VILNIUS TECH Naujienų portalas
Sapere Aude
Nikolaj Goranin: informacijos saugumas – tai amžinas kovos laukas
2020-06-05
Nikolaj Goranin: informacijos saugumas – tai amžinas kovos laukas
Vilniaus Gedimino technikos universiteto (VGTU) Fundamentinių mokslų fakulteto prodekanas ir Informacinių sistemų katedros docentas dr. Nikolaj Goranin juokauja, kad geras IT saugos specialistas turi būti pesimistas iš prigimties: tikėtis blogiausio, ieškoti silpnų vietų ir pastebėti grėsmes ten, kur kiti jokio pavojaus neįžvelgia. Vis daugiau žmonių ir įtaisų prisijungiant prie interneto, nusikaltimų virtualioje erdvėje taip pat daugės, tačiau tobulės ir kovos su jais metodai. Pokalbis apie tai, kaip savo saugumu turėtume pasirūpinti patys ir kokias pagalbos priemones kuria VGTU tyrėjai.
Kokios bus technologijos, formuosiančios naująjį dešimtmetį, į kurį įžengėme? Netyla kalbos apie dirbtinį intelektą, bet galbūt laukia ir dar daugiau naujovių?
Atsakyti į šį klausimą sudėtinga dėl kelių priežasčių. Lietuva nėra centras, kuriame kuriamos naujos IT technologijos, didžioji dalis mūsų rinkoje veikiančių įmonių yra egzistuojančių IT sprendimų taikytojai, o ne naujų kūrėjai. Turime tik vieną kitą įmonę, kurios iš tikrųjų kuria kažką ypač ryškaus pasauliniu mastu, pavyzdžiui, bendrovė „Neurotechnology“. Neturint priėjimo prie naujų technologijų, pateikti prognozes tampa sudėtinga. Kita priežastis – prognozės dažnai nepasiteisina net ir tiems, kurie IT naujoves kuria.
Jei žiūrėtume į ateinantį dešimtmetį, vargu ar galėtume tikėtis didelių ryškių pasikeitimų. Dabartinės tendencijos rodo, kad procesas link kompiuterizacijos tęsis – visur, kur tik galima pakeisti žmogų, jį bus bandoma pakeisti dirbtiniu intelektu. Dėl paties dirbtinio intelekto termino galima diskutuoti, ar tai yra intelektas, ar tik klasifikavimo algoritmai, kurie moka atlikti tam tikrus veiksmus, tarkime atpažinimą, ir priimti sprendimus. Bet ši tendencija tikrai išliks.
Antra tendencija – labai gili ir plati duomenų analizė. Vis daugiau įrenginių jungiama prie interneto, renkama kuo įvairiausia informacija – viskas, ką galima rinkti ir net šiek tiek daugiau. Akivaizdu, kad bus bandoma šiuos duomenis panaudoti – pardavimams, analitikai ar net politiniam ar kitokiam poveikiui visuomenei. Su tuo susiję ir tai, kad įrenginiai darosi išmanesni, daiktų internetas (angl. internet of things) tampa vis plačiau naudojamas mūsų gyvenime. Žmogus beveik visą laiką bus prisijungęs ir dalys informacija apie save pasauliui, o kas vėliau su ta informacija bus daroma, labai sunku atspėti.
Ar IT saugos technologijos spėja paskui visuotinį gyvenimo ir verslo persikėlimą į virtualią erdvę?
Jei kalbėtume apie informacijos saugos technologijas, šiuo metu vyksta technologijų kartos pasikeitimas. Ankstesni sprendimai buvo paremti tuo, kad jei yra kenksmingas programinis kodas, vadinamasis virusas, jo aptikimas buvo paremtas signatūromis, t. y. tam tikrų kodų eilučių paieška. Dabar vis dažniau pereinama prie anomalijų aptikimo – įsilaužimai, atakos aptinkamos taikant dirbtinio intelekto metodus, analizuojant įtartinų programų arba vartotojų elgesį. Taip gali pavykti nustatyti naujo tipo nusikaltimus ir įsilaužimus, kurių signatūros anksčiau sistemose aptikti nesugebėdavo. Dar neseniai anomalijų aptikimo metodai buvo labai nepatikimi, bet atsiradus dideliems duomenų kiekiams, naujiems dirbtinio intelekto metodams, tikslumas auga. Galime net šiek tiek pasigirti – vienas mano doktorantas (Dainius Čeponis) dirba šioje srityje ir pasiekė labai gerų rezultatų, būtent taikydamas dirbtinį intelektą kenksmingam programiniam kodui aptikti. Jo eksperimento tikslumas siekia 99 proc., o tai gerokai viršija artimiausių konkurentų iš Vokietijos rezultatus.
Jūsų manymu, ar žmonės, verslas, valstybė pakankamai suvokia ne tik įsitinklinimo naudą, bet ir su tuo susijusias rizikas?
Suvokimas gerėja. Prieš dešimtmetį prakalbus, kad informacijos sauga yra svarbi, geriausiu atveju iš mandagumo būdavo palinksima galva ir tuo viskas pasibaigdavo. Į problemą žiūrėta paprastai – yra IT skyrius, IT administratorius suinstaliuos ugniasienę ir to užteks. Dabar situacija pasikeitusi į geresnę pusę. Prieš kelerius metus buvo priimtas kibernetinės saugos įstatymas, o tai yra geras rodiklis, parodantis, kad valstybė suvokia šios problemas svarbą. Antras, mano supratimu, geras dalykas yra Nacionalinis kibernetinio saugumo centras, kuriame po ilgų diskusijų buvo sukoncentruoti pagrindiniai valstybės resursai, kurie moka dirbti su saugos užtikrinimu. Anksčiau šios žinios buvo išskaidytos per kelias institucijas. Pripažinkime, resursų ir žmonių Lietuvoje, kurie dirba šioje srityje, nėra daug, tad tai buvo lėšų švaistymas, o dabartinis sprendimas yra gerokai geresnis.
Kalbant apie verslą, man pačiam tenka dirbti saugos įgaliotiniu ir konsultantu bankų sektoriuje, įmonėje, kuri prižiūri bankines transakcijas. IT saugos užtikrinimas į bankų sektorių yra atėjęs gerokai anksčiau nei į valstybinį lygmenį, nes praradimai dėl įvairių atakų yra pakankamai dideli, prastovos gali turėti neigiamos įtakos ir įmonių pelnams, ir reputacijai. Be to, tai yra labai stipriai reglamentuota sritis – yra daugybė standartų, kurie nusako, ką ir kaip reikia daryti, ir verslas yra priverstas šiuos reikalavimus vykdyti. Iš vienos pusės verslas visuomet nori sutaupyti, taip pat ir saugumo sąskaita, bet išorinis reguliavimas verčia susimąstyti ir elgtis atsakingai. Tokie pokyčiai laukia ir kitų verslo sektorių, ypač, kai prieš porą metų įsigaliojo Bendrasis duomenų apsaugos reglamentas. Tiesa, dabar susidomėjimas juo šiek tiek nuslūgo, nes žadėtos didelės baudos taip niekam ir nebuvo skirtos. Tačiau vienaip ar kitaip supratimas ir branda turėtų didėti. Jau netenka sutikti žmonių, kurie sakytų, kad saugoti duomenų nereikia. Šis pokytis jau yra įvykęs, tik kartais dar trūksta supratimo, kaip tai daryti.
Finansinio sektoriaus patrauklumas atakoms yra suprantamas. O kas dar yra dažniausi taikiniai? Ar galime teigti, kad kiekvienas iš mūsų?
Labai dažnai atakuojamos mažos parduotuvėlės ir viešbučiai, nes IT nėra pagrindinė jų verslo dalis, tad į ją kreipiama mažiau dėmesio. Įrašyti šnipinėjantį kodą į kasą viešbutyje gerokai lengviau, taip galima rinkti duomenis, kortelių informaciją ir iš to vėliau pasipelnyti. Kaip kiekvienai prekei yra savas pirkėjas, taip ir kiekvienas žmogus gali būti tam tikro atakuotojo auka. Vieniems įdomu įsilaužti į banką ir pavogti pinigų, kitiems gali būti įdomūs ir mažesni užmojai, sakykim, „nulaužti“ jūsų kompiuterį ir panaudoti jį kaip nuotoliniu būdu valdomą robotą, kuris vykdo atakas prieš kitas sistemas. Akademinis pasaulis taip pat gali būti įdomus, ypač jei vykdo aukšto lygio tyrimus – tai gali būti ir pramoninio šnipinėjimo dalis. Savo studentams sakau, kad visi mes galime tapti auka, net ir pats paprasčiausias žmogus.
Vienas mūsų doktorantas prieš 5–6 metus darė tyrimą, kiek valstybės institucijų interneto svetainių (ministerijų, savivaldybių ir pan.) yra užkrėsta. Tyrimo rezultatas parodė, kad apie 4–5 proc. šių svetainių yra nesaugios. Tad jūs galite visiškai nieko blogo nesitikėdamas užeiti į mažos savivaldybės puslapį internete ir, jei jūsų naršyklė nėra atnaujinta, neblokuojami skriptai, vien jau ten apsilankydamas iškart apsikrečiate. Taigi tam net nereikia lankytis nelegaliuose, piratiniuose puslapiuose.
Įdomu, kur įvyksta daugiau nusikaltimų – realybėje ar elektroninėje erdvėje?
Sakyčiau, kad klasikiniai nusikaltimai vis dar dominuoja. Tačiau matyti ir kita tendencija – auga dalis nusikaltimų, taip pat ir klasikinių, kurių įvykdymui pasitelkiami kompiuteriai. Savo studentams dėstau kibernetinių nusikaltimų tyrimo elektroninėje erdvėje kursą, kuriame tyrimus išskiriame į dvi dalis: nusikaltimai elektroninėje erdvėje siaurąja ir plačiąja prasme. Siaurąja prasme tai yra nusikaltimai, kurių objektas yra duomenys, kompiuteris, sistema. Nusikaltimai plačiąja prasme, kai, tarkime, teroristai verbuoja savo šalininkus naudodami socialinius tinklus arba, pavyzdžiui, grupuotė planuoja banko apiplėšimą susirašinėdama per įvairias pokalbių programėles. Taigi net klasikinių nusikaltimų tyrimui policija turi turėti nemažai žinių, kaip dirbti su įkalčiais, surinktais elektroninėje erdvėje.
Per ateinantį dešimtmetį atakų, tikėtina, daugės, bet gynybos mechanizmai taip pat stiprės?
Taip, be abejo. Dar viena matoma IT saugos tendencija yra gerokai plačiau nei prieš 10–15 metų taikomi šifravimo sprendimai. Anksčiau buvo gana įprasta siųsti duomenis nešifruotus, prisijungimai prie svetainių buvo nešifruoti, o dabar tai pasitaiko labai retai. Visur bandoma ir siuntimą, ir duomenų saugojimą šifruoti. Dar vienas etapas, kuris jau įvyko bankų sektoriuje ir kuris laukia kitų verslo sektorių, yra vadinamasis aparatinis šifravimas. Tai situacija, kai šifravimo raktai saugomi atskiruose ypač saugiuose įrenginiuose, vadinamuosiuose HSM (angl. Hadware security module). Link to turėtume eiti, nes šifravimas be tinkamo šifravimo raktų saugojimo duoda mažai naudos.
Belieka tikėtis, kad teisingumas šioje kovoje visgi laimės.
Ši kova amžina, kaip kova tarp gėrio ir blogio, tad vieno laimėtojo nebus. Reikia stengtis, o kova vyks tol, kol gyvuos žmonija.
Kokios bus technologijos, formuosiančios naująjį dešimtmetį, į kurį įžengėme? Netyla kalbos apie dirbtinį intelektą, bet galbūt laukia ir dar daugiau naujovių?
Atsakyti į šį klausimą sudėtinga dėl kelių priežasčių. Lietuva nėra centras, kuriame kuriamos naujos IT technologijos, didžioji dalis mūsų rinkoje veikiančių įmonių yra egzistuojančių IT sprendimų taikytojai, o ne naujų kūrėjai. Turime tik vieną kitą įmonę, kurios iš tikrųjų kuria kažką ypač ryškaus pasauliniu mastu, pavyzdžiui, bendrovė „Neurotechnology“. Neturint priėjimo prie naujų technologijų, pateikti prognozes tampa sudėtinga. Kita priežastis – prognozės dažnai nepasiteisina net ir tiems, kurie IT naujoves kuria.
Jei žiūrėtume į ateinantį dešimtmetį, vargu ar galėtume tikėtis didelių ryškių pasikeitimų. Dabartinės tendencijos rodo, kad procesas link kompiuterizacijos tęsis – visur, kur tik galima pakeisti žmogų, jį bus bandoma pakeisti dirbtiniu intelektu. Dėl paties dirbtinio intelekto termino galima diskutuoti, ar tai yra intelektas, ar tik klasifikavimo algoritmai, kurie moka atlikti tam tikrus veiksmus, tarkime atpažinimą, ir priimti sprendimus. Bet ši tendencija tikrai išliks.
Antra tendencija – labai gili ir plati duomenų analizė. Vis daugiau įrenginių jungiama prie interneto, renkama kuo įvairiausia informacija – viskas, ką galima rinkti ir net šiek tiek daugiau. Akivaizdu, kad bus bandoma šiuos duomenis panaudoti – pardavimams, analitikai ar net politiniam ar kitokiam poveikiui visuomenei. Su tuo susiję ir tai, kad įrenginiai darosi išmanesni, daiktų internetas (angl. internet of things) tampa vis plačiau naudojamas mūsų gyvenime. Žmogus beveik visą laiką bus prisijungęs ir dalys informacija apie save pasauliui, o kas vėliau su ta informacija bus daroma, labai sunku atspėti.
Ar IT saugos technologijos spėja paskui visuotinį gyvenimo ir verslo persikėlimą į virtualią erdvę?
Jei kalbėtume apie informacijos saugos technologijas, šiuo metu vyksta technologijų kartos pasikeitimas. Ankstesni sprendimai buvo paremti tuo, kad jei yra kenksmingas programinis kodas, vadinamasis virusas, jo aptikimas buvo paremtas signatūromis, t. y. tam tikrų kodų eilučių paieška. Dabar vis dažniau pereinama prie anomalijų aptikimo – įsilaužimai, atakos aptinkamos taikant dirbtinio intelekto metodus, analizuojant įtartinų programų arba vartotojų elgesį. Taip gali pavykti nustatyti naujo tipo nusikaltimus ir įsilaužimus, kurių signatūros anksčiau sistemose aptikti nesugebėdavo. Dar neseniai anomalijų aptikimo metodai buvo labai nepatikimi, bet atsiradus dideliems duomenų kiekiams, naujiems dirbtinio intelekto metodams, tikslumas auga. Galime net šiek tiek pasigirti – vienas mano doktorantas (Dainius Čeponis) dirba šioje srityje ir pasiekė labai gerų rezultatų, būtent taikydamas dirbtinį intelektą kenksmingam programiniam kodui aptikti. Jo eksperimento tikslumas siekia 99 proc., o tai gerokai viršija artimiausių konkurentų iš Vokietijos rezultatus.
Jūsų manymu, ar žmonės, verslas, valstybė pakankamai suvokia ne tik įsitinklinimo naudą, bet ir su tuo susijusias rizikas?
Suvokimas gerėja. Prieš dešimtmetį prakalbus, kad informacijos sauga yra svarbi, geriausiu atveju iš mandagumo būdavo palinksima galva ir tuo viskas pasibaigdavo. Į problemą žiūrėta paprastai – yra IT skyrius, IT administratorius suinstaliuos ugniasienę ir to užteks. Dabar situacija pasikeitusi į geresnę pusę. Prieš kelerius metus buvo priimtas kibernetinės saugos įstatymas, o tai yra geras rodiklis, parodantis, kad valstybė suvokia šios problemas svarbą. Antras, mano supratimu, geras dalykas yra Nacionalinis kibernetinio saugumo centras, kuriame po ilgų diskusijų buvo sukoncentruoti pagrindiniai valstybės resursai, kurie moka dirbti su saugos užtikrinimu. Anksčiau šios žinios buvo išskaidytos per kelias institucijas. Pripažinkime, resursų ir žmonių Lietuvoje, kurie dirba šioje srityje, nėra daug, tad tai buvo lėšų švaistymas, o dabartinis sprendimas yra gerokai geresnis.
Kalbant apie verslą, man pačiam tenka dirbti saugos įgaliotiniu ir konsultantu bankų sektoriuje, įmonėje, kuri prižiūri bankines transakcijas. IT saugos užtikrinimas į bankų sektorių yra atėjęs gerokai anksčiau nei į valstybinį lygmenį, nes praradimai dėl įvairių atakų yra pakankamai dideli, prastovos gali turėti neigiamos įtakos ir įmonių pelnams, ir reputacijai. Be to, tai yra labai stipriai reglamentuota sritis – yra daugybė standartų, kurie nusako, ką ir kaip reikia daryti, ir verslas yra priverstas šiuos reikalavimus vykdyti. Iš vienos pusės verslas visuomet nori sutaupyti, taip pat ir saugumo sąskaita, bet išorinis reguliavimas verčia susimąstyti ir elgtis atsakingai. Tokie pokyčiai laukia ir kitų verslo sektorių, ypač, kai prieš porą metų įsigaliojo Bendrasis duomenų apsaugos reglamentas. Tiesa, dabar susidomėjimas juo šiek tiek nuslūgo, nes žadėtos didelės baudos taip niekam ir nebuvo skirtos. Tačiau vienaip ar kitaip supratimas ir branda turėtų didėti. Jau netenka sutikti žmonių, kurie sakytų, kad saugoti duomenų nereikia. Šis pokytis jau yra įvykęs, tik kartais dar trūksta supratimo, kaip tai daryti.
Finansinio sektoriaus patrauklumas atakoms yra suprantamas. O kas dar yra dažniausi taikiniai? Ar galime teigti, kad kiekvienas iš mūsų?
Labai dažnai atakuojamos mažos parduotuvėlės ir viešbučiai, nes IT nėra pagrindinė jų verslo dalis, tad į ją kreipiama mažiau dėmesio. Įrašyti šnipinėjantį kodą į kasą viešbutyje gerokai lengviau, taip galima rinkti duomenis, kortelių informaciją ir iš to vėliau pasipelnyti. Kaip kiekvienai prekei yra savas pirkėjas, taip ir kiekvienas žmogus gali būti tam tikro atakuotojo auka. Vieniems įdomu įsilaužti į banką ir pavogti pinigų, kitiems gali būti įdomūs ir mažesni užmojai, sakykim, „nulaužti“ jūsų kompiuterį ir panaudoti jį kaip nuotoliniu būdu valdomą robotą, kuris vykdo atakas prieš kitas sistemas. Akademinis pasaulis taip pat gali būti įdomus, ypač jei vykdo aukšto lygio tyrimus – tai gali būti ir pramoninio šnipinėjimo dalis. Savo studentams sakau, kad visi mes galime tapti auka, net ir pats paprasčiausias žmogus.
Vienas mūsų doktorantas prieš 5–6 metus darė tyrimą, kiek valstybės institucijų interneto svetainių (ministerijų, savivaldybių ir pan.) yra užkrėsta. Tyrimo rezultatas parodė, kad apie 4–5 proc. šių svetainių yra nesaugios. Tad jūs galite visiškai nieko blogo nesitikėdamas užeiti į mažos savivaldybės puslapį internete ir, jei jūsų naršyklė nėra atnaujinta, neblokuojami skriptai, vien jau ten apsilankydamas iškart apsikrečiate. Taigi tam net nereikia lankytis nelegaliuose, piratiniuose puslapiuose.
Įdomu, kur įvyksta daugiau nusikaltimų – realybėje ar elektroninėje erdvėje?
Sakyčiau, kad klasikiniai nusikaltimai vis dar dominuoja. Tačiau matyti ir kita tendencija – auga dalis nusikaltimų, taip pat ir klasikinių, kurių įvykdymui pasitelkiami kompiuteriai. Savo studentams dėstau kibernetinių nusikaltimų tyrimo elektroninėje erdvėje kursą, kuriame tyrimus išskiriame į dvi dalis: nusikaltimai elektroninėje erdvėje siaurąja ir plačiąja prasme. Siaurąja prasme tai yra nusikaltimai, kurių objektas yra duomenys, kompiuteris, sistema. Nusikaltimai plačiąja prasme, kai, tarkime, teroristai verbuoja savo šalininkus naudodami socialinius tinklus arba, pavyzdžiui, grupuotė planuoja banko apiplėšimą susirašinėdama per įvairias pokalbių programėles. Taigi net klasikinių nusikaltimų tyrimui policija turi turėti nemažai žinių, kaip dirbti su įkalčiais, surinktais elektroninėje erdvėje.
Per ateinantį dešimtmetį atakų, tikėtina, daugės, bet gynybos mechanizmai taip pat stiprės?
Taip, be abejo. Dar viena matoma IT saugos tendencija yra gerokai plačiau nei prieš 10–15 metų taikomi šifravimo sprendimai. Anksčiau buvo gana įprasta siųsti duomenis nešifruotus, prisijungimai prie svetainių buvo nešifruoti, o dabar tai pasitaiko labai retai. Visur bandoma ir siuntimą, ir duomenų saugojimą šifruoti. Dar vienas etapas, kuris jau įvyko bankų sektoriuje ir kuris laukia kitų verslo sektorių, yra vadinamasis aparatinis šifravimas. Tai situacija, kai šifravimo raktai saugomi atskiruose ypač saugiuose įrenginiuose, vadinamuosiuose HSM (angl. Hadware security module). Link to turėtume eiti, nes šifravimas be tinkamo šifravimo raktų saugojimo duoda mažai naudos.
Belieka tikėtis, kad teisingumas šioje kovoje visgi laimės.
Ši kova amžina, kaip kova tarp gėrio ir blogio, tad vieno laimėtojo nebus. Reikia stengtis, o kova vyks tol, kol gyvuos žmonija.