„Buck4Bug“ įkūrėjas Paulius Šliavas subūrė daugybę hakerių, kurie tikrina saugumo spragas ir net turi karinių žinių pagrindus.

– Kibernetinėje erdvėje ieškote įmonių ir įstaigų silpnų vietų, kitaip tariant, saugumo spragų. Ar esate praktikoje radę tokią sistemą, kuri būtų visiškai nepažeidžiama?

– Tokios sąvokos kaip visiškai saugi sistema apskritai neegzistuoja. Visi kibernetinio saugumo specialistai tai puikiai žino, nes pati technologija nėra sukurta būti nepralaidi. Internetas buvo sukurtas ryšių užmezgimui ir bendravimui, todėl visiška sauga iš esmės neegzistuoja.

– Netgi valstybinėse įstaigose?

– Manau, kad yra daugybė pavyzdžių, kai įsilaužimai įvyko net į Pentagoną. Taigi klausimas yra ne apie tai, ar sistema yra nepažeidžiama, o per kiek laiko įsilaužėlis gali nulaužti sistemą, kokius resursus ir pajėgas jis gali tam telkti. Bet vėl pasikartosiu – visiškai saugios sistemos tiesiog nėra.

LNK stop kadras.

– Tai skamba gana bauginančiai.

– Suprantu. Juolab, kad pastaruoju metu atsiranda vis daugiau technologijų, tokių kaip kvantiniai kompiuteriai. Žmonės jau dalyvauja įvairiausiuose dirbtinio intelekto suvažiavimuose, kuriuose kalbama, jog dirbtinis intelektas gali nulaužti bet kokį šifravimo mechanizmą. Tačiau nors dirbtinis intelektas turi didžiulį potencialą, kol kas jis be žmogaus įsikišimo vis dar sunkiai veikia.

– Kokios dažniausiai pasitaikančios saugumo spragos?

– Verslo sektorius tiek Lietuvoje, tiek Baltijos šalyse ir visame pasaulyje turi gana daug kibernetinio saugumo spragų. Sunku įvardyti vieną dažniausiai pasitaikančią klaidą, tačiau galiu pasakyti, kad per daugelį metų, dirbdamas informacinių ryšių technologijų srityje, testuodamas įmones, dar niekada nesu radęs tokios, kurioje nebūtų nė vieno pažeidžiamumo.

– Sakote, kad įsilaužėliai atakuoja bet ką, net, tarkime, gėlių pardavimo verslą. Kokia jiems iš to nauda?

– Jei jūsų gėlių pardavimo verslas yra itin pelningas, jis tikrai gali sudominti kibernetinius sukčius. Klausimas – kaip jūs parduodate savo gėles? Jei naudojatės internetine prekyba, tai jau yra viena iš galimų įsilaužimo vietų. Programišiai, liaudiškai vadinami hakeriais, dažniausiai pasinaudoja būtent tokiomis sistemomis.

LNK stop kadras.

– Kai testuojate įmonių saugumą, ar niekada nekilo mintis, pavyzdžiui, „nuhackinti“ milijoną?

– Man 42 metai, esu baigęs atitinkamas studijas ir jau pirmame kurse buvo aiškiai pasakyta – mes esame etiški hakeriai. Žinoma, žmogus visada gali pajusti pagundą, bet dirbame legaliai ir tikrai gerai uždirbame. Todėl visiškai nėra jokio stimulo daryti nusikaltimus, kai galima sąžiningai užsidirbti.

– Tarkime, gėlių parduotuvę pakeičiame į bandelių kepyklą. Ką daryti kepyklos savininkui, jei jis nesijaučia saugus?

– Visų pirma, svarbu suprasti, kad saugumu reikia rūpintis iš anksto. Visai neseniai su kolegomis šauliais ir kariškiais įkūrėme startuolį, kuris prieinamas visiems žmonėms. Jį galima rasti internete arba tiesiog paskambinti mums ir mes tikrai padėsime. Per pastaruosius tris mėnesius nuo startuolio įkūrimo jau atlikome daugiau nei 10 įvairiausių testų, o įmonės sumokėjo programišiams už surastus pažeidžiamumus.

Visas LNK reportažas – vaizdo įraše: 

– Įmonės moka už tai, kad pas jas būtų įsilaužta? Ar pasaulyje tai populiaru?

– Taip, tai vienas populiariausių būdų testuoti sistemas. Profesionalūs programišiai, naudodamiesi tikrais hakerių metodais, bet veikdami etiškai ir kontroliuojamai, testuoja įmonių saugumą.

– Kokią reikšmę kibernetinio saugumo srityje turi karinės žinios?

– Daugelis pasaulinių mokymų yra labai glaudžiai susiję su kariniais mokymais. Kalbame ne apie ginklus ar fizinius veiksmus, bet apie informacinių technologijų kibernetinę erdvę. Lietuvoje yra daug programuotojų ir IT specialistų, kurie vienaip ar kitaip yra susiję su karinėmis struktūromis – šauliais, kariškiais ar kitomis gynybos institucijomis.

– Kiekvienas socialiniuose tinkluose esame matę situacijų, kai, pavyzdžiui, kažkas parašo kritinį komentarą apie Rusiją, o po juo iškart atsiranda tūkstančiai botų, rašančių priešingą nuomonę ir giriant Vladimirą Putiną. Ar tikrai galime būti tikri, kad tai botai, o ne realūs žmonės?

– Kiekvieną atvejį reikia nagrinėti individualiai. Botai egzistuoja, bet ne visada lengva atskirti juos nuo tikrų žmonių. Lietuvos interneto tiekėjai turi viešuosius IP adresus, kurie yra daugiau ar mažiau žinomi. Pavyzdžiui, visai neseniai norėjau susikurti interneto svetainę viename iš Lietuvoje žinomų serverių nuomotojų. Palikau visiškai tuščią tinklalapį ir norėjau pasižiūrėti, ar kas nors bandys į jį įsilaužti. Atakos prasidėjo iškart.