Įsivaizduokite, kad vienos šalies vyriausybė imtųsi tokio tipo išpuolių prieš kitos šalies vyriausybę – likus dienai iki svarbių rinkimų išsiųstų šimtus suklastotų žinučių iš įvairių politikų ir kitų visuomenės veikėjų paskyrų. Tai tikrai padarytų įtakos balsavimo rezultatams. Tokiu būdu taip pat galima eskaluoti tarptautinį ginčą. Tinkamai suplanuota ir įvykdyta, tokia virtuali ataka būtų pragaištinga.
Ar šįkart kibernetiniai įsilaužėliai turėjo prieigą prie tiesiogiai per „Twitter“ siunčiamų žinučių, nežinoma. Šie pranešimai nėra užšifruoti „Twitter“ tinklo viduje ir galėjo būti prieinami įsilaužėliams. Tos žinutės, kurias vieni kitiems siunčia pasaulio lyderiai, didelių įmonių generaliniai direktoriai, žurnalistai ir jų šaltiniai bei sveikatos organizacijų atstovai yra daug vertingesnės nei „bitcoin“. (Jei būčiau nacionalinės žvalgybos agentūra, galbūt net apsimesčiau, kad vagiu „bitcoin“, kad paslėpčiau savo tikrąjį tikslą – rinkti žvalgybos duomenis.) Dar 2018 metais „Twitter“ buvo pareiškęs, kad žvalgosi galimybių užšifruoti tokias žinutes, tačiau to dar nepadarė.
Internetinės komunikacijos platformos, tokios kaip „Facebook“, „Twitter“ ir „YouTube“, yra labai svarbios šiuolaikinei visuomenei. Mes jomis naudojamės, kad bendrautume vieni su kitais. Mūsų išrinkti vadovai jomis naudojasi, kad bendrautų su mumis. Jos yra būtinoji infrastruktūra. Tačiau jas valdo pelno siekiančios įmonės, kurias vyriausybė mažai teprižiūri. Toks modelis tiesiog nebėra tvarus.
„Twitter“ ir kitos panašios įmonės yra labai svarbios mūsų nacionaliniam dialogui, mūsų ekonomikai ir demokratijai. Turime tai suvokti ir paskatinti jas tai suvokti – tai reiškia, jog turime reikalauti, kad šios kompanijos geriau pasirūpintų savo vartotojų saugumu.
Turime reikalauti, kad šios kompanijos geriau pasirūpintų savo vartotojų saugumu.
„Twitter“ atveju įsilaužėlių taktika nebuvo ypač sudėtinga. Beveik neabejotinai bus įmanoma išsiaiškinti, kokios „Twitter“ saugos spragos leido kibernetiniams nusikaltėliams įvykdyti įsilaužimą – galbūt tai susijęs su kurio nors „Twitter“ darbuotojo mobiliojo ryšio paslaugų tiekėju, o gal net papirktu įmonės darbuotoju. FTB šiuo metu tiria incidentą.
Toks išpuolis angliškai vadinamas „class break“. „Class break“ išpuoliai yra labai paplitę kompiuterizuotose sistemose, ir nuo jų mes, kaip vartotojai, apsisaugoti negalime – geresnė asmeninė apsauga čia nepadės. Nesvarbu, ar jūsų paskyra turi sudėtingą ir sunkiai įsimenamą slaptažodį, ar dviejų žingsnių identifikavimo funkciją. Nesvarbu, ar paskyra prieinama per „Mac“, ar stalo kompiuterį. Pats vartotojas negali nieko padaryti tiesiogiai, kad apsisaugotų nuo tokio išpuolio.
Pats vartotojas negali nieko padaryti tiesiogiai, kad apsisaugotų nuo tokio išpuolio.
„Class break“ yra tokia saugumo spraga, kuri pažeidžia ne vieną sistemą, bet visą sistemų klasę. Kibernetiniai nusikaltėliai gali išnaudoti tam tikros operacinės sistemos pažeidžiamumą, kuris užpuolikui leidžia nuotoliniu būdu valdyti kiekvieną kompiuterį, kuriame veikia tos sistemos programinė įranga, arba internetinių skaitmeninių vaizdo įrašymo įrenginių ir internetinių kamerų pažeidžiamumą, leidžiantį užpuolikui sujungti tuos įrenginius į didžiulį tinklą, kurį jis naudos savo tikslams.
„Twitter“ atveju viena tinklo saugos spraga leido užpuolikui užgrobti kiekvieno šio tinklo vartotojo paskyrą. „Twitter“ vartotojams šis išpuolis buvo dvigubai kenksmingas. Daugelis žmonių, pasitikėdami „Twitter“ asmens identifikacijos sistemomis, žino, kad kažkas, teigiantis, kad yra tam tikra įžymybė, politikas ar žurnalistas, iš tiesų ir yra tas asmuo. Kai buvo užgrobtos žinomų žmonių paskyros, tai sudavė rimtą smūgį pasitikėjimui ta sistema. Be to, kai išpuolis buvo aptiktas ir „Twitter“ laikinai uždarė visas patikrintas paskyras, visuomenė prarado gyvybiškai svarbų informacijos šaltinį.
Yra daugybė saugumo technologijų, kurias tokios kompanijos kaip „Twitter“ gali įdiegti, kad geriau apsaugotų save ir savo vartotojus – tai nėra problema. Problema yra ekonominė, ir norint ją išspręsti, reikia padaryti du dalykus. Vienas jų yra imti griežčiau reglamentuoti šių įmonių veiklą ir pareikalauti, kad jos skirtų daugiau lėšų saugumui. Antrasis yra jų monopolinės galios apkarpymas.
Vienas jų yra imti griežčiau reglamentuoti šių įmonių veiklą ir pareikalauti, kad jos skirtų daugiau lėšų saugumui. Antrasis yra jų monopolinės galios apkarpymas.
Bankų saugumo nuostatos yra kompleksiškos ir išsamios. Jei žemo rango banko darbuotoja būtų sučiupta daranti ką nors neteisėto su žmonių sąskaitomis arba jeigu ji neteisėtai perduotų prisijungimo duomenis kažkam kitam, bankui būtų paskirta griežta bauda. Atsižvelgiant į įvykio detales, aukštesnio rango banko darbuotojai galėtų būti patraukti atsakomybėn asmeniškai. Šios priemonės padeda apsaugoti mūsų pinigus. Taip, bankams jos kainuoja ir kartais smarkiai sumažina jų pelną. Tačiau bankai neturi kito pasirinkimo.
Technikos milžinių atveju yra atvirkščiai. Jos gali nuspręsti, kokį saugos lygį turės jūsų paskyra ir jūs šiuo klausimu neturite jokios įtakos. Jei jums ir siūlomos saugos ir privatumo parinktys, tai tik todėl, kad įmonė nusprendė, kad galite jas turėti. Šio jos sprendimo niekas nereglamentuoja. Nėra jokios atskaitomybės. Nėra jokio skaidrumo. Ar žinote, kiek saugūs jūsų duomenys „Facebook“ ar „Apple“ „iCloud“ ar dar kur nors?
To nežino niekas, išskyrus tas įmones.
Nežinote. To nežino niekas, išskyrus tas įmones. Vis dėlto tai yra nepaprastai svarbu nacionaliniam saugumui. Kol kas šios įmonės yra reta išimtis, nes joms leidžiama veikti be griežtos vyriausybės priežiūros.
Pavyzdžiui, į prezidento Donaldo Trumpo „Twitter“ paskyrą nebuvo įsilaužta taip, kaip į Joe Bideno, nes prezidento paskyra turi „specialią apsaugą“, kurios detalių mes nežinome. Mes taip pat nežinome, kuriems kitiems pasaulio lyderiams taikoma ta apsauga ar kas bei kaip priima sprendimą, kam ją taikyti. Ar apsauga nustatoma rankiniu būdu? Ar ją galima išplėsti? Ar ją turėti gali visos patvirtintos paskyros? Mes tegalime spėlioti.
Be saugumo priemonių, kitas sprendimas yra suskaidyti technologijos įmonių monopoliją. Tokios kompanijos kaip „Facebook“ ir „Twitter“ turi tiek daug galios, nes yra tokios didelės ir neturi realių konkurentų. Tai kelia riziką ir nacionaliniam, ir asmeniniam saugumui. Jei būtų 100 skirtingų „Twitter“ tipo kompanijų ir pakankamai suderinamumo, kad visi jų sklaidos kanalai galėtų susijungti į vieną sąsają, ši ataka nebūtų buvusi tokia didelė problema.
Dar svarbiau tai, kad panašaus, bet labiau politiškai orientuoto išpuolio rizika nebūtų tokia didelė. Jei egzistuotų konkurencija, skirtingos platformos siūlytų skirtingas saugumo priemones, taip pat skirtingas įrašų skelbimo taisykles, skirtingas autentifikavimo gaires – skirtumų būtų daugiau visose srityse. Konkurencija yra vienas iš mūsų mūsų ekonomikos pagrindų, viena iš paskatų kurti ir diegti naujoves. Monopolijos turi daugiau galios siekdamos pelno daryti tai, ką nori, net jei jų veiksmai kenkia žmonėms.
Beje, pastarasis incidentas nebuvo pirmoji „Twitter“ saugos problema, susijusi su nepatikimais kompanijos darbuotojais. 2017 metais paskutinę savo darbo dieną, vienas dabar jau buvęs šios įmonės darbuotojas uždarė prezidento Donaldo Trumpo paskyrą. 2019 metais dviem žmonėms buvo pateikti kaltinimai dėl šnipinėjimo Saudo Arabijos vyriausybei, tuo metu jie dirbo „Twitter“.
Galbūt pastarasis kibernetinis išpuolis pasitarnaus kaip žadintuvo skambutis. Bet, kiek galime spręsti iš ankstesnių incidentų, susijusių su „Twitter“ ir kitomis įmonėmis, atrodo, kad vargu ar taip nutiks. Technologijų įmonėms kol kas yra pelningiau skirti mažiau lėšų saugumui ir galų gale leisti visuomenei už tai sumokėti. Aš nekaltinu technologijų kompanijų. Suprantama, kad jų tikslas yra užsidirbti tiek pinigų, kiek tik įmanoma nepažeidžiant įstatymų. Norint išspręsti saugos klausimą, reikia keisti įstatymus, o ne tikėtis, kad įmonių vadovai pakeis savo požiūrį.