Praca zdalna i home office mają wiele plusów. Wiążą się jednak również z zagrożeniami. Jednym z nich jest ryzyko wycieku, a nawet utraty poufnych danych firmowych. Wiele osób myśli, że w obronie przed tym pomoże mocne i zmieniane regularnie hasło czy użycie sieci VPN. Niestety nie jest to prawdą. Hasła – nawet najmocniejsze – są przez intruzów nagminnie wykradane i łamane, a VPN – także opierający się na haśle – może posłużyć jako furtka do przeprowadzenia cyberataku na urządzenia, które pod nim pracowały.
Kupujemy online częściej niż kiedykolwiek, a liczba transakcji w Internecie z roku na rok rośnie. Przedsiębiorstwa inwestują w technologie chmurowe, firmy przenoszą się do wirtualnego świata. To stymuluje zuchwałość cyberprzestępców. Czy jednak zmienia nasze podejście do cyberbezpieczeństwa?
I tak, i nie. Zatrważające są wyniki badania przeprowadzonego przez firmę NordPass realizującą projekt Awful Password List. Wynika z niego, że najpopularniejszymi hasłami wykorzystywanymi w Polsce są m.in. “misiek” , “lol123” oraz “monika”. Na świecie króluje z kolei ciąg cyfr „123456” oraz „qwerty”, a także „iloveyou” czy „dragon”. Oczywiście, żadne z nich nie gwarantuje bezpieczeństwa. Takie hasła można złamać w mniej niż jedną sekundę.
Z drugiej jednak strony coraz więcej firm wychodzi z założenia, że potrzeba ochrony przed cyberatakami nie jest dziś nadmierną ostrożnością, a po prostu zwykłą koniecznością. Dlatego nie tylko wymagają od pracowników tworzenia mocnych haseł, ale również wymuszają wieloetapowe uwierzytelnianie (MFA).
Co ono daje? Przede wszystkim gwarantuje, że osoba siedząca po drugiej stronie monitora jest tym, za kogo się podaje. Prościej mówiąc, wdrażając MFA, organizacja zabezpiecza swoje dane, aby żaden cyberprzestępca nie mógł się do nich dostać, używając skradzionych danych uwierzytelniających.
Przykład idzie z… Google
Co ciekawe, giganci technologiczni wiedzieli o tym od lat, a teraz ta świadomość upowszechnia się także wśród publicznych i prywatnych organizacji. Jednym z pionierów wprowadzania tej metody w sposób globalny (dla wszystkich pracowników, w całej organizacji) był Google, który w 2017 r. uchronił dzięki MFA 85 000 pracowników przed phishingiem. Potwierdzeniem skuteczności MFA jest też deklaracja Marka Fishera, starszego dyrektora ds. zarządzania produktami w Google, który 6 maja 2021 r. poinformował media, że posiadacze kont Google będą zmuszeni do korzystania z uwierzytelniania wieloskładnikowego, jeśli nadal będą chcieli korzystać z usług firmy.
Myśl globalnie
Kluczem w tym sposobie zabezpieczania jest jednak to, aby MFA wdrożony był w organizacji holistycznie, a nie tylko na najważniejszych aplikacjach i systemach, co często jest praktykowane ze względu na wysoki koszt i trudność integracji z aplikacjami MFA. To sprawia, że mimo wdrożonych narzędzi zabezpieczających firmy nadal są narażone na ataki. Nową technologią pozwalająca na łatwą i globalną implementację wieloskładnikowego uwierzytelniania, którą wdrożyć można na dowolnej liczbie aplikacji bez ingerencji w ich kod, jest User Access Security Broker. Dzięki temu podejściu wdrożenie globalnej i bezhasłowej strategii bezpieczeństwa może odbywać się dziś w prosty i szybki sposób. Technologia bowiem działa synergicznie z dostawcami funkcjonujących już wcześniej w organizacji MFA, a rozwiązanie może być wdrożone wszędzie i obsługiwać każdą konfigurację. Nie ma znaczenia, czy aplikacje znajdują się w kontenerach, chmurach publicznych czy w prywatnych centrach danych.
VPN NIEdobry na wszystko?
MFA może być świetnym remedium na niebezpieczne VPN-y. O co chodzi? Obserwujemy, że w wielu przypadkach, a szczególnie podczas powszechnej teraz pracy zdalnej, firmy próbując przystosować się do nowej rzeczywistości, wykorzystują VPN-y do wpuszczania do swojej sieci pracowników z zewnątrz. To naprawdę nie najlepsze rozwiązanie. I pomimo tego iż VPN ma bardzo szerokie zastosowanie, i tylko jedną z jego ról jest wpuszczanie pracowników z zewnątrz do aplikacji, to w przypadku firmy Juniper, w której oprogramowaniu znaleziono nieautoryzowany kod, ta praktyka okazała się szkodliwa. Działał on jak furtka do przeprowadzenia cyberataku na urządzenia, które pod nim pracowały. Nieautoryzowana luka w oprogramowaniu została tam umieszczona przez intruzów celowo. Zaprojektowano ją tak, aby była bardzo trudna do wykrycia. Ale do meritum! Jeśli firma wystawiłaby aplikację na zewnątrz i zabezpieczyłaby ją silnym uwierzytelnianiem (MFA) interfejsu logowania, powierzchnia ataku byłaby znacznie mniejsza. Wniosek? Po pierwsze, stosowanie VPN-a do wszystkiego, co możliwe, jest nie tylko nieefektywne, ale również niebezpieczne. Po drugie, „rozciąganie” go na zabezpieczanie aplikacji webowych jest zupełnym zaprzeczeniem zasad projektowania efektywnego cyberbezpieczeństwa, które właśnie ze względu na różne podatności i backdoory, powinno być budowane warstwowo, czyli na tzw. cebulę i w sposób dywersyfikujący metody zabezpieczeń.
A może bez hasła?
Nowym trendem i coraz bliższą rzeczywistością staje się metoda uwierzytelniania, w której można zalogować się do aplikacji bez użycia tradycyjnego hasła. Jak to w ogóle możliwe? Hasło w takim przypadku zastępowane jest inną, silniejszą metodą uwierzytelniania, wykorzystującą np. kryptografię wspartą biometrią, czyli mechanizmami pozwalającymi na rozpoznanie nas dzięki zeskanowaniu linii papilarnych lub rozpoznaniu naszej twarzy. A czy jest bezpieczne? Zdecydowanie, bo właśnie bezpieczeństwo to główny argument wymieniany przez ankietowanych w badaniu przeprowadzonym przez portal Cybersecurity Insiders na temat modelu passwordless. W ankiecie aż 91% respondentów jako najważniejszy powód odejścia od haseł wymieniło wyeliminowanie problemu wykorzystania skradzionych lub złamanych haseł. Kolejnym jest wygoda (64% odpowiedzi), która przemawia za tym, że coraz więcej firm przechodzi na pełne passwordless, czyli na całkowite wyeliminowanie haseł z organizacji.
