CRN Branża cyberbezpieczeństwa znajduje się w paradoksalnie trudnej sytuacji. Przybywa jej pracy ze względu na ilość i jakość zagrożeń, coraz trudniej też skutecznie chronić klientów. Ale jednocześnie rosną przychody dostawców. Czy to sprawia, że kierujący firmami tworzącymi rozwiązania ochronne raczej się martwią, czy też może są zadowoleni?

Richard Marko Mimo że dzięki obecnej sytuacji kondycja finansowa firm działających w branży ochrony systemów IT jest bardzo dobra, trudno mówić o zadowoleniu, bo z roku na rok sytuacja komplikuje się coraz bardziej. Generalnie smutne jest to, że coraz więcej osób postrzega cyberprzestępczość jak szansę na zarobienie łatwych pieniędzy kosztem innych. I nie tylko skala ataków staje się problemem, ale także ich skuteczność. Natomiast na pewno mamy poczucie satysfakcji, że udaje nam się stawić czoła temu wyzwaniu. Przez wiele lat byłem członkiem ekipy w dziale badań i rozwoju, więc wiem, że nie jest to proste zadanie i że w najbliższym czasie na pewno nie będziemy się nudzić.

 

CRN Czy obawiacie się, że pewnego dnia powstanie  takie zagrożenie, na które nie będziecie w stanie znaleźć lekarstwa?

Richard Marko Myślę, że mamy do czynienia z naturalną równowagą, na którą wpływa zachowanie wszystkich trzech stron. Gdy klienci orientują się, że są bardziej zagrożeni, inwestują w rozwiązania ochronne, dzięki czemu ich twórcy zyskują więcej pieniędzy na rozwój i możliwość zwalczania bardziej skomplikowanych zagrożeń. Z kolei trzeba pamiętać, że przestępcy zarabiają na użytkownikach, więc nie będzie im się opłacało stworzenie zagrożenia, przez które przestaną oni korzystać z komputerów lub innych urządzeń. Zapewne będzie jeszcze wiele trudnych sytuacji, ale wierzę, że ze wszystkim sobie poradzimy. W tej dziedzinie nie spodziewam się jakiejś totalnej apokalipsy.

 

CRN Tymczasem mniej doświadczeni użytkownicy komputerów, ale czasami nawet resellerzy, przyznają, że mają trudności z porównaniem funkcjonalności rozwiązań ochronnych. Narzekają, że producenci w swoich przekazach marketingowych deklarują dokładnie to samo. Tymczasem zapewne diabeł tkwi, jak to zwykle bywa, w szczegółach. Czy jesteście świadomi tego problemu?

Richard Marko Oczywiście, jesteśmy świadomi i muszę przyznać, że dla nas samych to też czasem wyzwanie. Żyjemy w globalnym świecie, gdzie wszyscy mogą „podglądać” wszystkich, co siłą rzeczy wpływa także na komunikację marketingową. W branży ochrony systemów IT wszyscy producenci mają taką samą misję, dlatego występuje pewna zbieżność komunikatów wysyłanych w świat. Przeciwdziałamy temu w ten sposób, że wspólnie z dystrybutorem i resellerami staramy się użytkowników edukować, ucząc ich m.in. właśnie tego, na co powinni zwracać uwagę.

 

CRN A na co powinni?

Richard Marko Zacznijmy od tego, że nie ma nic lepszego niż własne doświadczenie. Wiedzą o tym producenci. Dlatego chyba każdy udostępnia wersje demonstracyjne swoich produktów, aby użytkownicy mogli zapoznać się przede wszystkim z interfejsem oraz tym, czy i jak bardzo antywirus spowalnia pracę komputera. Warto też zwrócić uwagę na niezawodność danego oprogramowania. Z definicji są to rozwiązania bardzo skomplikowane, które na różnych poziomach ingerują w strukturę systemu operacyjnego, co przy niewystarczająco przetestowanym oprogramowaniu może negatywnie wpłynąć na jego pracę. Oczywiście niezawodność nie ma większego związku ze skutecznością, więc jej oceną muszą zająć się profesjonaliści. Jest kilka instytucji, które publikują swoje raporty wraz z metodologią badania. Jest wyjątkowo ważna, bo wykonywanie sprawiedliwych pomiarów jest bardzo trudne, nawet dla nas samych.

 

CRN No właśnie, podobno codziennie powstaje kilkaset próbek złośliwego kodu. Jak więc „sprawiedliwie” wybrać te do pomiarów ich wykrywania?

Richard Marko Potwierdzam, że jest ich bardzo wiele, w związku z czym dziś nie ma możliwości przygotowania zabezpieczeń przeciwko konkretnym próbkom. Naszym zadaniem jest więc obserwowanie zachowania złośliwego kodu, wyszukiwanie podobieństw i tworzenie uniwersalnych szczepionek, działających przeciwko całym grupom próbek. Konieczne jest zastosowanie automatyzacji, maszynowo uczących się mechanizmów, m.in. w postaci heurystyki. I to te dziedziny powinny być weryfikowane przez niezależne instytucje.

 

CRN A jak ważne jest pochodzenie producenta oprogramowania antywirusowego? Kiedyś, przed erą Internetu, lokalne produkty antywirusowe były skuteczniejsze, bo ich twórcy po prostu mieli łatwiejszy dostęp do popularnych w danym kraju próbek złośliwego kodu. Wraz z Internetem przyszła konieczność stosowania antywirusów od globalnych dostawców, którzy mają swoje laboratoria na całym świecie. Natomiast dziś mamy do czynienia np. z trudnym do odróżnienia od oryginału phishingiem, napisanym bardzo poprawnie w lokalnym języku. Dla producenta wskazane jest więc skorzystanie ze wsparcia osoby, dla której jest to język ojczysty. Czy to oznacza, że historia zatoczyła koło i ze względu na czas reakcji oraz znajomość języka znów lokalni producenci antywirusów mogą okazać się tymi, których produkty będą skuteczniejsze?

Richard Marko To ciekawa obserwacja i absolutnie poprawny tok rozumowania. Potwierdzam, że do zrozumienia istoty zagrożenia przy zwalczaniu cyberprzestępczości coraz częściej potrzebny jest kontekst lokalny, wiedza o tym, jakie aplikacje i portale internetowe są w danym kraju popularne. To rzeczywiście mogłoby przechylić szalę na stronę lokalnych dostawców. Ale myślę, że tak się nie stanie, ponieważ nie będą oni w stanie poradzić sobie z zagrożeniami z innych regionów świata, które przez Internet w ciągu paru sekund mogą trafić na drugą półkulę. Rozwiązaniem jest model hybrydowy. Producenci, którzy mają swoje – najczęściej handlowe – przedstawicielstwa na całym świecie, powinni zadbać o to, aby w każdym regionie mieć do dyspozycji ekspertów, z których wiedzy w każdej chwili najbliższe laboratorium będzie mogło skorzystać. W czasach Internetu, mimo powszechności zagrożeń bazujących na inżynierii społecznej, środowisko pracy twórców rozwiązań ochronnych powinno pozostać międzynarodowe.

 

CRN Ostatnio większość dostawców oprogramowania zabezpieczającego wprowadza na rynek bezpłatne produkty z myślą o przeciwdziałaniu atakom ransomware. Oczywiście jest to zabieg marketingowy, ale czy w ten sposób nie „znieczula” się użytkowników, którzy mogą pomyśleć, że inne, uniwersalne rozwiązania nie są im już potrzebne?

Richard Marko To byłby bardzo niepożądany efekt. Ale uważam, że tego typu narzędzia są użyteczne z dwóch powodów. Nawet jeżeli ktoś nie chce korzystać z oprogramowania o pełnej funkcjonalności, dzięki takim narzędziom może w jakimś stopniu poradzić sobie z niektórymi, najbardziej złośliwym i zagrożeniami, a do takich niewątpliwie należy ransomware. Takie narzędzia czasami są wykorzystywane też przez producentów do testowania konkretnej funkcji, która finalnie może pojawić się w zintegrowanym, uniwersalnym rozwiązaniu.

 

CRN Większość kłopotów użytkownicy komputerów ściągają na siebie sami, przede wszystkim przez nierozważne korzystanie z zasobów Internetu. Mimo podejmowanych przez 20 lat działań edukacyjnych, nadal daleko nam – dostawcom i mediom – do sukcesu. Czy istnieje możliwość, aby oprogramowanie ochronne automatycznie wykrywało niezbyt inteligentne decyzje użytkowników i ostrzegało ich, zanim pobiorą złośliwy kod na swój komputer?

Richard Marko Istnieją już mechanizmy analizujące nie tylko kod, ale całą „otoczkę” tego, co dzieje się na komputerze, w celu wykrycia działań klasyfikowanych jako inżynieria społeczna. Natomiast do końca zwalczyć tego problemu się nie da. I dopóki ludzie będą mieli moc podejmowania decyzji, dopóty bardzo często będą najsłabszym ogniwem w kontekście bezpieczeństwa. Problemem jest też to, że nawet przy tak zaawansowanych rozwiązaniach IT, jakie są obecnie dostępne, nie ma możliwości wyeliminowania procesu podejmowania decyzji przez użytkowników. Poza tym cyberprzestępcy doskonale wiedzą, że ludzie czasami wyłączają antywirus, aby zainstalować jakieś oprogramowanie lub obejrzeć film. Nie możemy im tego zabronić ani utrudniać, możemy tylko edukować i uświadamiać.

 

CRN Wyzwanie związane jest też z zabezpieczaniem urządzeń mobilnych. Ich użytkownicy konsekwentnie ignorują ten temat, ale trzeba przyznać, że do dziś nie wydarzyło się nic tak spektakularnego, co skuteczne skłoniłoby ich do stosowania takiej ochrony. Kiedyś szybko rosła popularność wirusów rozsyłanych przez Bluetooth, ale poradzono sobie z nimi. Czy urządzenia mobilne rzeczywiście są w dużym stopniu zagrożone i każdy z nas wkrótce będzie musiał instalować na nich antywirusa?

Richard Marko Oczywiście zagrożenia dla urządzeń mobilnych istnieją, szczególnie dla systemu Android, ale faktycznie, na razie nie są tak powszechne jak na komputerach. Nie ma też takiej sytuacji, jaka od czasu do czasu następowała w erze popularyzowania się systemu Windows. Wtedy falami przychodziły informacje o kolejnych zagrożeniach i budowana była świadomość użytkowników dotycząca konieczności ochrony. To ryzyko jest też mniejsze dlatego, że systemy operacyjne urządzeń mobilnych są zwykle lepiej zabezpieczone, bo są bardziej zamknięte niż systemy komputerów stacjonarnych i trudniej w nie ingerować z technicznego punktu widzenia. Regularna „komputerowa” cyberprzestępczość po prostu w tej chwili przynosi więcej zysków przestępcom, więc na razie w mniejszym stopniu skupiają uwagę na urządzeniach mobilnych. Ale czas intensywnych ataków mobilnych zapewne też przyjdzie.

 

CRN Może zatem, zanim mleko się rozleje, warto nakłaniać producentów systemów operacyjnych do urządzeń mobilnych, aby zrobili to, co od pewnego czasu robi Microsoft w Windowsach, czyli rekomendowali instalację oprogramowania antywirusowego?

Richard Marko To byłoby mądre działanie z ich strony. Tym bardziej, że czasami znajdujemy poważne luki w najbardziej popularnych mobilnych systemach operacyjnych – niektóre mogą przyczynić się do poważnej światowej epidemii. Życzyłbym sobie też, żeby aktywniej współpracowali z dostawcami oprogramowania ochronnego. Szczególnie trudna jest sytuacja z systemem iOS, bo jego producent wprowadził wiele ograniczeń, przez które nie możemy ingerować w jego strukturę, a musi to robić każde oprogramowanie antywirusowe. To może spowodować problemy w przyszłości. Rozmawiamy z producentami, ale także z firmami telekomunikacyjnymi i z nimi współpraca często przebiega bardzo sprawnie. Na pewno kwestii zabezpieczeń urządzeń mobilnych będziemy przyglądać się w przyszłości.

 

CRN Mniej świadomi użytkownicy komputerów czasem podkreślają, że oczekiwaliby od dostawców usług „czystego sygnału”, tak jak mają gwarantowaną czystą wodę w kranie i elektryczność bez zakłóceń. Czy dostarczanie usług internetowych oczyszczonych z zagrożeń przez firmy telekomunikacyjne jest w ogóle możliwe?

Richard Marko W pewnym stopniu tak. Dzieje się tak chociażby z pocztą elektroniczną, w przypadku której właściciel serwera często „wycina” większość spamu. Warto też zauważyć, że istnieje pewien rodzaj negatywnej korelacji między bezpieczeństwem i rozrywką. Jeśli użytkownik chce mieć dostęp do wszystkiego, oglądać filmy z podejrzanych stron, to ryzyko zarażenia jego komputera oczywiście rośnie. Poza tym, tak jak w przypadku poczty, oczyszczanie ruchu internetowego wiązałoby się z ingerencją w przesyłaną treść, a to już jest forma cenzury. Być może wkrótce problem zostanie rozwiązany w ten sposób, że to użytkownik będzie wybierał poziom bezpieczeństwa zapewnianego przez dostawcę Internetu, a w związku z tym godził się na pewną ingerencję w dane, które otrzymuje. Będzie musiał jednak wziąć pod uwagę fakt, że dany usługodawca non-stop będzie śledził jego poczynania w sieci.

 

CRN Kolejnym etapem cyfrowej rewolucji niewątpliwie będzie Internet rzeczy. Mimo że dopiero raczkuje, było wiele przykładów całkowicie niezabezpieczonych urządzeń przetwarzających wrażliwe dane, np. elektroniczne nianie. Dość często pojawia się pytanie, kto powinien być odpowiedzialny za ochronę tych wszystkich połączonych ze sobą urządzeń?

Richard Marko Teoretycznie odpowiedzialność spoczywa na producentach. Ale tak samo jest w przypadku oprogramowania do komputerów i wszyscy wiemy, jak wygląda rzeczywistość. Gdyby było one opracowane idealnie, nie byłoby potrzeby stosowania antywirusów. Natomiast w przypadku urządzeń IoT sytuacja jest trudniejsza. Po pierwsze, w dzisiejszych czasach wszyscy mamy ogromną presję czasową, więc producenci chcą jak najszybciej wprowadzić produkt na rynek, aby zdążyć przed konkurencją. W takiej sytuacji aspekty związane z bezpieczeństwem automatycznie schodzą na drugi plan, bo nie jest to funkcja zapewniająca na pierwszy rzut oka jakąś korzyść użytkownikom, a refleksja przychodzi dopiero potem, gdy coś się wydarzy. Po drugie, w większości przypadków są to rozwiązania zamknięte, więc nawet nie ma możliwości, aby o ich bezpieczeństwo w sposób bezpośredni dbały firmy trzecie. Mam nadzieję, że w pewnym momencie powstaną prawne regulacje, które nałożą na wszystkich producentów rozwiązań IoT obowiązek spełniania podstawowych norm bezpieczeństwa. Bo jeżeli nadal będzie to zależało od ich dobrej woli, to w coraz tańszych i szybciej dostępnych urządzeniach na pewno nie będzie zaawansowanej ochrony.

 

CRN Czy to oznacza, że branża antywirusowa zupełnie umywa ręce od IoT? Co z urządzeniami, na które można pobierać aplikacje, np. inteligentnymi telewizorami?

Richard Marko Producenci systemów ochronnych mogą zaangażować się we współpracę z dostawcami rozwiązań Internetu rzeczy jako konsultanci i dostawcy wiedzy pomagający w ich zabezpieczeniu. I podobnie jest w przypadku wspomnianych telewizorów, które na pewno wkrótce staną się popularnym celem cyberprzestępców. Wiele z nich jest bardzo słabo zabezpieczonych, ale ich oprogramowanie jest zamknięte, więc dopóki nie stanie się bardziej ustandaryzowane, dopóty niewiele możemy zrobić. Natomiast nie wykluczam, że być może w przyszłości pojawi się coś takiego jak oprogramowanie ochronne dla telewizorów, podobnie jak dla urządzeń mobilnych, bo z technicznego punktu widzenia oba te rodzaje produktów są bardziej do siebie podobne niż na przykład do komputerów. Ale widzę też inne możliwości rozwiązania tego problemu – przez wprowadzenie urządzeń ochronnych, filtrujących cały ruch, z i do takich urządzeń IoT w danej sieci.

 

CRN Jeśli już mówimy o przyszłości, to nie sposób nie wspomnieć o kryptowalutach. Dziś niewiele mówi się o nich w kontekście bezpieczeństwa, a przecież gdy ich właściciele zostaną okradzeni, nawet nie bardzo mają komu ten fakt zgłosić…

Richard Marko Mamy do czynienia z tym tematem coraz częściej. Ponieważ kryptowaluty zapewniają anonimowość, są wykorzystywane przez cyberprzestępców do dokonywania płatności za ich usługi lub okupu za odszyfrowanie danych. Ale jesteśmy dopiero na początku drogi związanej z tą formą płatności. Taka waluta bazuje na obliczeniach matematycznych, więc w swoich podstawach jest związana z IT. Do kradzieży może jednak dochodzić na wielu różnych poziomach, np. przez wykradzenie kodów dostępowych do portfela cyberwaluty lub przez atak na platformy handlowe. Uważnie przyglądamy się temu zjawisku i obserwujemy mechanizmy z nim związane. Ja jestem dość konserwatywny i nie korzystam z cyberwalut.

 

CRN Oczywiście nie możecie ingerować w sam mechanizm funkcjonowania cyberwalut, ale możecie pomóc np. w zabezpieczeniu giełd walut oraz ich użytkowników. Może w oprogramowaniu antywirusowym powinna pojawić się funkcja nazwana umownie „Bitcoin Protector”?

Richard Marko To jest dobry pomysł, warto się nad nim zastanowić. Większość mechanizmów obronnych ma charakter ogólny i jest w stanie ochronić przed mechanizmami zakłócającymi funkcjonowanie cyberwalut, ale wprowadzenie dodatkowych specjalnych funkcji, w podobny sposób, jak czynimy to w przypadku ransomware, może mieć sens. Nie wykluczam, że temat ochrony cybertransakcji już niedługo stanie się bardzo popularny.

 

CRN Do branży IT z butami wchodzi globalna polityka. Żyjemy w niespokojnych czasach i widzimy, że niektóre rządy skłaniają się do używania przeciwko innym krajom, a czasem własnym obywatelom, narzędzi – nazywając je po imieniu – cyberprzestępczych. Czy ta dziedzina w jakimkolwiek stopniu znajduje się także w obszarze zainteresowania twórców rozwiązań ochronnych?

Richard Marko Absolutnie tak. Natomiast muszę podkreślić, że my w swoich działaniach jesteśmy niezależni, nie angażujemy się w działalność polityczną i jeśli wykryjemy zagrożenie, to je blokujemy i chronimy użytkowników. Czasami ataki te, inicjowane na szczeblach rządowych, są bardzo proste, niemalże amatorskie, ale czasami ogromnie skomplikowane i wskazujące na wiedzę ekspercką wysokiej jakości. Wierzę, że niezależność firm tworzących oprogramowanie ochronne zostanie zachowana. Prawie każda z nich, mimo że pochodzi z konkretnego kraju i tam ma swoją centralę, to jednak ma też oddziały i centra badawcze na całym świecie. Moim zdaniem to jest w dużym stopniu gwarantem bezpieczeństwa. Gdyby cokolwiek stało się w macierzystym kraju i centrala padłaby ofiarą nacisków, stosunkowo łatwo byłoby przenieść ją do innego kraju, gdzie takich nacisków by nie było.