Internet in pametne naprave so že postale del našega življenja, veselo nakupujemo po spletu (sploh v teh predprazničnih dneh), brez pomislekov vpisujemo podatke o naših bančnih karticah na spletnih straneh in javno delimo podatke o sebi na družbenih omrežjih. Ob tem pa le redko pomislimo, da to morda ni varno in da ima lahko naše početje v virtualnem svetu še kako hude posledice v resničnem življenju. O varnosti na internetu, pametnih napravah, ki vohunijo za nami, in kriptografiji smo se pogovarjali z dr. Nastjo Cepak, strokovnjakinjo za kriptografijo, ki je zaposlena v podjetju, ki skrbi za kibernetsko varnost, na fakulteti za matematiko, naravoslovje in informacijske tehnologije pa predava o kriptografiji in računalniški varnosti.
Začniva s tem: kaj je kriptografija?
Jaz sem sicer matematik, za magisterij in doktorat pa sem se usmerila v kriptografijo. Kriptografi so namreč lahko bolj teoretično-matematični, kot jaz, ali pa tehnologi, inženirji .., ki se s tem ukvarjajo na aplikativni ravni. Moja raziskovalna ekipa raziskuje, kako z uporabo različnih matematičnih struktur na najbolj osnovni, teoretični ravni kriptografije doseči večjo varnost, kot jo imamo zdaj. Druga naša skupina pa se ukvarja s kriptoanalizo: kako s pomočjo matematičnih principov razbiti določene šifre. Kriptografija kot grajenje šifer in kriptoanaliza kot razbijanje šifer. To je polovica mojega dela, tista teoretično-akademska. Pri delu v podjetju pa uporabljam svoje poznavanje šifer in svetujem, kakšni tipi šifer so smiselni za uporabo v določene namene, kako jih razviti, kako skrbeti za ključe. Kriptografski algoritmi se vežejo na kriptografske ključe, če je tvoj ključ slabo zavarovan, šibek ali prekratek, je potem celoten sistem slab in ogrožen ter ne ponuja takšne varnosti, kot bi jo pričakovali. Delam tudi s kriptografskimi moduli, to so fizične šifrirne naprave, namenjene varnemu izvajanju šifriranja in hranjenju ključev. Kriptografija je torej zelo raznolika, od osnovnega matematičnega področja do aplikacije in uporabe v praksi.
Zakaj vas je kriptografija pritegnila?
Že v srednji šoli sem govorila, da bom kriptograf in da bom delala za vojsko, ker mi je to zvenelo zabavno in pustolovsko. Potem sem študirala matematiko in na to malo pozabila. Ukvarjala sem se z algebro, kar uporabljamo pri matematični kriptografiji, zato me je profesor za kriptografijo vprašal, ali bi pri njem delala magisterij. Potem pa sem hitro padla v to. Kako zavarovati informacije, kako na podlagi matematičnih konstruktov, zame zelo elegantnih in lepih, nekaj doseči v resničnem svetu: zavarovati naše podatke, identitete, zasebnost na internetu. To je zelo dobra in jasna motivacija zame.
Če omenimo kriptografijo in šifre, nam večini na misel prideta Da Vincijeva šifra ali Enigma (električna naprava za šifriranje sporočil, ki jo je Nemčija uporabljala med drugo svetovno vojno).
Enigma je bila prednica sodobne kriptografije. Principi kriptografije segajo tudi do dva tisoč let pred našim štetjem. Osnovne ideje, kako zavarovati sporočilo, da ga sovražnik ne more prebrati, so zelo stare. Lahko rečemo, da je sodobna, digitalna kriptografija, ki dela z ničlami in enicami, nastala po drugi svetovni vojni, Enigma je njena neposredna prednica. Moram priznati, da je Da Vincijeva šifra v osnovni in srednji šoli navduševala tudi mene. Takrat sem na primer prvič spoznala Fibonaccijevo zaporedje. Te stvari so v medijih zelo populistično predstavljene, a lahko tako spoznamo začetne ideje, na katerih smo skozi 50 in več let gradili sodobno kriptografijo. Zanimivo je, da se osnovna motivacija človeštva za uporabo šifer skozi zgodovino ni kaj dosti spremenila, le da z razvojem digitalne tehnologije prihajajo vedno nove zahteve in nadgradnje.
Zakaj varnosti na internetu še vedno ne jemljemo prav resno?
To ni problem kriptografije, imamo ogromno protokolov, ki so nas sposobni zavarovati, a ti ne pokrijejo človeškega faktorja. Tudi če naredimo popoln varnostni ključ, še vedno ostaja zavestna odločitev posameznika, ali bo na internetu delil svoje osebne podatke ali ne – tega mu ne moremo preprečiti. Če razmišljamo o algoritmih, ki bi nadzorovali, kaj ljudje lahko objavijo na internetu in kaj ne, tako zraven skočijo še vprašanja cenzure interneta – ob tem prihaja do globokih etičnih vprašanj. Za povprečnega uporabnika so verjetno največja tveganja, kako bo uporabljal svojo bančno kartico: ali shrani njene podatke, uporablja varno stran za plačevanje, se prepriča o avtentičnosti spletne strani ... Smo na primer sposobni prej preveriti neko novo spletno stran, preden na njej nekaj kupimo? Tu nam kriptografija ne more pomagati, tu gre za socialno noto na internetu, naše življenje je tako prepleteno z digitalnim, da mimo tega ne moremo. Ali pa dostopanje do spletne banke: po navadi za to uporabljamo digitalne certifikate, kar je s kriptografskega vidika najboljša odločitev, je pa vprašanje, kje svoj digitalni certifikat shranimo. Po navadi v brskalniku, a tu je najbolj ogrožen, a tudi če je na digitalnem ključu, ga moramo fizično odstraniti iz računalniškega omrežja, da ni ves čas povezan. Potem je tu še problem družbenih omrežij, a je to tako široka tema, da se ne bi spuščala vanjo. Če strnem: določitve in zavedanje tega, kdo vse dostopa do naših digitalnih podatkov, je zelo pomembno. Pravijo, da ko enkrat nekaj objaviš na internetu, to ostane za vedno – to v veliki meri drži, a se tega ne zavedamo. Karkoli damo na internet, pušča sled, ki se je ne da povsem izbrisati.
A mi se vseeno veselo razgaljamo na internetu?
Če srečamo neznanca na ulici, mu ne zaupamo. Niti ne kričimo vsem na ulici, kje živimo, kaj delamo, kakšni so naši vsakodnevni običaji … To nam na kraj pameti ne pade, ker smo tako vzgojeni. Na internetu pa ravno to delamo. Primanjkuje nam neka osnovna higienska kultura obnašanja na internetu, predvsem v družbenih medijih. Mlajše generacije se učijo od starejših, a trenutno tega glede interneta ni, ker so se stvari prehitro spremenile.
Pred kratkim ste predavali o problematiki interneta stvari (IoT – internet of things). Kaj je to?
Gre za pametne naprave, ki so sposobne komunicirati z zunanjim svetom, torej se povezati v omrežje, in imajo neke senzorje, ki zaznavajo in zbirajo določene informacije ter jih posredujejo naprej. Torej od mobitela in pametnih ur do pametnih hladilnikov, luči, gretja, zvoncev, kamer, igralnih konzol … Imamo že pametne čevlje, ki ugotavljajo, kako hodimo, razporejamo težo ..., pa pametne zavore na kolesih. Skoraj vsak predmet, ki ga imamo, ima potencial, da lahko zaživi tudi v pametni izvedbi. Problem je, da je takšnih naprav že tako veliko, da niti nekdo, ki načeloma razume to problematiko, ne more točno nadzorovati, kako se ta naprava povezuje na internet, kako zbira in ščiti informacije, katere vse informacije zbira o nas … In tako pride do zgodb, da je nekdo nekaj iskal po internetu, pa je naletel na posnetke svoje dnevne sobe v živo, torej videl samega sebe, kako brska po računalniku. To je samo en primer. Iz vseh teh senzorjev se lahko ustvari vzorec o našem obnašanju – kdaj smo doma in kdaj ne, kakšne so naše navade, kakšne zdravstvene težave imamo ... Nad tem preprosto nimamo nadzora, ne vemo, kakšne varnostne protokole uporabljajo. Priznam, tudi jaz imam robotski sesalnik in ne vem, kako točno je zavarovan. Mislim, da je kitajske izvedbe, če vse moje informacije prenaša na Kitajsko, kar je največja verjetnost, nad tem nimam nobenega nadzora. Tega ne morem preprečiti. Največ, kar je, je, da se tega vsaj približno zavedam. Na vrhu vsega tega pa je spet človeški dejavnik: koliko smo kar sami pripravljeni povedati internetu. Želim si, da bi bilo čim več naprav zavarovanih vsaj z digitalnimi certifikati, ne z gesli. Varovanje z geslom je preslabo, smo se naučili, vsako leto je veliko vdorov v pametne naprave in kraj osebnih podatkov. Naj spomnim samo na napad Mirai leta 2016, ko so vdrli v ogromno število pametnih naprav ter uporabili njihovo procesorsko moč, da so prek njih lahko napadali spletne strani in serverje. To so klasični napadi, ki se ponavljajo vsako leto.
Kako lahko potrošnik preveri, ali je njegova pametna naprava vsaj približno varna?
Trenutno zelo težko. Dejstvo je, da uporabniki ne moremo spreminjati, na kakšen način se bodo pametne naprave povezovale z internetom, in niti nimamo nadzora nad tem, kaj točno vse nas obdaja. Nekaj očitnih stvari, ki jih lahko naredimo: zavarujemo kamere, ne uporabljamo osebnih imen in naslovov v aplikacijah, če to ni potrebno, lahko imamo poseben elektronski naslov samo za aplikacije in prijave, ki ne izdaja našega imena. Za posameznika je zavarovanje zelo težka, če ne nemogoča naloga. Lahko pa se vprašamo, ali vse te pametne naprave res potrebujemo. Ali res potrebujem pametne športne copate? To je mnenje vsakega posameznika, prepovedati pa uporabo le teh ne moremo, ker smo preveč vpeti v digitalni svet in si želimo z njegovo pomočjo olajšati življenje.
Koliko pametnih naprav imate doma vi?
Nočem imeti pametnih luči, hladilnika, pečice in podobnega, tudi pametnih vrat ne. Imam prenosnik, mobitel, robotski sesalnik, računalnik – a brez vgrajene kamere, da lahko kamero vedno fizično odstranim, ko je ne potrebujem, enako slušalke, da nimam ves čas povezanega mikrofona. Največja grožnja za našo zasebnost so zagotovo kamere.
Večinoma se ne zavedamo, da vse te naprave zbirajo informacije o nas – te pa so ena najbolj dragocenih stvari ta trenutek.
Res je. Skoraj ne glede na to, katero aplikacijo uporabljamo, zahteva od nas kup dovoljenj. Pol teh za delovanje aplikacije ni nujno potrebnih, če se da, jim ne dajmo dovoljenja za te. Da o družbenih omrežjih sploh ne začenjam. Če omenim samo TikTok – je izjemno razširjen, hkrati se že javno ve, da je to v bistvu zelo dobro zamaskirana aplikacija za vohunjenje in umetno ustvarjanje trendov, predvsem med mlajšo populacijo, ki so zelo škodljivi. Uradno in preverjeno je, da so trendi, ki se na TikToku promovirajo med kitajskimi najstniki, drugačni kot tisti med zahodnimi najstniki – gre namreč za kitajsko aplikacijo in njen namen je za kitajsko družbo povsem drugačen kot za zahodno. Veliko je bilo povedanega o tem, kako delujejo njene kode in algoritmi. Res ne vem, kako bi TikTok opisala drugače kot aplikacijo za vohunjenje.
Zakaj se torej ta aplikacija pri nas ne prepove?
Spomnim se, da so ZDA nekaj časa razmišljale, da bi kupile to aplikacijo za svoj trg, o njihovih motivih pa ne bi debatirala. Za evropski trg hočejo omejiti neke pretoke podatkov, a kolikor vem, še ni prišlo do kakšnega posebnega dogovora. To je politično vprašanje.
Kakorkoli že, največ lahko za varnost na internetu naredimo sami?
Ja, čeprav je na teh področjih težko doseči neke uredbe. Določene korake v smer zaščite potrošnikov je naredil GDPR (General Data Protection Regulation oziroma Splošna uredba EU o varstvu podatkov), ki ima sicer veliko pomanjkljivosti, a gre v pravo smer. Poskušajo narediti algoritme, ki bi ščitili uporabnike na internetu in odstranjevali neprimerne vsebine, a to je le korak od absolutne cenzure in absolutnega nadzora vsebine. Si res želimo takšne algoritme? Spet zelo politično vprašanje. Kar zadeva varnost na internetu, gremo hitro mimo tehnoloških vprašanj, ker tehnologija lahko naredi res veliko, in pademo v socialno, družbeno, na koncu politično področje. Glede načina zaščite ima veliko besede politika, gre za vprašanje varnosti prebivalcev, varnosti podjetij, varnosti države.
Na kaj moramo biti pozorni pri spletnem nakupovanju?
Da je povezava varna – https, bodite pozorni na ta S – in predvsem, da so spletne strani preverjene, ker je veliko »ponaredkov« spletnih strani. Raje ne shranjujte podatkov bančne kartice, čeprav vam spletne strani to ponujajo. Čim manj permanentnih informacij o nas naj bo shranjenih. Če vas brskalnik opozori, da je strani potekel spletni certifikat ali kaj podobnega, raje ne kupujte tam.
Popolne varnosti na spletu ni?
Nikakor, nemogoče, poskušamo pa graditi mehanizme, ki nam pomagajo, če se kaj zgodi.
Varnostni sistemi vse bolj napredujejo, a hkrati so vse boljši tudi hekerji?
Zavarovati večje sisteme je zelo kompleksno, raznovrstnih napadov pa je veliko. Gre za nenehno igro ene in druge strani: nove rešitve – novi napadi. Ta pingpong se bo nadaljeval večno in se ne bo bistveno spreminjal.
