Može li jedna glupa ljudska pogreška srušiti cijelu kompaniju? Koliko ste samo puta čuli rečenicu: “Ljudi jednostavno ne razmišljaju. Kliknut će na sve.” U svijetu cyber sigurnosti, to je postala gotovo poslovica – tihi izgovor svaki put kad netko otvori sumnjivi privitak, klikne na lažni link ili slučajno podijeli povjerljive informacije. No, što ako to nije samo problem korisnika, već simptom loše dizajniranih sustava? Ira Winkler, jedan od najuglednijih svjetskih stručnjaka za informacijsku sigurnost tvrdi da organizacije prečesto upiru prstom u ljudsku pogrešku, a premalo se pitaju kako je sustav dopustio da pogreška jednog čovjeka dovede do kompromitacije cijelog sustava. Njegov pristup se temelji na iskustvu iz obrambenih i obavještajnih sustava gdje “pogreška” može značiti ljudske žrtve – i gdje je baš zato sve podređeno prevenciji i ublažavanju štete. I zato je njegova poruka jasna: “You Can Stop Stupid”, a to je ujedno i naziv njegovog predavanja na nadolazećoj konferenciji Span Cyber Security Arena koja će se održati od 19. do 21. svibnja u Opatiji. 

Male greške, veliki rizici 

„Kad me pitaju može li jedna glupa ljudska greška srušiti cijelu kompaniju, kažem da da, ali pritom ne mislim da bi baš ta jedna pogreška sama po sebi trebala imati toliku snagu. Na primjer, ako korisnik  ima lošu lozinku, to samo po sebi ne bi smjelo biti dovoljno da sruši cijelu kompaniju. Ali, ako sustav nije dovoljno otporan i nema dobre zaštitne mehanizme, ta loša lozinka može pokrenuti lančanu reakciju i dovesti do ozbiljnih problema.“, objašnjava Winkler navodeći kao primjer kibernetički napad na Colonial Pipeline gdje lozinka sama po sebi nije srušila cijelu kompaniju, ali je netko uspio doći do te lozinke jer nije bilo višestruke autentifikacije. 

„Napadač se uspio prijaviti kao legitimni zaposlenik zbog čega je imao dovoljno prostora da se polako probija kroz cijelu infrastrukturu, postavljajući malware na ključna mjesta sve do točke kad je Colonial Pipeline odlučio da im je bolje ugasiti cijeli sustav nego pokušati zaustaviti napad i riskirati da napadač preuzme kontrolu nad mrežom.“, pojašnjava Winkler te zaključuje kako je svakako moguće da jedna pogreška izazove kaos, ali i da se uz dobre zaštitne mehanizme to može spriječiti. 

„Tu mislim na višestruku autentifikaciju, slojevitu obranu, ograničavanje korisničkih prava i slične sigurnosne prakse.“, zaključuje Winkler koji je u IT svijetu poznat i kao moderni James Bond jer je kao bivši operativac Nacionalne sigurnosne agencije (NSA) SAD-a, provodio kompleksne simulacije špijunaže s ciljem testiranja otpornosti organizacija. Danas kao voditelj sigurnosti u kompaniji CYE Security, primjenjuje ta znanja kako bi korporacijama diljem svijeta pomogao u dizajnu otpornijih sustava. Bio je i glavni sigurnosni arhitekt Walmarta, gdje je vodio strategiju zaštite za jednu od najvećih mreža podataka na svijetu. 

Sigurnosni inženjering bez krivnje 

Winklerov slavni moto “You Can Stop Stupid” pretočen je i u istoimenu knjigu u kojoj Winkler opisuje konkretan pristup koji se temelji na principima iz takozvanog behavioral security engineeringa – discipline koja kombinira psihologiju, dizajn i sigurnost. Ključna je ideja da se sigurnost ne oslanja isključivo na korisnikovu sposobnost da „učini pravu stvar“, već na to da sustav postavi granice i barijere koje sprječavaju eskalaciju pogrešaka. 

Jedan od Winklerovih najpoznatijih koncepata je tzv. “Security Failure Chain”, odnosno niz točaka na kojima sustav može (i treba) prekinuti put prema šteti. To znači višestruke slojeve zaštite, pravovremene kontrole, automatizirano prepoznavanje sumnjivih radnji i sustave koji „opraštaju“ greške, a ne kažnjavaju korisnike za njih. 

Winklerovo predavanje dolazi u pravom trenutku kada Hrvatska, ali i regija ubrzavaju svoju digitalnu transformaciju, no sigurnosna infrastruktura često ne prati taj tempo. Brojni napadi na institucije, obrazovne ustanove i poslovne subjekte u posljednjih godinu dana pokazuju da nije pitanje hoće li doći do napada, već kada – i koliko će sustav biti spreman na njih. Umjesto panične reakcije nakon incidenta, nudi se proaktivni okvir koji pomaže organizacijama svih veličina da prvo razumiju rizike, a zatim ih smanje kroz bolji dizajn, obuku i tehnologiju. 

Ako mislite da već znate sve o cyber sigurnosti – Winklerovo vas predavanje može razuvjeriti. Ovaj svjetski priznati stručnjak ne dolazi s alarmantnim statistikama niti prodajom magičnih rješenja, već s nečim još važnijim – godinama iskustva i sustavnim pristupom koji funkcionira unatoč korisničkim greškama. Ili baš zbog njih. Bez optuživanja. Bez iluzija. Zato nabavite svoju kotizaciju na vrijeme i poslušajte predavanje modernog „James Bonda“.