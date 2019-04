Mēs bieži vien ziņās dzirdam par kiberuzbrukumu izcelsmi Krievijā vai Ķīnā. Kuras valstis, pēc jūsu ieskatiem, ir atbildīgas par biežākajiem uzbrukumu incidentiem? Vai Latvija (vai Baltijas valstis) ir iesaistīta kā maršruts? Vai ir redzamas atšķirības dažādos pasaules reģionos?

Es neteiktu, ka uzbrukumu metodes mainās atkarībā no valsts vai kontinenta – runa ir tikai par apjomu un biežumu, kas mainās. Viens no aspektiem, kas cilvēkus ļoti interesē, ir mēģinājumi saprast, no kurienes nākuši uzbrukumi. Patiesībā, ņemot vērā interneta vides iezīmes, ir ļoti grūti pārliecināties, no kuras valsts ir nācis konkrētais uzbrukums. Tā vietā cenšamies koncentrēt uzmanību uz to, lai apturētu dažādus instrumentus un tehnikas, ko izmanto uzbrucēji, neatkarīgi no atrašanās vietas. Tas nozīmē, ka mums ir labākas iespējas faktiski apturēt uzbrukumu, nevis nepareizi attiecināt to uz konkrētu valsti.

Pirms pāris gadiem publicējāt "LinkedIn" rakstu par Vispārīgās datu aizsardzības regulas izaicinājumiem. Tagad uzņēmumiem jau ir piešķirti sodi par neatbilstību regulai. Vai jūs teiktu, ka lielākā daļa uzņēmumu šobrīd atbilst regulai? Kādi vēl ir lielākie izaicinājumi?

Es domāju, ka Vispārīgā datu aizsardzības regula ir likusi organizācijām nopietnāk izturēties pret saviem datu aizsardzības pienākumiem. Kad 2013. gadā publika pirmoreiz tika iepazīstināta ar regulu, bija daudz pārpratumu par to, ko tā patiesībā nozīmētu organizācijām un ko tām vajadzētu darīt, lai tās būtu atbilstīgas. Laika gaitā prasības ir kļuvušas skaidrākas, un es domāju, ka daudzas organizācijas tām atbilst.

Protams, atbilstība ne vienmēr nozīmē drošību. Organizācijām vēl joprojām teorija ir jāīsteno praksē, un to pierāda arvien pieaugošais datu pārkāpumu biežums un apjoms visā pasaulē. Tas ir lielākais izaicinājums, jo Vispārīgā datu aizsardzība regula un līdzīgi noteikumi netiek līdzi tam, kā mainās kiberuzbrukumi un tehnoloģijas. Turklāt tas prasa tehniskāku izpratni par veidiem, kā organizācijai būtu jāpasargā sevi.

Kā cilvēks kļūst par ētisko hakeri? Vai visiem hakeriem ir IT izglītība, vai arī tas ir dzīvesveids?

2008. gadā es ieguvu grādu kā ētiskais hakeris. Tolaik Apvienotajā Karalistē, iespējams, bija tikai divas augstskolas, kas piedāvāja tādu iespēju. Tagad šādu universitāšu jau ir daudz vairāk, tomēr tas nav vienīgais veids, kā kļūt par ētisko hakeri. Pazīstu vairākus cilvēkus, kuri ir ieguvuši grādu tehniskajās zinātnēs un pēc tam iegūst papildu kvalifikāciju, piemēram, kļūstot par sertificētu ētisko hakeri, vai apgūst kādu citu kursu, kas palīdz iegūt zināšanas drošības jomā. Cilvēki šajā jomā mēdz ienākt ar tehniskajām vai IT pamatzināšanām. Vienlaikus atsevišķi cilvēki, kas tagad darbojas nozarē, iepriekš nebūt nav bijuši saistīti ar šo profesiju.

Daudzi no viņiem darbošanos nozarē uzsāka, domājot, kā lietas darbojas vai kā apiet pastāvošos spēles noteikumus, – viņus interesēja tieši veids, ar to saistītā loģika un noteikumi, lai apmānītu sistēmu. Meklējot cilvēkus savai komandai, mani mazāk interesē tas, kā viņi ir nokļuvuši nozarē, vairāk – tieši interese un aizraušanās ar to, kā notiek mācīšanās process, kādu ieguldījumu cilvēks ir sniedzis, kā attiecas pret savu darbu.

Kādi ir bijuši vislielākie draudi, ar kuriem nācies saskarties?

Pirms pāris gadiem notika masveidīgs uzbrukums, kas skāra Nacionālo veselības dienestu te, Apvienotajā Karalistē, būtībā dažām slimnīcām tas liedza iespēju strādāt vairākas stundas. Piemēram, ja cilvēki devās veikt datortomogrāfiju, iekārta nedarbojās. Par laimi, šajās stundās neviens negāja bojā, tomēr daudzas vizītes tika atceltas. Esmu sadarbojies ar dažām organizācijām, lai pasargātu tās no līdzīgiem uzbrukumiem, un tas patiešām bija diezgan nervozs laiks. Es palīdzēju slimnīcām, kas netika skartas, un mēs imitējām šos notikušos uzbrukumus, lai redzētu, kas varētu notikt un kā to novērst. Tieši to mēs darām "Revolut", domājam ne tikai par uzbrukumiem mūsu sistēmām, bet arī cenšamies iejusties uzbrucēja ādā. Piemēram, ja tiek plānots uzbrukums "Revolut", – kādus soļus hakeris spertu, kā iegūtu datus? Un no mūsu puses – kā apturēt uzbrukumu? Daudzas organizācijas domā tikai par uzbrukumu apturēšanu, bet ar to nepietiek – drošība nav absolūta, nekad nevar būt 100% drošs. Tāpēc daļēji mūsu darbs ir izdomāt, kā mēs reaģētu, ja notiktu kiberuzbrukums. Runa nav tikai par augsta drošības līmeņa nodrošināšanu, mums ir jāzina, ko darīt, ja notiktu ļaunākais.

Hakeri var nemaz nemēģināt uzbrukt tieši mūsu klientiem, bet gan izvēlēties kādu no mūsu sistēmām. Tāpēc vispirms ir jāpārliecinās, ka viņiem nebūs iespējams to izdarīt. Tomēr, ja kāds būs atradis veidu, kā tikt iekšā, mums ir jānodrošina, lai hakeri nevarētu nozagt personas datus un nevarētu pārvietot naudu. Nākamais solis ir apsvērt, ka hakeriem tas viss ir izdevies. Kā mums atrast šos uzbrucējus, un kā panākt, lai atturētu viņus no datu izmantošanas? Runa nav par uzbrukumu vienam klientam, mēs uz to raugāmies sistēmiski, ņemot vērā, piemēram, ka kāds no darbiniekiem ir pierunāts darīt kaut ko pretlikumīgu un kaitējošu.

Man vienmēr ir paticis izmantot savas prasmes un zināšanas, lai palīdzētu labdarības un citām organizācijām, kas tradicionāli nevar atļauties kiberdrošības ekspertus. Brīvajā laikā cenšos tām palīdzēt, lai tās būtu pēc iespējas drošākas.

Kādiem uzņēmumiem jūs esat uzbrucis kā ētiskais hakeris? Kādos gadījumos guvāt panākumus un kā?

Esmu strādājis ar juridiskām organizācijām, veselības aprūpes kompānijām, arhitektūras uzņēmumiem – ļoti atšķirīgiem uzņēmumiem un iestādēm. Man visvairāk patika tie gadījumi, kuros mēs atradām nepilnības gan no fiziskās drošības, gan kiberdrošības viedokļa, jo mēs ne tikai centāmies uzbrukt kā hakeri, bet arī fiziski ielauzāmies ēkās. Mēs tiešām vairākas stundas stāvējām pie ēkas, lai noteiktu, kā darbinieki ieiet ēkā, kāds ir process, lai tajā nokļūtu, kurā vietā ārā pulcējas smēķētāji, kāda ir darbinieku rīcība gadījumos, ja ieslēdzas ugunsgrēka signalizācija. Tādā veidā laika gaitā mēs noskaidrojām, kāds ir labākais veids, lai iekļūtu šajā ēkā, kā atspējot videonovērošanas kameras un atvērt barjeras. Piemēram, mēs arī iesūtījām uzņēmumā savu cilvēku, kurš izskatās pēc darbinieka, un vienlaikus mēs uzlauzām karšu lasītājus, kas atver durvis uzņēmuma iekšienē. Līdz ar to mūsu cilvēks varēja pārvietoties pa uzņēmumu kā darbinieks, jo mēs attiecīgajos brīžos atspējojām durvju drošības sistēmu, un mūsu cilvēkam atlika tikai izlikties, ka ar karti pieskaras nolasīšanas sistēmai. Visiem citiem apkārt esošajiem tas izskatījās ikdienišķi. Daudzos uzņēmumos šīs divas jomas – fiziskā drošība un kiberdrošība – tiek pārvaldītas atšķirīgi, tomēr starp tām ir daudz saskares punktu. Šī modernā domāšana mani ļoti aizrauj.