Jedan od najiskusnijih informatičara na svijetu, Zagrepčanin Boris Sakač, brinuo je i o informatičkoj sigurnosti svih 15 Olimpijskih igara u posljednjih 30 godina, a iako je odnedavno u mirovini, ovoga će se ljeta zateći i u Londonu gdje će budno pratiti što i kako rade njegovi nasljednici. U ekskluzivnom razgovoru za Zaštitu otkriva nam neke dosad nepoznate detalje o sigurnosnim projektima prijašnjih Igara – od Moskve i Sarajeva
do Atene i Pekinga…
Boris Sakač bio je dugogodišnji savjetnik za informacijsku tehnologiju Međunarodnog olimpijskog odbora i jedan od najbližih suradnika pokojnog predsjednika MOO-a Juana Antonija Samarancha. Njegova karijera s informatikom na velikim sportskim natjecanjima počela je u Splitu na Mediteranskim igrama godine 1979., dok su njegove prve Olimpijske igre na kojima je radio bile one u Moskvi već godinu kasnije. OI su najpoželjnije mjesto za slanje bilo kakve vrste poruka, a s obzirom da je situacija u svijetu daleko od savršene, političke i socijalne tenzije rastu iz mjeseca u mjesec pa su po logici stvari i same Igre ugroženije nego ikada ranije. Britanci to danas vrlo dobro znaju, pa su upravo Igre u Londonu bile povod za ovaj razgovor s umirovljenim informatičkim maestrom Borisom Sakačem.
Informatikom ste se počeli baviti još davnih 60-ih godina. Je li se, ako uopće, tada razmišljalo o sigurnosti kao što se danas razmišlja?
Sigurno ne. Niti su tada objektivno postojale opasnosti koje postoje danas niti smo mi sami bili svjesni u što se upuštamo, osobito gledajući s aspekta zlouporabe. Maksimalnu smo pozornost posvećivali pouzdanosti sustava jer nam je bilo vrlo važno da informatički sustav ne zakaže tijekom natjecanja, kako ne bi izostale informacije o postignutom rezultatu. Jedini segment koji je i tad bio pod posebnim povećalom od prvoga dana bio je sustav akreditacija sudionika. Putem naših računala izdavala se sva dokumentacija koja im je omogućavala pristup do zona na borilištima ili u smještajnim objektima, pa se već tad mnogo brinulo o sigurnosti tih podataka, o mogućnosti pristupa …
Vaša karijera s informatikom na velikim sportskim natjecanjima počela je u Splitu 1979. godine na 8. mediteranskim igrama. Možete li se prisjetiti kako je to tada izgledalo?
Osim same obrade rezultata i njihove distribucije medijima, kao jedinu aplikaciju još smo imali baš taj sustav akreditacije. Mislim da je dosta dobro funkcionirao. Dosta smo pozornosti posvetili čuvanju tih podataka kako se akreditacija ne bi izdala krivoj osobi, no u to doba nije bilo ni hakera niti Interneta. Brojne današnje opasnosti tada uopće nisu egzistirale pa se zapravo sva priča o sigurnosti svodila na to da neovlašteni ne dođu do nekih podataka. Naravno, od ubojstva izraelskih sportaša na OI u Munchenu 1972. prošlo je tek sedam godina i sjećanja su još bila svježa.
Olimpijske su igre globalno popularan događaj pa mnogi hakeri žele da se pročuje kako su baš oni prvi uspjeli srušiti naš sustav. Zbog teške globalne situacije na taj se dio sigurnosti troše ogromni resursi, angažirani su najbolji kadrovi iz cijelog svijeta i surađuje se s nizom institucija
Postojala je imanentna opasnost od sličnog napada, radili smo posebna izvješća službama sigurnosti o tome tko se sve prijavljuje na natjecanje. Pomno se pazilo iz kojih se zemalja tko prijavljivao, a sustav prijava išao je kroz naše računalo. Svakodnevno smo sigurnosnim službama podnosili izvješća o novoprijavljenima, nakon čega su ih oni kasnije detaljnije provjeravali. Uvijek smo im signalizirali ako bi, recimo, iz neke zemlje stiglo prijava više od očekivanog broja, ili ako bismo otkrili da je neka zemlja prijavila sportaše koji nikad prije nisu nastupili na međunarodnom natjecanju. To nam je bio signal da se pod krinkom sportaša zapravo prijavljuje osoba koja nije sportaš.
Sjećate li kada su za vas informatičare uslijedili prvi veći problemi?
To se dogodilo usporedo s povećanjem broja korištenih aplikativnih rješenja. Čim smo počeli uz pomoć računala upravljati prijevozom, smještajem pa i prehranom sudionika, znatno se počeo širiti i krug potencijalnih problema do kojih bi moglo doći kroz zlouporabu. Ponekad smo znatno pomagali organizatorima Igara, recimo kod alokacije smještaja u olimpijskim selima. Uvijek smo pazili da ne smjestimo blizu Arape i Židove, Irce i Engleze, Hrvate i Srbe…, što znači da smo zapravo imali ulogu pomagača. Dakle, sa širenjem područja primjene, rasle su opasnosti da se u nekim segmentima podaci koje smo pohranjivali zloupotrijebe. Razvoj elektroničke tehnologije i telekomunikacija doveo nas je do situacije da smo sve izloženiji napadima. Olimpijske su igre globalno popularan događaj, ne samo sportske prirode, pa mnogi hakeri žele da se pročuje kako su baš oni prvi uspjeli srušiti naš sustav. Za razliku od početaka kad praktički nijedan uređaj nije bio u rukama korisnika, sad kada imamo niz veza s drugim kompjutorskim sustavima i kad smo putem Interneta uključeni u globalnu mrežu, krug opasnosti daleko je veći.
Zbog kojeg ste dijela sustava na najvećem oprezu, gdje se najviše bojite pada sustava?
Dio koji je možda najvidljiviji i najopasniji ako zakaže, jest sama podrška natjecanju. Zamislite samo natjecanje u skijanju bez podataka o vremenu. Kako zatražiti skijaše da se vrate na start i iznova nastupe jer je sustav zakazao? A znate li da je uređaj koji mjeri prolazna vremena u tom elektroničkom lancu zapravo povezan s cijelim svijetom pa to netko može zlouporabiti i onemogućiti da se informacije obrade i prenesu. Nažalost, u nizu sportova natjecanje znatno ovisi o informatičkoj tehnologiji. U jedriličarstvu kretanje jedrilica pratimo putem GPS-uređaja montiranih na svakoj jedrilici i s nama povezanih putem radio-stanice. Za svaku jedrilicu u svakom času znamo gdje je pa možemo permanentno obavještavati javnost o trenutnom poretku, a možda je još i važnije što lako vidimo je li netko startao prerano ili je presjekao put na nedopušten način. Posrijedi su radijske frekvencije koje također moramo štititi kako nam netko ne bi upao u sustav i poremetio ga.
S obzirom na ubrzani razvoj tehnologije i informatike, čini se da je vaš posao zaštite podataka i svih tih procesa sve složeniji. Kako izlazite na kraj s tim silnim izazovima?
Tako što nam je sada u tim segmentima jedini način zaštite potpuna izolacija sustava! Sve što možemo raditi žičano – radimo žičano, putem vlastite zatvorene mreže. Ne koristimo ni Internet niti bilo koju drugu javnu mrežu, već potpuno zatvoren, autonoman sustav koji samo emitira podatke prema drugim zatvorenim sustavima, ali istodobno iz njih ništa ne prima. Na taj je način drastično smanjena mogućnost
upada. Jasno, to nam dosta povećava troškove jer moramo izgraditi vlastitu mrežu i njome upravljati, a kad bismo koristili Internet to nam ne bi trebalo jer taj sustav već sve to čini i sam. Prije smo bez razmišljanja koristili razne bežične mreže, a danas o tome itekako razmišljamo jer su se sustavi ometanja toliko razvili da je to sad vrlo osjetljivo područje. Baš zato, kako rekoh, bježimo od svega bežičnog i ako je moguće sve nastojimo riješiti – kroz žicu.
Što je još potencijalno najveća meta informatičkih kriminalaca koji žele upasti u sustav Igara?
Sustav informiranja javnosti. Svi novinari danas koriste laptope i vežu se na naš sustav pa definitivno postoji mogućnost zlouporabe te veze. Već je mnogo takvih pokušaja - neki to čine iz radoznalosti, a neki iz zloće. Jasno, mi ne možemo detektirati je li to doista učinio novinar na stadionu ili netko 10 metara dalje tko pokušava kroz wi-fi mrežu ući dalje. MOO ulaže ogroman trud kako bi se takvi napadi onemogućili. MOO-ov IT partner i sponzor tvrtka ATOS oformila je skupinu vrhunskih eksperata za zaštitu IT sustava u koju su regrutirani i neki bivši hakeri koji pomažu da se na razne načine prepoznaju eventualni zlonamjerni ulasci u mrežu i sustav.
Naši su sustavi danas izravno spregnuti s računalima niza novinskih agencija i svjetskih tv-kuća. Na OI u Pekingu podatke je od nas izravno dobivalo više od 200 kompjutorskih centara, novinskih agencija i tv-kuća koji su čak mogli sami izravno pretraživati dio podataka. I to nam je prije četiri godine bio ogroman izazov – kako sve njih pripustiti u sustav i istodobno spriječiti zlouporabu takve veze prema nama.
I, što ste učinili? Kako ste se osigurali s obzirom da ste tu ipak izravno povezani s Internetom?
Tako što za masovnu distribuciju kroz Internet koristimo servis što ga pruža jedna američko-britanska tvrtka koja diljem svijeta ima na stotine servera koji se međusobno i neprestano usklađuju. U slučaju napada, napadnuti ne bismo bili mi izravno nego ti serveri, a ako jednog i sruše, ostaje nam još ogroman broj drugih servera širom svijeta. Kako nam je rečeno, u taj čisti internetski servis zabilježeno je na milijune pokušaja upada koji su možda nakratko i uspjeli srušiti pristup Internetu na tom ograničenom geografskom području, no nama na Igrama - nisu mogli ništa.
Kojim ste se još oruđem i oružjem poslužili u borbi protiv IT "sila tame"?
Mnogo vam toga ne smijem otkriti, no mogu reći da smo na svim uređajima preko kojih su svi ljudi iz organizacije Igara vezani na naš sustav kako bi upravljali prometom, smještajem i svime drugim, napravili hardverske zaštite tako da smo na svim radnim stanicama deaktivirali sve ulaze - osim tastature. Dakle, svi PC-jevi i terminali kojima se ljudi vežu na naš sustav imaju demontirane disketne jedinice, čitače kartica i ostale ulaze. Funkcionira isključivo ulaz preko tastature, što je dosta jednostavno štititi jer nam nitko ne može ubaciti svoj USB-stick, DVD, CD i dr. Tako smo drastično smanjili mogućnost upada i napada jer bi potencijalni napadač na raspolaganju morao imati puno više vremena, a čim netko to samo započne, mi to odmah softverski prepoznamo. Da je u pitanju napad putem očitanja neke sekvence sa sticka ili CD-a, to bi nam bilo znatno složenije pa smo bili prisiljeni i na takvu mjeru. Nažalost, mnogi nam se zato žale, no ne preostaje im drugo doli da se pomire s takvim stanjem.
Kakva je suradnja IT službe MOO-a sa službama sigurnosti na Igrama?
Ona je iznimno zahtjevna jer se od nas traži doista mnogo. Primjerice, sve akreditirane osobe na Igrama po dolasku dobivaju akreditacijske kartice. U sve je ugrađen čip koji nam omogućuje da pri prolasku kroz određene senzore mi registriramo da su oni prošli. Jasno, svakom je sudioniku Igara kretanje ograničeno, nitko nema pravo na apsolutno sve prostore, osim manjeg dijela ljudi iz samog osiguranja. Kretanje svih akreditiranih osoba nije ograničeno samo prostorno, po sektorima, već i vremenski – netko smije u neke sektore samo pet dana, a netko 20. Sve informacije sa svih senzora dolaze u naš sustav i mi ih po potrebi dajemo službama sigurnosti kad npr. primijete da je netko više puta htio ući u zabranjene sektore, ili kad akreditaciju iznenada dobije nepoznata osoba… Čitav je niz situacija u kojima pomažemo službama sigurnosti da dobiju tražene i korisne informacije.
Je li bilo kakvih razlika u suradnji sa službama sigurnosti s obzirom na zemlju domaćina – kako ste, recimo, surađivali s Kinezima, a kako s Amerikancima, Grcima ili Australcima?
Iako su svi vrlo seriozni, neki su ipak zahtjevniji jer su informatički bolje educirani pa znaju tražiti više od drugih. Ipak, općenito gledano u gotovo nijednoj zemlji u kojoj sam dosad radio, a radio sam po cijelom svijetu, nismo imali gotovo nikakvih problema. Naravno, što je tehnologija moćnija, to su zahtjevi sve veći. Čip u identifikacijskom dokumentu kojeg prepoznaju senzori - prije 20 je godina bio nepoznanica, a danas je to obična rutinska stvar.
Jedini je način zaštite potpuna izolacija sustava! Sve što možemo raditi žičano – radimo žičano, putem vlastite zatvorene mreže; ne koristimo ni Internet niti bilo koju drugu javnu mrežu, već posve zatvoren, autonoman sustav koji samo emitira podatke prema drugim zatvorenim sustavima, ali istodobno iz njih baš ništa ne prima
Zajedničko je svima što ogromnu pozornost pridaju prijavi sudionika, a ona počinje praktički već godinu i pol prije Igara. Dok je za neke kategorije sudionika krajnji rok prijave 12 mjeseci prije, kod sportaša je to nemoguće jer će se neki kvalificirati tek 2-3 tjedna ranije. Uz to, neke države imaju i do 50 potencijalnih natjecatelja u nekom sportu. U SAD-u na 100 metara može trčati njih bar 20, no koja će četvorica izboriti OI na natjecanju koje se održava mjesec dana prije Igara, nemoguće je znati.
Baš zato u našim evidencijskim bazama imamo podatke o svim mogućim kandidatima za sva natjecanja. Tako smo za OI u Londonu mjesec dana prije otvaranja u bazi već imali registrirano oko 24.000 potencijalnih sudionika, iako će ih na Igrama nastupiti tek oko 11.000. Da se razumijemo, postoje mnoge zemlje i sportovi u kojima to nije problem. Zna se, recimo, da iz Hrvatske u skoku u vis može nastupiti samo jedna sportašica, a među bacačicama kladiva eventualno dvije. Ali u manjem dijelu zemalja krug potencijalnih sudionika na OI mnogo je širi. A za nas je najveća opasnost da nam se netko ne podmetne – kao sportaš…
Događa li se to ipak, i koliko često?
Neke zemlje namjerno među sportaše ubacuju ljude iz vlastitih sigurnosnih službi i žele da ih akreditiramo kao sportaše kako bi mogli biti u olimpijskom selu i čuvati njihove sportaše. Takvi nam zahtjevi moraju biti unaprijed najavljeni kako bismo točno znali o kome je riječ. Ako nam to pokušaju napraviti iza leđa i ako nam, npr., za bacača koplja prijave čovjeka koji nikad u životu nije bio atletičar, nama je to indikacija sumnjivog ponašanja. Moguće je da to netko učini slučajno, zabunom ili iz pogreške, no mi u svakom takvom slučaju dobivamo alarm i provjeravamo pozadinu svake prijave.
Kakvi su sustavi kontrole pristupa na OI, kakva je oprema u pitanju?
Ne bih o detaljima, no kad govorimo o sustavu prijava i postupku izdavanja akreditacijskih dokumenata, tu smo iznimno rigorozni kako ne bismo akreditaciju izdali krivoj osobi. Svi nam sudionici šalju svoje fotografije, a mi na akreditacijskim mjestima imamo kamere koje snimaju sve koji traže akreditacije. Čim se taj podatak digitalizira, novu fotografiju uspoređujemo s poslanom, što nam isto može indicirati sumnjivu aktivnost, nakon čega na scenu stupaju ljudi iz sigurnosnih službi koji preuzimaju slučaj i vode daljnju provjeru.
Stručnjaci neprestano upozoravaju da će pokušaja informatičkih upada u sustav Igara biti sve više što se bliži svečano otvaranje. S obzirom da rastu problemi u svijetu, raste li i broj vaših stručnjaka za sigurnost?
Svakako. Uostalom, kako već rekoh, područje primjene suvremenih tehnologija rapidno se širi, tehnologija postaje dostupna mnogima koji do nje prije nisu mogli, mnogi su se već uvježbali u ‹hakiranju› pa je potencijalni rizik sigurno veći nego prije. Zato je logično da i mi moramo osigurati više resursa. Usporedbe radi, sjećam se da smo u Splitu i Moskvi, u Sarajevu i Los Angelesu, dovodili novinare da vide naše računalne centre. Bila je to prava izložba novih tehnologija. Danas se računalni centri nalaze na nepoznatim lokacijama, nitko ne zna jesu li u Londonu, Francuskoj ili negdje drugdje.
Smije li se znati koliko je ljudi zaduženo za IT sigurnost Igara u Londonu?
Ne, to vam ne mogu i ne smijem reći, no budite sigurno da ih je mnogo. Zbog teške situacije u svijetu na taj se aspekt sigurnosti troše ogromni resursi. O broju ne smijem, ali znajte da su angažirani najbolji kadrovi iz cijelog svijeta, a kroz suradnju s nizom institucija i kompanija nadograđujemo vlastito znanje, ali i obrazujemo njihove kadrove kad je to potrebno. Ako pak govorimo o ukupnom broju ljudi angažiranih na organizaciji Igara, njih je oko 200.000! To je ogroman broj ljudi koje treba odjenuti, svakodnevno hraniti, prevoziti, smjestiti...
Koliko se toga u vašem poslu promijenilo nakon 11. rujna 2001.?
Prve Igre nakon 11. rujna održane su u Salt Lake Cityju u SAD-u pa onda možete zamisliti kakva je panika tamo vladala. Prag tolerancije tijekom ZOI 2002. dignut je strašno visoko, odjednom smo se suočili s nizom zahtjeva o kojima nitko nikad prije nije razmišljao. Ipak, kasnije se to malo smirilo jer je tadašnja situacija bila pretjerana, što je s obzirom na tragediju iz 2001. bilo i razumljivo. Ipak, tada smo postavili jednu novu razinu koja se održava i danas.
Na kojim je Igrama zaštita bila najčvršća, najveća…?
Bez obzira na Amerikance, mislim da je najjača zaštita definitivno bila u Pekingu 2008. Takvu zaštitu nikad nismo imali. Ne samo da je sve nas iz informatike cijelo vrijeme čuvala vojska, već su nas i razmjestili po različitim hotelima kako nas ne bi sve zajedno odjednom "uzeo vrag". Sustav zaštite u Kini je bio bez premca najbolje razrađen, s najviše uključenih resursa.
Koliko sama zemlja-domaćin utječe na razinu sigurnosti/nesigurnosti na Igrama? Britancima, primjerice, sigurno ne ide na ruku sudjelovanje u sukobima u Iraku i Afganistanu?
Apsolutno, to je jedan od bitnijih faktora, baš kao i geografska blizina moguće opasnosti. Evo sada Rusi kao domaćini idućih ZOI u Sočiju 2014. muku muče s činjenicom da su blizu Kavkaza, a London ste i sami spomenuli. Zasad su, čini se, najbezbrižniji u Rio de Janeiru.
Za vas osobno, prijeti li Igrama veća opasnost od stvarnog, fizičkog napada i nasilja, ili ovog virtualnog, putem IT-ja? Čega se vi više bojite?
Kao informatičar sam svakako najviše bio zabrinut za informatiku. Ali objektivno gledano, i jedna i druga vrsta napada jako su opasne i mogu imati strašne posljedice. No postoje prioriteti pa smo i mi u našem segmentu bili svjesni da ne možemo zaštititi baš sve. Zato smo se po listi prioriteta fokusirali na štićenje onoga što može ugroziti tijek samog natjecanja te štićenje područja za koja smo procijenili da bi mogla postati mete napada. U takvoj podjeli poslova bavimo se i raspodjelom odora što je ogroman i strašno težak logistički zadatak jer 200.000 odora treba podijeliti u dva tjedna. Jedan od razloga za takvu brzinu jest i sigurnost - organizatori ne žele potencijalnim napadačima dati priliku da stignu napraviti identične odore.
U informatici ste gotovo čitav svoj radni vijek, iako je ono što ste tad učili odavno zastarjelo. Koliko informatički stručnjak poput vas mora raditi na sebi da bi držao korak s novitetima i munjevitim razvojem tehnologije?
Riječ je o strašno mnogo vremena i truda. Otkad radim u informatici, a zaposlio sam se 1967. godine u IBM-u, ja neprekidno učim. Odredio sam si svakog jutra – dva sata samo za učenje! I tako sam to činio punih 35 godina jer da to nisam radio, brzo bih zastario. Iskreno, danas sam sretan čovjek jer mi odlaskom u mirovinu to više nije nužno. Iako sve pratim i dalje, to više ne činim tako često i to nije iz nužde, već zbog osobne radoznalosti.
Hoćete li kao umirovljenik ljeto provesti u domovini, ili ipak i u Londonu?
S obzirom da sam odnedavno u mirovini, ovog ću se ljeta nakon dugo vremena napokon odmarati na moru. Ali naravno, ići ću i u London, no posao sam prepustio mlađima, a ja ću ih samo nadgledati sa strane, provjeravati što i kako rade. Smatram da je bolje ne dezavuirati nasljednike, neka napokon ponesu taj teret, no bude li trebalo, drage ću im volje pomoći. Prvi put otkad radim na Igrama unazad 30 godina, moći ću osobno pratiti natjecanja. Prijatelji me uvijek pitaju jesam li što gledao, a ja velim: Nikad ništa! U pravilu sjedim u zatvorenom centru, na nepoznatoj lokaciji, gdje praktički provedem cijele Igre. U Pekingu sam gledao samo jednom naše rukometaše i jednom Blankine skokove. I to je sve.
A koje biste sportove voljeli vidjeti uživo, koja vas natjecanja zanimaju?
Sigurno ćete se nasmijati, ali želio bih pogledati sinkronizirano plivanje i ritmičku gimnastiku. Lijepe žene i glazba – nema ljepše kombinacije, ha, ha!