– Viešėdamas Lietuvoje kalbėjote apie kibernetinį saugumą. Iš kur, Jūsų nuomone, dabar kyla didžiausios grėsmės: pavienių asmenų, norinčių pasipelnyti, ar iš priešiškai nusiteikusių valstybių?
– Pasaulis pasikeitė. Praeityje mes daugiausiai girdėjome apie vyriausybes ir valstybes, bandančias pulti kitas šalis – tai galėjo būti Rusija, Kinija, Šiaurės Korėja, ar daug kitų. Per pastaruosius trejus ar ketverius metus atsirado šis tas naujo: pavyzdžiui, internete pradėjo sklisti sofistikuota kenkėjiška programa „Ransomware“, kuri bando įsigauti į jūsų sistemas, ir ne tik pasiimti informaciją, bet taip pat ištrinti ją arba pakeisti – mes net nežinome, kiek su tuo susijusių dalykų vyksta kiekvieną dieną.
Manoma, kad šios programinės įrangos šaknys yra Šiaurės Korėjoje. Pirmas politinis lupikavimo atvejis buvo, kai Šiaurės Korėja, pasak kai kurių šaltinių, įsilaužė į „Sony“ serverius, ir pasakė, kad jei jūs nepaskelbsite filmo apie mūsų puikų lyderį, mes padarysime jums daug žalos. Tai buvo situacija, kai JAV turėjo kažkaip veikti ir jie nusprendė nepasiduoti ir nepildyti tokių reikalavimų.
Nuo to laiko atsirado daug naujų rinkos žaidėjų, kuriuos galime įvardinti kriminaliniais veikėjais, tačiau jie ypatingi tuo, kad yra itin sofistikuoti. Didžioji dalis jų turbūt yra iš tamsiojo interneto, kuriame, numanoma, yra daug rusų kilmės hakerių – ne etinių hakerių (taip vadinami hakeriai, kurie įsilaužia į sistemas ieškodami spragų ir taip norėdami padidinti saugumą internete – red. pastaba), o juodųjų hakerių, kurie bando įsilaužti į mūsų sistemas ir mus šantažuoti. „Ransomware“ dabar daugiausiai yra nukreipta į privatų verslą, tačiau aš tikiu, kad tai bus dalis mūsų gyvenimo nacionaliniu lygiu.
Įsivaizduokite save – jums nereikia būti Rusija ar Kinija, kad užpultumėte Lietuvos energetikos sistemas, kaip galėjo būti praeityje. Gal tai tiesiog bus vyrukai iš tamsiojo interneto, kurie sakys vyriausybei, jei Vilniuje vis dar norite turėti įjungtą šildymą ar elektrą, turite mums sumokėti milijoną dolerių. Ir niekada negali būti tikras, ar sumokėjus jie padarys ką žadėję – gal toliau prašys vis dar daugiau.
Kitas didelis vykstantis pokytis – staiga tapo daug lengviau rasti partnerius kiberatakų bendruomenėje. Tau nebereikia būti JAV, Kinijoje ar Rusijoje, Irane ar Izraelyje, kur yra labai daug talentingų žmonių, galinčių padaryti daug dalykų, bet tu gali tai nusipirkti jų paslaugas kone kaip turguje. Jei tu esi nevalstybinė organizacija, arba, pavadinus dar gražiau, teroristinė organizacija ir turi reikalingus ryšius, juodajame internete tu gali gauti labai sofistikuotus įrankius tiesiog sumokėdamas pinigus.
Tiesa, pinigų mokėjimas dar ne viskas – tokie žmonės supranta, kad kai tu moki pinigus, kažkas galbūt gali tave identifikuoti. Niekas neateis ir neprisistatys, kad štai, aš esu vaikinas, kuris ruošiasi atakuoti Lietuvą ar Izraelį, nes tuomet šios šalys imsis kažkokių veiksmų. Taigi paprastai niekas neprisipažįsta, kad kažką padarė – ne taip kaip įprastame pasaulyje. Jie ateina į tamsųjį internetą ir klausia, gal kas nors turi naują įrankį, kurį galima nukreipti prieš Lietuvos finansines institucijas. Atsiranda žmonių, kurie sako – jokių problemų. Bet kodėl tu nori daryti tai pats? Sumokėk, ir mes padarysime tai už tave – tai vyksta tiesiog kaip paslaugos pardavimas.
Šie procesai palies mūsų visų gyvenimus, nes mes kalbame apie kritinę infrastruktūrą. Mes gyvename nuostabiame pasaulyje, kur žmonės nuolat naudojasi mobiliaisiais telefonais, kur netrukus važinėsime autonominiais automobiliais, kur esame vis labiau prijungti prie interneto. Džiaugiamės naujomis dirbtinio intelekto galimybėmis, vis daugiau darbų perima robotai, bet ar tai saugu?
– Ar yra kokių nors būdų užkirsti tokiems pavojams kelią? Kas turėtų būti už tai atsakingas?
– Pradėkime nuo vyriausybės vaidmens. Tikiu, jūs namuose turite švarų vandenį – vyriausybė atsakinga už tai, kad grįžę namo turėtumėte galimybę nusiplauti rankas, taip užkirstumėte kelią ligoms. Lygiai taip pat jūs norite turėti švarų internetą. Kas už tai atsakingas Lietuvoje? Tai turi būti vyriausybės vaidmuo. Kaip ji veikia nacionaliniu lygiu? Laimei, jūs padarėte daug dalykų – aš buvau nustebintas, kokia pažengusi Lietuva kalbant apie kibernetinį saugumą. Bet reikia vyriausybės lygmeniu žinoti, kaip jūs sprendžiate krizes? Kas yra krizė, kaip ji identifikuojama, kaip jai ruošiamasi? Paprasti žmonės turi žinoti, ką vyriausybė ketina daryti krizės atveju.
– Tad paprasti vartotojai turi viską tiesiog palikti vyriausybės rankose, ar gali kažką padaryti ir patys?
– Kaip paprastas vartotojas, tu negali mokėti už tai, kad kas nors galbūt kėsinsis atakuoti mobiliųjų technologijų bendrovę. Bet kaip privatus žmogus, tu tiesiog turi nuolat būti sąmoningas. Jeigu gaunate elektroninį laišką iš žmogaus, kurio nepažįstate – neatsakykite. Per pastarąją valandą gavau gal dvidešimt skambučių iš Portugalijos, Graikijos, dar kažkur: aš nežinau tų numerių ir, manau, tai yra kita apgaulė – jie nori, kad perskambinčiau ir taip priverstų mane sumokėti. Bet įsivaizduokite save, kad jūs atsiliepiate į tokį skambutį, ir tuo pačiu metu į jūsų telefoną atsiunčiamas virusas. Ar Jūs turite antivirusinę programą jūsų telefone? Aš galiu pasakyti, kad ne. Jūs tikitės, kad to, kas įdiegta telefone, mažų mažiausiai pakaks užkirsti kelią tokioms atakoms, bet aš galiu pasakyti, kad taip nebus. Todėl, kad naujos atakos yra labai sofistikuotos, paskutinės iš jų taip pat yra grįstos dirbtiniu intelektu. Tad dirbtinis intelektas tikrai pakeis pasaulį, ir ne tik gerąją, bet ir blogąja prasme.
Taigi, kol mes esame prisijungę prie interneto, o esame nuolat, turime būti sąmoningais. Todėl reikia nacionalinių apmokymų tam sąmoningumui didinti. Jei manęs paklausite, koks jums pats svarbiausias dalykas norint būti saugesniems internete – pasikeiskite slaptažodžius. Žinau, kad jūsų slaptažodis telefone, kompiuteryje, feisbuke, visur yra toks pats. Priešingu atveju, jei kažkas įsilauš į „Facebook“ ir pasiims 90 mln vartotojų duomenis – jūs būsite vieni iš jų. Tada mašinos bandys įsilaužti į jūsų banko sąskaitas, kur slaptažodis turbūt vėl bus tas pats. Taigi, vienas svarbiausių dalykų paprastiems žmonėms yra keisti slaptažodžius bent du kartus per metus – dažniau nereikia. Arba jei girdite, kad kažkas atsitiko interneto erdvėje – šiais laikais tokios žinios labai greitai pasklinda po pasaulį – pasikeiskite slaptažodį. Juk tai padaryti ne taip sunku.
– Neatsiliepti nežinomiems numeriams, neatsidaryti laiškų iš nežinomų adresatų – ar taip netampame šiek tiek paranoikais? Juk nepažįstami žmonės nori susisiekti ir neturėdami blogų tikslų.
– Sutinku, todėl grįžtu prie vyriausybės vaidmens. Jei ji aktyviai veiks, siekdama užfiksuoti anomalijas, pastebėdama kažką, ko neturėtų vykti, tai padės ne tik jums, bet ir visiems kitiems. Žinoma, paranoikais būti nereikia – aš ir pats tikrai padarau klaidų, kam šiais laikais kartais pakanka paspausti vieną mygtuką. Tik tada reikia kuo greičiau ieškoti sprendimo, dažniausiai tiesiog atnaujinti antivirusinę sistemą. Kartais, deja, to nebepakanka, nes žala jau padaryta. Ką tada dar galite padaryti kaip žmogus? Turėti reikalingą informaciją atsarginėje laikmenoje (angl. backup). Kur yra jūsų atsarginė laikmena: debesyje, kompiuteryje, o gal jūs esate kaip 90 procentų pasaulio žmonių ir neturite jokios? Jei turite, kada ją tikrinote? Dažniausiai žmonės tai daro tada, kai pameta telefoną arba nusiperka naują. Taigi, sąmoningumas labai svarbus ne tam, kad būtume paranoikais, bet kad suvoktume, kai matome kažką įtartino, ir pagalvotume, kad gal geriau nespausti to mygtuko.
– Sakėte, kad Lietuva jau daug padarė kibernetinio saugumo srityje. Galėtumėte patikslinti, ką?
– Labai svarbu, kad jūs turite naują nacionalinę strategiją – turėti nacionalinę strategiją kibernetiniam saugumui šiais laikais yra tiesiog privaloma. Aš jos neskaičiau, bet vien jos turėjimas reiškia, kad kažkas yra atsakingas už kibernetinį saugumą nacionaliniu lygiu, kažkas nuolat stebi bendrą vaizdą, tikrina, kiek stiprūs esate, rūpinasi, kad turėtumėte kokį nors reguliavimą. Aš šiaip iš principo nemėgstu reguliavimo, bet, tenka pripažinti, kad kai jo nėra, žmonės dažniausiai savanoriškai nesiima veikti. Kai kurie naivūs žmonės sakys – palikime tai rinkai, rinka viską sutvarkys, bet iš tiesų rinka susimaus. Jums reikia reguliavimo ir jums reikia apmokyti savo žmones.
Tad, vienas dalykas, jums reikia nacionaliniu mastu koordinuoti, kaip žmonės gali būti apmokomi, kitas – jums reikia vadinamų CERT komandų (computer emergency responsed team), kurias jūs, manau, turite. Reikia apgalvoti, kaip dalinamasi informacija, kaip ji atiduodama vyriausybei, kaip ja dalinasi ministerijas, kaip užtikrinami privatumo aspektai ir tt.
Kai kalbame apie kibernetinį saugumą, taip pat reikia pagalvoti apie terorizmą. Jis gali būti naudojamas įvairiais būdais, tiek, kaip minėjau, šantažuojant, tiek, pavyzdžiui, skleidžiant melagingas naujienas. Įsivaizduokite, jei staiga daug žmonių pradeda gauti žinutes, jie nežino, kas tai yra, kokį tai sukelia chaosą.
Ką daryti? Svarbu suprasti, kad pasaulyje, kuriame gyvename, toliau niekas nebus lengviau, tiek privatiems žmonėms, tiek verslui. Tad prieiname prie paties svarbiausio dalyko, kurį turi padaryti vyriausybė, tai yra, pasirūpinti švietimu. Lietuva yra gerai žinoma dėl savo talentingų žmonių. Kaip ir Izraelis, jūs žinomi dėl žmogiškojo kapitalo: turite gerų matematikų, kompiuterijos mokslininkų, viena iš didžiausių Izraelio interneto kompanijų „Wix“ yra Lietuvoje – galite tuo didžiuotis. Bet kalbant apie kibernetinio saugumo užtikrinimą, kaip jūs užtikrinsite, kad jūsų gabiausi žmonės neišvyktų į Vokietiją, Silicio slėnį JAV, bet liktų čia? Tuo turėtų būti rūpinamasi nacionaliniu lygiu.
Izraelyje mes tai jau padarėme – geriausias dalykas, kuris mums atsitiko, buvo tas, kad mūsų ministras pirmininkas identifikavo kiberterorizmą kaip nacionalinę grėsmę, ko pasekoje daug lėšų buvo skirta tam, kad būtume bent jau tarp pirmųjų penkių šalių pasaulyje pagal kibernetinį saugumą. Mes padarėme kelis dalykus: pradėjome nacionalinę programą, susijusią su švietimu, pradėjome remti universitetus, kad jie pradėtų vykdyti šios srities tyrimus, taip pat pagalvojome, kad jei jau esame viena iš labiausiai technologijas išvysčiusių šalių pasaulyje, padarykime iš to verslą. Mes kuriame naujas technologijas, naujus startuolius, naujas kompanijas, kurios sprendžia su kibernetiniu saugumu susijusias problemas, iš kurių jau yra labai gerai žinomų kaip „Checkpoint“ ar „Cyberark“. Bet tai nevyksta savaime – vyriausybė turi prisiimti riziką ir tai skatinti.
Aš tikiu Lietuva, nes žinau, kad jūs turite talentų. Bet taip pat žinau, kad jūs patiriate atakas, nors gal niekas to ir nepatvirtina – esu tikras, nes turite šalia labai mielų draugų, kurie žiūri ne tik į jus, į daug šalių aplink. Todėl jūs turite būti pasiruošę ir turite būti tikri, kad geriausi žmonės dirbs jums. Turiu omeny, žmonės iš Lietuvos, ne iš Izraelio ar JAV, nes kai kalbame apie jautriausią šalies informaciją, jos negali valdyti žmonės iš užsienio. Taip, užsieniečiai gali padėti sukurti sistemas, bet tam tikrus saugumo klausimus turėsite valdyti tik patys. Tikiu, kad jūs galite tai padaryti.
– Užsiminėte apie melagingas naujienas. Turite pasiūlymų, kaip spręsti šią problemą?
– Nemanau, kad ją galima išspręsti šimtu procentu, bet galima padaryti daug dalykų tiek nacionaliniu, tiek verslo lygiu. Girdėjau, kad Izraelyje yra bent penkios kompanijos, kurios bando kurti įrankius identifikuoti melagingoms naujienoms, ir tai tikrai nėra lengva. Galiausiai, reikia žinoti kontekstą, suprasti, ką kalba žmonės, kad būtų galima žinias identifikuoti kaip melagingas. Bet Jums reikia įstatymų, nurodančių, kad žmonės, skleidžiantys melagingas žinias, bus baudžiami, gali patekti į kalėjimą. Kas prižiūrės rinkimus? Tai vienas sudėtingiausių klausimų, dabar sprendžiamas visame pasaulyje. Būna, žmonės, kurie eina į rinkimus, pradeda gauti žinutes, kuriomis jie siunčiami į kitas vietas, ar kartais gauna žinutes, kad kandidatas nebekandidatuoja. Kai kalbama apie elektroninį balsavimą, žmonės gali būti nukreipiami balsuoti sistemoje, kuri neegzistuoja. Tad jums reikia pasižiūrėti į tai kaip įmanoma greičiau ir sukurti planus, kaip elgtis tokiais atvejais. Šimtaprocentinių sprendimų nebus niekada, bet reikia būti pasiruošus bent procedūras ir metodologiją kaip elgtis.
– Lietuvoje vykusioje iniciatyvoje „Idėja Lietuvai“ viena iš atrinktų idėjų buvo biurokratijos mažinimas skaitmenizuojant valstybės paslaugas. Kaip Jūs ją vertinate? Ar nėra pavojinga viską sukelti į internetą?
– Puiki idėja. Kai kurie žmonės sakys, kad tai pavojinga, ir aš tikiu, kad yra tam tikrų rizikų, bet jų visada yra kai ką nors darai. Manau, negalite sustabdyti technologijų – turite eiti su jomis. Aš tikiu skaitmeninėmis šalimis ir tuo, kad turime užtikrinti jų saugumą. Kai turite reikalų su skaitmenine Lietuva, turite tuo pačiu metu galvoti apie kibernetinį saugumą. Priešingu atveju, nutiks dalykai, kurie vyksta visame pasaulyje. Klausimas, kiek pinigų vyriausybė pasiruošusi investuoti, kad užtikrintų kibernetinį saugumą? Taip, tai kainuoja didelius pinigus. Bet įsivaizduokite, kiek kainuos atitaisyti padarytą žalą? Tai gali kainuoti dešimt kartų daugiau nei investicijos į saugumą. Vienintelė problema, kad žmonės dažniausiai galvoja nebent dvi dienas į priekį, ne apie ilgąjį laikotarpį, ir tada jie sako, mums nieko neatsitiks. Jie net nežino, kad tai jau atsitiko.
– Tad ar galime sakyti, kad dabar gyvename kibernetinio karo laikais?
– Taip ir yra, kibernetinis karas vyksta, ne pilnu mastu, bet yra daug atvejų, kai bandoma patikrinti, kokie kiti yra pažeidžiami, vyksta kiberatakos ieškant, kur yra kitų silpnosios vietos. Todėl vyriausybei, verslui, visiems reikia kooperuotis ir galvoti, ką galite padaryti.