Frenk Abagnejl, živa inspiracija za film Stivena Spilberga „Uhvati me ako možeš“, govori o sajber-bezbednosti, lozinkama i greškama direktora kompanija. Nekada je bio vrhunski prevarant i kriminalac, a već više od četrdeset godina radi kao instruktor u FBI. Među stručnjacima koje obučava nalaze se i direktori kompanija koje Abagnejl upućuje u probleme sajber-bezbednosti. „Prvenstveno im skrenem pažnju na to da je najvažnije da obuče svoje zaposlene“, kaže Abagnejl u vezi sa sajber-bezbednošću, „da je njihov najvažniji posao da zaštite podatke koji su im poverili klijenti. Dakle, to je najvažnije. Nažalost, mnoge kompanije ne obučavaju svoje zaposlene u vezi sa sajber-bezbednošću zbog čega ih lako prevare lažirane poruke e-pošte (phishing) i brzo postaju žrtve raznih obmana socijalnog inženjeringa putem telefona preko koga daju mnogo više informacija nego što bi trebalo. Ljudi su u suštini iskreni i zbog toga jednostavno ni ne pomišljaju da će ih neko prevariti. Zato im se i dešava da pri pogledu na e-poruku koja izgleda prilično zvanično odmah pretpostave da je prava.
Radim na Akademiji FBI već 43 godine i podučavao sam dve generacije FBI agenata koji su se školovali na akademiji. Najviše sam zapenjen činjenicom da je mnogo lakše počiniti krivično delo danas nego kad sam ja to radio pre pedeset godina. U stvari, 4.000 puta je lakše jer tada nisam imao svu tehnologiju koja je danas na raspolaganju. Dakle, tehnologija rađa kriminal. Oduvek je to radila i uvek će biti ljudi koji će koristiti tehnologiju na negativan način da bi ostvarili korist za sebe. Bavio sam se slučajevima narušavanja bezbednosti podataka od slučaja TJ Maxx, pre četrnaest godina, pa sve do slučajeva sa lancem hotela „Mariot“ i kompanijom „Fejsbuk“ pre nekoliko meseci. Tokom svog rada u FBI naučio sam da svako narušavanje privatnosti podataka dolazi zbog toga što je neko u toj kompaniji uradio nešto što nije trebalo или neko nije uradio ono što je trebalo.
Poverljivost podataka ne narušavaju hakeri, već zaposleni u kompanijama, svi hakeri traže slabe tačke u sistemu da bi ušli u njega. U slučaju kompanije „Ekvifaks“, otkriveno je da nisu ažurirali sisteme, nisu instalirali bezbednosne ispravke i tako su otvorili vrata hakerima. Pre četiri godine, haker su upali u poresku upravu Južne Karoline, države u kojoj živim, i ukrali 3.8 milijardi poreskih davanja stanovnika te države. Posle istrage je utvrđeno da je jedan od zaposlenih u upravi odneo službeni prenosni računar kući, što nije smeo da uradi. Pošto ga je uključio u nezaštićenom okruženju, haker je upao u računarski sistem. Zbog toga je važno obrazovati zaposlene i uputiti ih u najvažniji deo posla, a to je zaštita podataka koji su im povereni.“
Kakva je budućnost lozinki?
„Lozinke još mogu da zaštite samo kućice na drvetu. Lozinke predstavljaju tehnologiju iz 1964. godine, dakle, uvedene su kad sam imao 16 godina, prema tome, mnogo pre nego što sam uradio sve ono što sam uradio kad sam bio mlad. Nedavno sam napunio 71 godinu, a mi i dalje koristimo lozinke, koje su danas glavni uzrok pojave svih zlonamernih programa i mnogih drugih opasnosti na mreži. Poslednjih pet godina sarađujem na vladinom projektu ukidanja lozinki, ne samo u našoj zemlji, i skoro smo uspeli da ga završimo. Možda ste videli reklamu u kojoj Serena Vilijams u trenerci i patikama trči po tržnom centru i nosi mobilni telefon. Odjednom, ugleda ogrlicu koja joj se sviđa. Odlazi do bankomata, otvara aplikaciju na telefonu i podiže novac ne koristeći ni lozinku ni karticu. U suštini, većina banaka u Americi počinje da prihvata procese koji ne podrazumevaju korišćenje lozinke. Mnogim kompanijama koje pružaju usluge, kao što su avio-kompanije, biće potrebno dve-tri godine da se priviknu na procese bez lozinki. Dakle, doći će vreme kad ćete čuti: „Možete da koristite lozinku, a i ne morate, kako vam je volja.“ Konačno smo stigli do tog nivoa da nam lozinke ne trebaju, ali smatram da je to moralo mnogo ranije da se desi.
Niti je postojala niti će ikad postojati tehnologija, uključujući i veštačku inteligenciju, koja će uspeti da pobedi socijalni inženjering. Ja sam ga koristio pomoću telefona pre 50 godina da bih došao u posed pilotske uniforme. Nisam znao da, zapravo, koristim metode socijalnog inženjeringa, a imao sam samo jednu sredstvo komunikacije, telefon. Danas postoji mnogo oblika komunikacije. Danas postoji jedna mogućnost koju možete iskoristiti u telefonskoj kompaniji. Na primer, pozovem telefonsku kompaniju i predstavim se kao vi. U tom trenutku sam dobio odgovore na sva bezbednosna pitanja koja bi mi mogli postaviti. Zatim im kažem da sam uništio svoju sim-karticu u telefonu i da mi treba druga. Oni mi šalju drugu sim-karticu, ja je stavljam u moj telefon i automatski imam vaš telefon.
Dakle sve što se nalazi u vašem telefonu sad je u mom: brojevi telefona, podaci o bankovnim računima i karticama, dakle, sve. To je jedna vrsta socijalnog inženjeringa koja zloupotrebljava korisnički servis. Zaposlenog u korisničkom servisu treba ubediti da sam ja vi, a on ne zna ništa drugo da preduzme osim da postavi već poznata pitanja koja mu se pojavljuju na ekranu: Koji je vaš matični broj? Kako glasi devojačko prezime vaše majke? Odgovore na ta pitanja možete vrlo lako da pronađete na društvenim mrežama.“
Kako se danas hvataju kriminalci?
„Globalna priroda interneta predstavlja problem. Kad sam ja planirao prevare, FBI se bavio uglavnom domaćim kriminalcima. Imao je nadležnost da ih uhapsi i da istražuje njihove zločine. I danas to radi. Svakog dana imamo 5.000 lažnih e-poruka. Veći deo ukupne sume od 12 milijardi dolara koji se prikupi u takvim prevarama raspoređuje se na 115 različitih država u svetu – Kinu, Indiju, Rusiju i druge – odakle i počinju lažne e-poruke. Čak i ako znamo ko su krivci i imamo njihove adrese, ne možemo im ništa. Ne možemo da ih uhapsimo, prebacimo u Ameriku i osudimo ih. Tu se suočavamo sa preprekom. Zbog toga je poslednjih godina mnogo važnije sprečavanje i odbrana od takvog napada jer ako jednom izgubite novac, sigurno je da ga vam ga niko neće vratiti.
Prema tome, prvenstveno im ne dozvolite da vam uzmu novac. Posedujemo zadivljujuću tehnologiju. Ali problem je u tome što ga većina kompanija ne koristi. Uvek zauzmu stav, „O, to se meni neće desiti jer posedujem veliku kompaniju. Ne želim da bespotrebno trošim novac na neku bezbednost.“
Na Akademiji FBI podučavam nove agente. Osim obuke namenjene policajcima, dva puta godišnje okupimo oko pedeset direktora iz grupe kompanija Fortune 500. Na akademiji provedu nedelju dana i ja im držim deo predavanja. Uvek se setim kako sam pre 40 godina odlazio u banke i upoznavao bankare kako se falsifikuju čekovi, kako se proneverava novac. Dok sam tamo sedeo pomislio sam da svima govorim ono što oni bolje znaju od mene.
Ubrzo sam shvatio da pogrešno mislim. Danas se ništa nije promenilo. Držim predavanje ljudima koji bi trebalo da budu šefovi odseka za informatičku bezbednost u kompanijama i shvatam da ne znaju mnogo što-šta. Smatraju da im je to zaduženje dato i odlučili su da usput uče, a to je, bar za mene, pomalo zastrašujuće.“