generală că, dacă te pregătești suficient de bine, poți preveni un atac cibernetic. Este o percepție greșită și cred că toate companiile mari ar trebuie să aibă un plan și pentru cazul în care sistemul lor este atacat.

Crezi că putem să vorbim despre hackeri buni și hackeri răi? Există un Robin Hood al hackerilor?

Hacking-ul în esență înseamnă rezolvarea unor provocări tehnice prin soluții creative. Asta poate fi folosit pentru a face bine, dar și pentru a face rău.

Cum vezi hacktivism-ul?

Hacktiviștii există pentru a ne aduc aminte că slăbiciunile tehnice pot fi exploatate cu un efort relativ mic. Nu trebuie să fii NSA pentru a fura conturile de social media ale oamenilor. În opinia mea, hacktivismul este o altă formă de protest. Și, ca orice alt protest, deranjează multe persoane, dar ocazional ajută și la bună funcționare a democrației.

Ce părere ai despre GDPR? Ce le-ai spune companiilor în acest sens?

GDPR este o reglementare importantă, dar nu o să aibă niciun impact asupra atacurilor cibernetice. De exemplu, în Germania există de câțiva ani o lege privind protecția datelor, dar cu efect minim. Calculatoarele din Germania sunt la fel de sensibile la atacuri că orice alte calculatoare din țările fără legi pentru protecția datelor.

Care ar fi 3 greșeli pe care o companie aflată sub atac cybernetic le poate face?

Companiile tind să exagereze în cazul unui atac cibernetic de success. Ele decid să închidă sisteme, ceea ce cauzează daune suplimentar. Reacționează agresiv împotriva hackerului, ceea ce provoacă de cele mai multe ori o dorința mai acerbă a acestuia să caute mai adânc în sistem. Și, nu în ultimul rând, companiile apelează la poliție pentru o soluție ce ar trebui să fie în principal o soluție tehnică.

Din experiența ta de ambele tabere alte atacului cibernetic, care ar fi principalele acțiuni pe care o companie aflată sub atac ar trebuie să le ia?

Cel mai important lucru de reținut în timpul unui atac cibernetic este să fii calm, crizele cibernetice nu sunt crize existențiale. Și după cele mai rele experiențe de hacking companiile își revin relativ repede.

Se spune că orice criză este o oportunitate. Care este în opinia ta o oportunitate în cazul unui atac cybernetic? Poți să ne împărtășești un exemplu?

Orice criză este o oportunitate de a învață ceva, atât despre ce nu a funcționat înainte de criză, precum și cum să treci peste o situație de criză. De exemplu, în trecut se râdea foarte mult de iPhone și sistemul sau de securitate. Apple a devenit cu fiecare incident de hacking și mai puternic și în prezent oferă una dintre cele mai sigure platforme. Crizele chiar reușesc să te întărească.

Ce sfat ai da tinerilor care vor să lucreze în Securitate cibernetică?

Drumul spre a deveni un profesionist în securitate nu este neapărat unul drept. Este în natura hacking-ului să provoace status quo-ul. Hacking presupune exploatarea unei noi arii în fiecare an. Universitățile și certificatele nu sunt excepționale în a-ți aduce informații dintr-un domeniu care se schimbă atât de repede. În schimb, e foarte ușor să înveți de la hackeri, în special în cadrul unor conferințe specializate.

În România companiile care investesc în securitate cibernetică sunt în general cele mari. Ce ai spune companiilor mici care poate nu dau așa mare importantă atacurile cibernetice?

Orice companie care își consideră datele valoroase se află în față riscului că un hacker să îi fure datele și să ceară răscumpărarea acestora sau să le vândă competiției. Asta este valabil și pentru companiile mici cu date valoroase.

În calitate de expert în securitatea datelor, care este opinia ta despre ce se întâmplă acum cu Facebook?

Facebook a încălcat încrederea utilizatorilor săi, ceea ce v-a avea un efect mai presus de Facebook. A fost o lecție ce trebuia învățată: date stocate în sisteme externe o să fie accesate de aceste sisteme care nu au neapărat în minte interesul individului atunci când folosesc aceste date. Fiecare dintre noi trebuie să analizăm faptul dacă utilitatea unei platforme precum Facebook depășește dezavantajul că datele noastre să fie utilizate în alte scopuri. Unele persoane se vor decide să nu mai împărtășească cu platforma informații persoanale, dar mulți vor continuă să accepte acest risc. A cere unor companii precum Facebook să nu folosească sau să share-uiască informațiile pe care noi le dăm este nepractic. Atâta timp cât există o anumită valoare în aceste date este vor fi share-uite sau furate.

Exemple

L-am mai rugat pe Karsten să ne dea un exemplu bun și unul mai puțin bun de cyber crisis management. Sper să vă ofere inspirație și să vă convingă de faptul că cyber crisis nu poate să mai lipsească din planul de crisis management al niciunei companii.

Equifax este un exemplu foarte bun despre cum să nu gestionezi o criză cibernetică. Compania a minimizat impactul crizei, apoi a încercat să își pună clienții să plătească pentru informația privind starea conturilor lor. De asemenea, a încercat să oblige clienții să semneze un acord prin care nu dau în judecată compania. Dar, în tot acest timp, au neglijat investigația tehnică a incidentului.

Un contraexemplu foarte bun este JP Morgan Chase, care a gestionat foarte bine publicitatea din jurul crizei. Banca a pornit o serie de investigații înainte să iasă cu o declarație publică și a coordonat atât de bine comunicarea, încât oamenii legii din SUA au dat imediat vină pe hackerii ruși, ceea ce a făcut că banca să fie văzută că o victima prinsă în mijlocul unei lupte geopolitice.

O să concluzionez cu două studii parcurse recent. Unul poziționează România pe locul doi în topul țărilor vulnerabile în fața atacurilor cibernetice (după Malta și la egalitate cu Grecia). Analiză a luat în calcul datele Uniunii Europene cu privire la numărul cetățenilor care în 2017 au fost afectați de un atac cibernetic și informațiile din Global Cybersecurity Index despre reglementările de siguranță în diferitele țări. Detalii găsiți aici.

Al doilea studii este Eurobametrul care măsoară atitudinea europenilor vizavi de problema securității cibernetice. 66% dintre românii se consideră puțin și foarte puțin informați despre ce înseamnă securitatea cibernetică. 87% dintre europeni văd atacurile cibernetice că pe o problema serioasă și cifra este în creștere – studiul complet.