Lucijan Carić, osnivač je tvrke Qubis i jedan od vodećih stručnjaka za kompjutrosku sigurnost u nas. Predavač na međunarodnim konferencijama posvećnim računalnoj sigurnosti, poput Virus Bulletina, pokretač brojnih seminara na temu sigurnosti i stalni računalni kolumnist, idealan je sugovornik za analizu sigurnosnog IT stanja u Hrvatskoj.

Koliko se današnja situacija glede sigurnosti IT sustava u Hrvatskoj, bolje rečeno svijesti o potrebi zaštite, razlikuje od situacije od prije 10, 12 godina?
-Situacija danas teško je usporediva sa situacijom koju smo imali prije desetak godina. Korisnici su tada bili neusporedivo manje informirani i pripremljeni za rizike, međutim tih je rizika bilo manje. S vremenom se informiranost, bolje rečeno izloženost informacijama o rizicima, jako povećala, ali su se bitno povećali i rizici. Svejedno, unatoč jasnim informacijama o velikim rizicima kojima su izloženi korisnici i njihovi informatički sustavi, mnogi se i dalje ponašaju kao da se sve to njih ne tiče.Ipak, napredak je jasno vidljiv u sektoru komercijalnih korisnika, pogotovo u onim poduzećima i financijskim institucijama kojima svaki problem s informatičkom infrastrukturom rezultira nemogućnošću poslovanja. S druge strane individualni korisnici su još uvijek nedovoljno zaštićeni, a danas sve češće raspolažu solidnom informatičkom infrastrukturom – brzim internetskim vezama.Često naglašavamo da je sigurnost na internetu kolektivna, jer oni koji nisu poduzeli adekvatne sigurnosne mjere svojom nesigurnošću direktno ugrožavaju sigurnost drugih. Primjera radi, čak 60-70% spama šalje se sa zombi kompjutera – strojeva koje su zlonamjerni napadači, najčešće uz pomoć malicioznog softvera, preuzeli od njihovih legitimnih vlasnika. Često, takvi kompjuteri čine cijele mreže pod kontrolom organiziranih kriminalaca s kojih se, uz slanje spama, mogu izvoditi DDOS napadi i ucjenjivati, skupljati informacije i sl.

U kojoj mjeri su se promijenile prijetnje sigurnosti? Koncentriraju li se napadi na točno određene ciljeve (poput financijskih institucija i burzi) umjesto na pojedinačna računala?
– Nažalost, danas su svi ugroženi. Istina, komercijalni korisnici više nisu izloženi masovnim napadima uz pomoć virusa i crva kakve smo viđali u prošlosti. Međutim, napadi su postali suptilniji, tehnički savršeniji i – nažalost, vrlo uspješni. Primjera radi, prije nekoliko godina zabilježen je ciljan, dugotrajan napad na državne institucije i važna velika poduzeća u Velikoj Britaniji.
U isto vrijeme, informatički kriminalci neprestano formiraju velike mreže zombija – zaposjednutih kompjutera s kojih šalju spam i izvode napade. Najčešće žrtve ovdje su individualni korisnici, ali često i ISPovi, sveučilišta i veliki edukacijski centri – naravno svi oni koji ne vode dovoljno brige o sigurnosti. Prilikom organizacije napada kriminalci se vode strategijom “za svakog ponešto” – dakle, ako vam preuzmu kompjuter, a vaš kompjuter se nalazi na dial-up vezi (npr. ISDN ili modem), neće vas koristiti za slanje spama, već će na vaš kompjuter instalirati dialer ili nekakav adware program. Ako imate brzu vezu, još brže ćete postati pošiljatelj spama. Ako ne mogu pretvoriti vaše računalo u zombi, možda će probati presresti i ukrasti vaše podatke, izvršiti DDOS napad i ucjenjivati vas, hakirati vaš stroj i pretvoriti vas u spam-relay. Čak i kada se obranite od svih ovih rizika i dalje vam mogu slati spam. Dakle, nema bijega od okrutne stvarnosti…

Tko sve u Hrvatskoj educira korisnike, a pritom mislim prvenstveno na tvrtke, o sigurnosti: prodavači softvera, policija, matične kompanije iz inozemstva…?
-Mislim da se danas mnogi trude kako bi što bolje odigrali svoju ulogu. Naravno, resursi su ograničeni, prvenstveno ljudski. Nažalost imamo premalo stručnjaka, pogotovo kvalitetnih, no to je danas problem u bilo kojem poslu. Osim toga, u redu je pouzdati se u druge, no najbolje je pouzdati se u sebe. Nitko vam neće uliti znanje u glavu, već trebate aktivno tražiti informacije i nakon toga odlučiti kakve su sigurnosne mjere najbolje za vas.

Imate li saznanja o šteta nastalim računalim kriminalom u Hrvatskoj i koliko je uopće slučajeva ozbiljnijeg ugrožavanja sigurnosti bilo?
-Samo ako pratite pisanje medija mogli ste vidjeti da je bilo svakakvih problema. Virusi, spam, dialeri, dječja pornografija, napadi na web stranice (defacement), krađa podataka s kreditnih kartica (skimming). Kako bi Amerikanci rekli – you name it, we’ve got it! Osim toga, ugroženi smo i indirektno. Spam koji dolazi u Hrvatsku nije poslan iz Hrvatske, jer je Hrvatska do sada bila skroman izvor spama. Kompromitacije velikog broja podataka o kreditnim karticama u inozemstvu pogađaju ili mogu pogoditi i naše korisnike. Kao što sam rekao na početku – kolektivna sigurnost, odnosno kolektivna nesigurnost. Mi ne možemo biti sigurni ako su svi drugi nesigurni, jer će se prije ili kasnije problemi preliti i na nas. Također, nikada nećemo biti do kraja zaštićeni da nas drugi, koji se nisu zaštitili, i dalje ne bi mogli ugrožavati. Morate biti uporni, informirani i neumorni. Zato zaštita i jest posao s punim radnim vremenom, posao u kojem neprekidno morati biti spremni i imate vrlo malo prostora za pogreške.