SILNE HASŁA NIE ISTNIEJĄ

Smartfony, komputery, praca zdalna, e-commerce, Internet Rzeczy, przechowywanie danych w chmurze to pojęcia nierozerwalnie towarzyszące naszej zawodowej i prywatnej aktywności. Opieranie się na narzędziach online oznacza konieczność ochrony udostępnianych informacji. Jak zadbać o swoje cyberbezpieczeństwo? Przeczytajcie praktyczne wskazówki eksperta Marka Ostafila, współzałożyciela Cyberus Labs.

Redakcja: Do niedawna żyliśmy w błogim przeświadczeniu, że ataki hakerskie to problem bogatych, wysokorozwiniętych krajów lub świetny temat na film. Czas się obudzić? 

Marek Ostafil, współzałożyciel Cyberus Labs:

Zdecydowanie. Ten czas przyszedł już dawno temu i niestety przespaliśmy moment, w którym powinniśmy byli zająć się poważnie zabezpieczeniem naszego życia w cyfrowym świecie. Hakerom obojętne jest, w jakim kraju żyjemy, jakie jest nasze położenie geograficzne. Pamiętajmy, że łączność za pomocą Internetu dociera wszędzie. Przestępcy nie muszą już fizycznie włamywać się do naszych mieszkań. Wystarczy, że siedząc na drugim końcu świata, dostaną się do naszej poczty, komputera, telefonu i za pośrednictwem złośliwego oprogramowania wykradną nasze dane osobowe, dostępy do serwisów prywatnych lub służbowych tudzież pieniądze.

Często mniejsze firmy twierdzą, że cyberprzestępczość im nie grozi, bo „po co miałby się ktoś do nas włamywać…”. To błędne myślenie? 

Oczywiście, że to błędne myślenie. Proszę zobaczyć na statystyki. Wiele małych i średnich firm pada ofiarami cyberataków, już nie tylko w takich krajach, jak Wielka Brytania, USA, ale właśnie w Polsce. Dlaczego? Bo lekceważąc przez wiele lat zagrożenia, ułatwiliśmy cyberprzestępcom działanie. Po pierwsze, osłabiliśmy swoją czujność, nie zabezpieczyliśmy się pod względem technologicznym. Po drugie, nie przygotowaliśmy się mentalnie na taką możliwość, więc nawet nie wiemy, na co zwracać uwagę, jak strzec się przed cyberatakami. Wybraliśmy sobie „błogą nieświadomość” w podejściu do cyberzagrożeń. Można to porównać do otwarcia drzwi i okien w domu, kiedy wyjeżdżamy na wakacje i obwieszczamy to publicznie. Czy będziemy bardzo zdziwieni, jeśli po powrocie okaże się, że z mieszkania znikną wszystkie wartościowe rzeczy? Nie sądzę.

Na co narażamy się, lekceważąc kwestie bezpieczeństwa cyfrowego?

Na bardzo wiele. Przede wszystkim na kradzież danych osobowych – imię nazwisko, PESEL i inne dane wrażliwe. To największa strata. Niestety, w powszechnym przekonaniu najbardziej dotkliwą szkodą jest kradzież pieniędzy z naszej karty kredytowej lub z konta. Otóż nie. Dla cyberprzestępców ogromną wartość mają nasze dane i dostęp do naszego życia zawodowego i prywatnego. Dlatego, że mogą posługiwać się potem naszą tożsamością do brania ogromnych kredytów, prania brudnych pieniędzy, handlu bronią, ludźmi czy narkotykami. Chyba nikt z nas nie chciałby zostać oskarżony o nielegalny przemyt broni na kwotę kilkuset milionów dolarów… A to tylko jeden z wariantów. Do tego dochodzą oczywiście wrażliwe informacje dotyczące życia prywatnego, które mogą zostać wykorzystane, tajemnice służbowe itp.

Wystawiamy na niebezpieczeństwo nie tylko siebie, ale osoby i firmy, z którymi jesteśmy powiązani?

Wiele firm, zwłaszcza dużych globalnych koncernów np. motoryzacyjnych, wprowadza lub już wprowadziło rozwiązania zgodne z koncepcją Przemysłu 4.0, które wymagają połączenia wszystkich uczestniczących w łańcuchu wartości podmiotów. Jeśli nasza firma nie jest odpowiednio zabezpieczona, stajemy się łatwym celem dla cyberprzestępców, którzy przez nas będą mogli dostać się i zaatakować niejako „od środka” partnerów biznesowych czy zleceniodawców. Przez to my stajemy się również odpowiedzialni za straty, jakie poniosą w konsekwencji cyberataków. Myślę, że warto mieć świadomość także takiego zagrożenia i obszaru odpowiedzialności.

Powszechne jest przekonanie, że dobry program antywirusowy i silne, często zmieniane hasło wystarczająco nas chronią. Pan uważa, że to nieprawda. Dlaczego?

Dobry program antywirusowy jest oczywiście bardzo pomocny. Pytanie jest takie: co to znaczy „dobry” program antywirusowy? Istnieje na rynku wiele rozwiązań z tego zakresu – są różnie oceniane przez ekspertów i zanim zdecydujemy się na zastosowanie któregoś z nich, zróbmy rozeznanie dotyczące nie tylko ceny, ale i obszarów chronionych przez dany program. Pamiętajmy też, że zainstalowanie darmowej wersji takiego programu nie daje nam pełnej ochrony i stwarza tylko pozory bezpieczeństwa. Poza tym, w związku z rozwojem technologii stosowanej przy przeprowadzaniu cyberataków programy antywirusowe mogą nie poradzić sobie ze wszystkim. Nie jest to więc remedium na wszystkie zagrożenia. To element, który absolutnie powinniśmy wdrożyć, ale też pamiętać, że nie zabezpieczy wszystkich obszarów. Gdyby tak było, nie mielibyśmy problemu w ogóle.

A skomplikowane, niepowtarzalne hasło?

Jeśli chodzi o silne hasła, to jest to obecnie dość popularna rekomendacja.  Jednakże badania przeprowadzone przez National Institute of Standards and Technology w USA pokazały, że regularna zmiana haseł niestety jest kontrproduktywna. Dlaczego? Okazało się, że z czasem użytkownicy zaczynają wymyślać coraz słabsze hasła. Po prostu kończą im się pomysły, zaczynają się powtarzać, co oczywiście obniża poziom cyberbezpieczeństwa. Dlatego NIST wydał kilka miesięcy temu rekomendację dotyczącą wycofania tego rodzaju wymagania z systemów uwierzytelniania.

Lepiej hasło zmieniać rzadziej, ale postarać się wymyślić bardzo trudne?

Pamiętajmy, że hasło to hasło – ciąg znaków. Ich skomplikowanie oczywiście obniża szanse na jego złamanie za pomocą ataków typu „brute force”, czyli prób wpisywania różnych ciągów znaków w nadziei, że któryś ciąg będzie naszym hasłem. Stąd oczywiście nie powinniśmy w hasłach stosować wyrazów np. „Admin12”. Algorytmy przeprowadzające taki atak po wytypowaniu, że w haśle są znaki takie, jak „Adm” będą szukać dalszego ciągu, który najbardziej pasuje. Bardzo szybko zorientują się, że może pasować „Admin”. A potem już tylko przyjdzie szybko znaleźć brakujące „12”. Jednak nie ma kombinacji, której nie można złamać, czyli prawdziwie silne hasła nie istnieją.

Hasło ktoś może nam też po prostu wykraść.

Na tym polega problem haseł i wszystkich systemów uwierzytelnienia i logowania, które są na nich oparte. Czasami nieważne, jak silne jest hasło. Jeden z najpopularniejszych typów ataków tzw. „phishing” polega na poproszeniu o wprowadzenie danych do logowania na fałszywej stronie internetowej stworzonej przez cyberprzestępców, a łudząco przypominającej stronę znanego serwisu internetowego – np. banku. I w tym momencie nie ma znaczenia czy nasze hasło to „k98!ha6%4gPYy7$ga86aytr”, ponieważ wpisujemy je do tej fałszywej witryny, która po prostu przechwytuje je w całości.

Radzi Pan podejść do kwestii bezpieczeństwa praktycznie i efektywnie. Czyli jak? Co jest najważniejsze?  

Najważniejsze, to mieć świadomość cyberzagrożeń i nie lekceważyć ich. To najpoważniejszy błąd, jaki popełniamy. Zawsze najlepiej jest zapobiegać niż potem reagować. Powinniśmy zdawać sobie sprawę, jak takie ataki są przeprowadzane. Być czujnym. Zwracać uwagę na maile i SMSy, które dostajemy. Jeśli widzimy maila nawet jedynie dziwnego, podejrzanego – na pewno nie otwierać jego zawartości, nie klikać w żadne linki w nim zawarte. Jeśli pochodzi od nadawcy, który wygląda jak znany nam serwis czy portal sprawdźmy, czy rzeczywiście domena, z której został wysłany, należy do tego serwisu. Zróbmy to dokładnie. To dużo łatwiejsze niż późniejsza próba odzyskania zaszyfrowanych danych, koszt okupu, czy utrata danych osobowych. Bądźmy też rozsądni – żaden serwis nigdy nie będzie prosił nas o podanie danych. Jeśli ktoś o to prosi, od razu możemy uznać to za podejrzane.

Jak zadbać o bezpieczeństwo w firmie? 

Konieczne jest wprowadzenie po prostu pewnej kultury cyberbezpieczeństwa. Budowanie świadomości i edukacji w całym zespole, To także ostrożność w dawaniu dostępu komukolwiek do danych i systemów. Opracowanie  i wdrożenie procedur bezpieczeństwa informacji. Ograniczenie dostępów do systemów firmowych tylko do osób, które powinny je mieć. Nie wszystkim wszystkie dostępy są potrzebne. To także zwracanie uwagi na przestrzeganie zasad cyberbezpieczeństwa w firmie, wśród współpracowników, egzekwowanie tego w ramach procesów zarządczych.

Podczas konferencji Akademii Rozwoju Przemysłu 4.0 mówił Pan o cyberbezpieczeństwie Internetu Rzeczy? Jakie są jego kluczowe obszary?

Korzystanie z rozwiązań Internetu Rzeczy (IoT) jest już standardem w biznesie. Niezależnie od systemu, z jakim będziemy mieli do czynienia, możemy zawsze wyodrębnić trzy istotne obszary. Będą to: użytkownik, urządzenia i dane. Oczywiście, w każdym z tych obszarów będziemy mieli do czynienia z bardziej lub mniej rozbudowaną układanką różnych elementów. Te obszary będą miały też wspólne części czy wyzwania. Jednym z nich jest na przykład uwierzytelnienie zarówno w przypadku użytkowników, jak i urządzeń. Każdy z nich będzie potrzebował bezpiecznego i autoryzowanego dostępu do systemu lub jego części. To samo dotyczy przecież urządzeń. One także będą łączyły się w procesie komunikacji z innymi urządzeniami, z elementami systemu w chmurze. Muszą mieć możliwość „udowodnienia”, że są autoryzowanymi elementami całej sieci, że mają prawo przekazywać lub odbierać dane.

A właśnie dane stanowią największą wartość systemów IoT.

Owszem. To dzięki ich analizie i opracowaniu możemy monitorować funkcjonowanie systemów, przewidywać konieczne działania utrzymaniowe, serwisowanie, podejmować optymalne decyzje biznesowe. Żeby to było możliwe, dane powinny być odpowiednio zabezpieczone. Niestety większość urządzeń IoT ma ogromne ograniczenia sprzętowe związane z mocą obliczeniową, pamięcią i dostępem do zasilania i w związku z tym nie są w stanie obsługiwać algorytmów szyfrowania. Efekt? Ponad 80% komunikacji między urządzeniami IoT nie jest w żaden sposób szyfrowana czy zabezpieczona! To jest przykład tego, że zaspaliśmy, jeśli chodzi o zapewnienie cyberbezpieczeństwa systemom IoT czy IT.

Założona przez pana firma Cyberus Labs zaprojektowała system zabezpieczeń pod nazwą ELIoTPro, który zdobył uznanie ekspertów Komisji Europejskiej.

To dla nas powód do dumy, że Komisja Europejska zdecydowała się na inwestycję w jego rozwój, jako jednej ze szczególnie wyjątkowych i innowacyjnych technologii powstających w Europie. ELIoTPro rozwiązuje bowiem właśnie problemy cyberbezpieczeństwa w systemach IoT niezależnie od ich charakterystyki, sposobu funkcjonowania, przeznaczenia i złożoności. ELIoTPro zapewnia bezhasłowe i wieloskładnikowe uwierzytelnienie użytkownika oparte na jedynym niezłamanym do tej pory sposobie szyfrowania.

Jaki to sposób i jaka jest skuteczność systemu?   

ELIoTPro daje możliwość zdalnego dostępu i kontroli systemów IoT oraz potwierdzania wszelkich operacji, które wymagają tego działania ze strony użytkownika. Jego skuteczność jest bardzo wysoka. Eliminuje ponad 80% wszystkich cyberataków. Co więcej, ELIoTPro jako pierwszy tego typu system na świecie wprowadził bezhasłowe uwierzytelnienie urządzeń IoT między sobą oraz elementami całego środowiska, wsparte specjalnie zaprojektowanym na potrzeby inteligentnych urządzeń algorytmem szyfrowania Lightweight Encryption. W przeciwieństwie do obecnych algorytmów szyfrowania może być on zastosowany we wszelkiego rodzaju urządzeniach IoT bez względu na ich możliwości obliczeniowe, posiadaną pamięć czy ograniczenia w zasilaniu.

Potwierdzają to zewnętrzne badania?

Oczywiście, niezależne testy pokazały, że algorytm ten ma wielokrotnie lepsze parametry w zakresie szyfrowania, szybkości transferu informacji w porównaniu z obecnie wykorzystywanymi głównymi algorytmami szyfrowania System szyfrowania Lightweight Encryption jest też pierwszym tego typu rozwiązaniem na świecie, które można pobrać przez internet, a następnie samodzielnie zainstalować w swoim środowisku IoT. Możemy się pochwalić, że zostało włączone w portfolio rozwiązań firmy Microsoft na platformie Azure Marketplace. ELIoTPro daje też możliwość analizy predykcyjnej i przewidywania awarii oraz cyber zagrożeń.

Dla kogo jest to efektywny system?

ELIoTPro to rozwiązanie dla wszelkiego rodzaju środowisk i systemów IoT bez względu na ich charakter, przeznaczenie, sposób pracy, gałąź przemysłu. ELIoT Pro i jego szyfrowanie chroni np. systemy Smart City czy systemy komunikacji wykorzystujące komunikację bezprzewodową typu LoRa. Oczywiście naturalnym środowiskiem dla ELIoTPro są systemy Przemysłowego Internetu Rzeczy (Industrial Internet of Things – IIoT). Wśród zastosowań są też projekty dla infrastruktury krytycznej. We współpracy z firmą Microsoft stworzyliśmy rodzaj w pełni zautomatyzowanej implementacji komponentu szyfrowania Lightweight Encryption, która jest zintegrowana z rozwiązaniami dla systemów IoT Microsoft’u.

Przedsiębiorcy obawiają się wysokich kosztów wprowadzenia właściwych zabezpieczeń. Słusznie? 

Cyberbezpieczeństwo nie może być traktowane jako opcja. To część inwestycji w sprawnie działające przedsiębiorstwo. Nie można dziś „oszczędzać” na cyberbezpieczeństwie licząc, że „nas przecież nie zaatakują”. Nawet jeśli nadal nie rozumiemy wartości cyberbezpieczeństwa jako inwestycji, która po prostu umożliwi nam sprawne funkcjonowanie firmy, to przynajmniej potraktujmy je jako swego rodzaju polisę ubezpieczeniową. Często nie zdajemy sobie sprawy, że brak cyberzabezpieczeń może doprowadzić firmę do bankructwa. Jest wiele przykładów firm, które poniosły ogromne straty finansowe po tym, jak padły ofiarami cyberataków.

Firmom grozi także utrata wiarygodności?

Zdecydowanie. Jeśli uważamy, że straty wizerunkowe są bez znaczenia, to zapytajmy samych siebie, jak na brak zabezpieczeń z naszej strony będą patrzyli nasi zachodni partnerzy biznesowi? Będą tak entuzjastycznie podchodzili do współpracy z firmą, która nie jest zabezpieczona, a co za tym idzie może paść ofiarą cyberataków, zostać wyłączona na kilka tygodni z pracy, nie dotrzyma terminów dostaw? Poza tym stanie się „koniem trojańskim” i umożliwi włamanie do systemów partnera? Odpowiedź jest chyba oczywista.

Dziękuję za rozmowę.

Dziękuję. Jeżeli czytelnicy są zainteresowani naszymi rozwiązaniami lub mają dodatkowe pytania, to zapraszam do kontaktu. Mój adres email to: m.ostafil@ssn.international.

Chcecie się dowiedzieć jeszcze więcej na temat cyberbezpieczeństwa? Polecamy zapis całości prezentacji Marka Ostafila przedstawionej podczas konferencji Akademii Rozwoju Przemysłu 4.0 „Kluczowe komponenty cyberbezpieczeństwa systemów IT i IoT – diagnoza, problemy i rozwiązanie” na stronie www.akademiarozwojuprzemyslu40.pl