Jon Rejado / 2017-05-28 / 1311 hitz
Interneterako loturek funtsezko zerbitzuen kudeaketa erraztu dute: osasun arloa, ur hornikuntza, energia… Sarea gero eta pisu handiagoa hartzen ari dela, ‘Wanna Cry’ malwarearen erasoa heldu da, eta hausnarketarako bideak eragin ditu: segurtasuna, arriskuak, zibermenpekotasuna…
Egun batetik bestera famatu egin da izena: Wanna Cry. Informatikan interesik ez dutenek ere izan zuten zibererasoaren berri. Maiatzaren 12an, malware edo programa informatiko gaizto hori zabaltzen hasi zen. Ordu gutxian, dozenaka mila ordenagailu blokeatu zituen mundu osoan, bai herritarrenak, bai gizartearen ongizatean zeresana duten erakundeenak: Erresuma Batuko Osasun Sistema, Deutsche Bahn Alemaniako trenbide enpresa nagusia, Errusiako Barne Ministerioa eta telekomunikazio enpresa batzuk… Eraso horrek hauspotu egin ditu segurtasunaren gaineko hausnarketak, eta agerian jarri du sistema gehienak sarera lotzeak eragin dezakeen ahuldadea. Alegia, gizartearen bizi baldintzei eusten dien sarea begi askoren jomugan dago, dela hori babesteko, dela horretaz aberasteko.
Oihartzun handia izan arren, Wanna Cry ez da historian gehien hedatu den birusa, ezta kalte handiena eragin duena ere. Hortaz, zergatik piztu du halako ikusmina? Gako bat eman du Roumen Boyanovek, Nafarroako Gobernuko Segurtasun eta Errendimenduaren Kudeaketa Saileko buruak: «Bi programa gaiztoren nahasketa da, eta hori ez da aurretik ikusi». Batetik, gaitasuna du ordenagailuz ordenagailu azkar zabaltzeko, sistema eragile batzuen ahuldadeak baliatuta; bestetik, disko gogorreko dokumentuak bilatu, enkriptatu, eta dirua eskatzen du haiek lehengoratzearen truke. Programa horiei ransomware esaten zaie. «Erabiltzen duten kriptografia indartsua da; gobernu batek ez luke apurtuko ehun urtean ere», azaldu du Boyanovek.
Wanna Cry malwareak arreta bereganatu du astebetez. Ordea, egunero beste hamaika eraso gertatzen dira munduan. «Sarea gizartearen isla baino ez da», hausnartu du Vinton Gray Cerfek, Interneten sortzaileetako batek. Gizartean delituak badaude, sarean ere izango dira. Ertzaintzaren datuak horren adierazle dira. Iaz 7.772 ziberdelituren berri izan zuen: tratu txarrak, sexu askatasunaren aurkako erasoak… Ordea, horien %90 inguru iruzurrak eta ondarearen aurkako delituak izan ziren. Interpol Polizia Kriminalaren Nazioarteko Erakundea 2012an hasi zen ohartarazten ziberdelituak ohiko delituak baino errentagarriagoak direla.
Logikotzat jo dute adituek. Boyanovek gogora ekarri du sarera konektatzen diren gailuak asko ugaritu direla. «Dirua dago horien atzean, eta, mundu errealean bezala, dirua dagoen lekuan norbait agertuko da horretaz etekina ateratzeko». Interneten ezaugarriek hori errazten dute, Boyanoven esanetan: batetik, ez da azpiegitura handirik behar —ordenagailu bat eta sarea—; bestetik, kontaktu fisikorik gabe egin daiteke, eta edozein ordutan; azkenik, «oso zaila» da delitua jazartzea eta norbaiti leporatzea.
Egoera horiek guztiek errazten dute xede zehatzik gabeko erasoak abiaraztea. Alegia, sarean dagoen gailu orori eraso egitea. Herritarrei eragiten die horrek, eta bestelako erakundeei ere bai. Baita gizartean oinarrizko zerbitzuak bermatzen dituztenei ere.
Zibermenpekotasunik bai?
Juanjo Unzilla EHUko Ingeniaritza Telematikako irakaslea da, eta informazioen segurtasunean aditua. Gogora ekarri du gero eta zerbitzu gehiago daudela sarera lotuta. Bi alde ikusten dizkio horri. Batetik, teknologia berriek hamaika aukera berri erraztu dituztela: gastua gutxitu, azpiegituren kontrola erraztu…. Bestetik, zehaztu du gizarteak sortu duela mundu bat non zaila gertatzen baitzaion sarerik ez dagoela pentsatzea. Zibermenpekotasuna dagoela uste du. «Orain, uste dugu Interneterako lotura eta horren bidez eskura ditzakegun zerbitzuak airea bezalakoak direla: bertan daude, besterik gabe».
Aditu guztiek gogorarazi dute sarera konektatuta dagoen gailu orok arrisku bat izan dezakeela. Unzillak adierazi du horri aurre egiteko moduak historia luzea duela atzetik. «Lehenik eta behin, arriskuak aztertzen dira; zenbat eta arrisku gehiago, orduan eta segurtasun zorrotzagoa ezartzen da: zer egin daitekeen eta zer ez, nork erabil dezakeen, zer baldintzarekin…». Neurri horiek bereziki zaintzen dituzte azpiegitura kritikoetan; hots, funtsezko zerbitzuak eskaini, eta ordezkorik ez duten azpiegituretan: ur hornidura, energia, osasungintza… Euskal Hack Segurtasun Informatika Elkarteko kide Miguel Angel Hernandezek arreta jarri du azpiegitura kritikoetan. «Azpiegitura kritikoek ematen dituzten zerbitzuen aurkako eraso batek arriskuan jar ditzake herritarren segurtasuna eta datuak».
Azpiegitura mota horien hamaika adibide daude, baina zentral nuklearretan pentsatzea ez da zaila. Posible da halako azpiegitura batek zibereraso bat jasatea? Apenas dago informaziorik horren gainean, segurtasuna are gehiago bermatzeko. Sektore nuklearreko arduradunen arabera, ordea, oso zaila litzateke hori egitea. Batetik, erreaktore nuklearraren funtzionamenduarekin lotutako sistema bakartuta dago; hau da, ez du inolako harremanik zentrala kudeatzeko bestelako sareekin. Horrez gain, nabarmendu dute segurtasunaz arduratzen diren teknologia gehienak «analogikoak» direla.
Arrisku izpia beti ageri da, ordea. Alemanian, Gundremmingeneko zentral nuklearrean, birusak antzeman zituzten, non eta erabilitako erregaia erreaktoretik ur andeletara eramaten duen sisteman. Zentraleko arduradunek jakinarazi zuten langileen zein hiritarren segurtasuna bermatuta egon zela une oro. Ordea, nola sartu ziren birusak sisteman? Ikerketen arabera, litekeena da langileren baten USB gailu baten bitartez gertatu izana.
Administrazioak zaindari
Osasun arloa, administrazioa, garraioa, ogasuna… Erakunde publikoekin lotutakoak azpiegitura kritikoak asko dira. Hego Euskal Herrian Eusko Jaurlaritzak zein Nafarroako Gobernuak zerbitzu horietako batzuen segurtasuna bermatu behar dute, sarean une oro gertatzen diren erasoen aurka. 2016an Nafarroako Gobernuak Interneten eskaintzen dituen zerbitzuek 475.000 eraso gelditu zituzten: 1.300 eraso inguru egunero. Eusko Jaurlaritzak «goi mailako» 650.000 eraso jaso zituen, ia 1.800 egunean.
Aditu guztiak argiak dira: ez dago erabateko segurtasunik. Etengabeko prozesua da segurtasunarena, eta zeresana duten guztiei dagokie: erabiltzailea, programak egiten dituena… Nafarroako Gobernuak zein Eusko Jaurlaritzak argitu dute bi ildo nagusitan egiten dutela lan: batetik, erasoak eta horien eragina saihestea, eta, bestetik, erasoa gertatuz gero sistema ahal den azkarrena oneratzea.
Lehen atalari dagokionez, azaldu dute ardatz guztietan jartzen dutela arreta: esparru teknikoa, prozedurak eta giza baliabideak. Edonola ere, Boyanovek berretsi du ezinezkoa dela erabateko segurtasuna: «Herren dagoen gazela ez izateko lan egiten dugu sektoreko guztiok. Gure burua agerian ez uztea dugu helburu. Atzean ez geratzea. Taldearen erdian, babespean, egotea».
Lehenik eta behin, teknologiari dagokion atalean, segurtasuna azpiegituraren diseinutik bertatik pentsatu behar dela nabarmendu dute Alex Etxeberria Eusko Jaurlaritzako Informatika Elkarteko zuzendariak eta Boyanovek. Nola irudikatzen da hori? Modu askotan. Besteak beste, administrazio publikoan sareak zatikatuta daude: osasun arloko profesionalak sarbidea izango du hari dagozkion lekuetara, baina ez hezkuntzaz arduratzen den eremura.
Segurtasuna «geruzetan» antolatuta dute. Alegia, sisteman barrura egin ahala geroz eta iragazki gehiago gainditu behar dira. Iragazki horien lana agerian uzten dute mezu elektronikoen datuek: Nafarroako Gobernuak 14.000 ordenagailu ditu, eta 2016an 182 milioi mezu jaso zituzten. Bada, horietatik 162 milioi, %89, ez ziren mezu zailegi. Jaurlaritzaren ardurapean dauden erakunde guztien artean 70.000 ordenagailu inguru dituzte, eta zailegi ez ziren lau milioi mezu jaso zituzten. Zergatik aldea? «Sarea eskaintzen digun enpresak lehen iragazki bat ezartzen du, eta gurea bigarren babes sistema bat da», jakinarazi du Etxeberriak.
Maila teknikoan baliatu daitezkeen beste hainbat babes sistema daude. Horietako bat ohiko antibirusak dira. Neurri egokitzat jo dute programatzaileek egiten dituzten eguneratzeak instalatzea ere. Hernandezek gogora ekarri du Wanna Cry-ren erasoa azken arrazoi horregatik gertatu zela. Sistema eragile batzuetan ahulgune bat atzeman zuten, eta Microsoftek horretarako konponbidea aurkeztu zuen; bi hilabete geroago Wanna Cry malwareak ahulgune hori baliatu zuen ordenagailuetan sartzeko eta edukiak enkriptatzeko.
Pertsona, katebegi ahulena
Neurriak neurri, aditu guztiek bat egin dute: sistemaren katebegi ahulena pertsona da. Unzilla argia da: «Edozein sistemaren barruan pertsonari dagokion atal bat dago, eta pertsonek esaten dietena egiten dute… edo ez». Ildo horretan sakondu, eta gogorarazi du segurtasuna bermatzeko neurri zurrunak behar direla, eta zurruntasun hori erosotasunaren kalterako izan ohi dela.
Gizabanakoaren gainean, Hernandezek hausnartu du erabiltzaileek ez dutela balizko arriskuetan pentsatzen. «Sakelako telefonoak adibide gertukoa dira; argazkiak, posta elektronikoa edota banku elektronikoa baliatzeko programak ditugu haietan, eta, sistema informatiko bat den heinean, arriskuan jar daiteke». Hernandezen iritziz, erabiltzaileek fabrikatzailearengan jartzen dute ardura: haiek behar beste neurri hartu dituzten sinesmena dago. «Hala ere, gailu baten berritasuna sarri nagusitzen zaie segurtasun neurriei». Horren aurrean, etorkizunera begira «segurtasun digitalaren kultura» sortzearen eta zabaltzearen aldekoa da Hernandez, baita Euskal Hack elkartea ere. «Batzuetan ahazten dugu konektatutako bizitzak egunerokoan duen isla».
Unzillaren esanetan, etorkizuna iraganak baldintzatuta dator. Egungo arazo askoren jatorria duela 40 urte inguru hasi zirela oroitarazi du, Internet sortu zutenean. Orduan ez zuten pentsatu Internetek egun duen erabilera izango zuenik; hortaz, erabilera berriak aurkitu ahala, «adabakiak» jarri behar izan dizkiote arazoak saihesteko. «Ezin dugu mundua gelditu hutsetik hasteko; mugitu ahala konpondu beharko dugu, itsasontzi baten motorra itsasoaren erdian apurtzen denean bezala».
Unzillak hausnartu du horrek baldintzatuko duela teknologia ezartzeko modua, baita nola baliatu daitekeen irakasteko modua ere. «Umeei irakatsi diegu errepidea gurutzatu behar dutela semaforoa berde dagoenean; bada, sarera konektatuta dagoen edozein gailurekin gutxieneko segurtasun neurriak ezarri beharko dituela ikasi beharko dute, bermatzeko, lehenik eta behin, gure pribatutasuna».