Coraz częściej zdarza się, że do systemów różnych organizacji – firm czy urzędów – zamiast osoby uprawnionej, dostaje się złodziej, który ukradł cyfrową tożsamość. Takie sytuacje nie omijają również polityków. Wciąż dochodzą do nas wieści o wycieku ważnych i poufnych danych ze skrzynek email czy niezabezpieczonych odpowiednio aplikacji. Ostatnia duża afera dotyczy Polski, gdzie cyberprzestępcy dostali się do prywatnej skrzynki szefa KRM i opublikowali treść znajdujących się tam służbowych wiadomości. W jaki sposób działają przestępcy? Jak politycy i znane osobistości mogą się przed nimi obronić?
Skala ataków na skrzynki email pracowników ważnych instytucji państwowych lub medycznych wciąż się powiększa i dotyczy dziś prawie wszystkich krajów. W ostatnim półroczu zanotowano w Wielkiej Brytanii wyciek tajnych informacji na temat brytyjskich projektów pomocowych, związanych m.in. ze zwalczaniem terroryzmu czy działaniami pokojowymi finansowanymi przez Radę Bezpieczeństwa Narodowego. W lutym cyberprzestępcy dostali się również do wrażliwych danych przetwarzanych przez laboratorium uniwersytetu w Oksfordzie badającego Covid-19.
– Cyberprzestępcy kradną tożsamość użytkowników wykorzystując do tego maile phishingowe – mówi Tomasz Kowalski, CEO w firmie Secfense, która opracowała technologia User Access Security Broker. – Właśnie dlatego, każdy – a w szczególności osoby posiadające dostęp do wrażliwych informacji – powinny stosować tzw. dodatkowy składnik, który potwierdzi na sto procent tożsamość użytkownika. Po prostu sprawdzi, czy po drugiej stronie komputera siedzi odpowiednia i uprawniona osoba, a nie ktoś kto się za nią tylko podaje.
W USA 180 dni na adopcję 2FA
O tym, że wieloskładnikowe uwierzytelnianie (MFA) to dziś konieczność, przekonują nas również decyzje amerykańskiego prezydenta, który w rozporządzeniu wykonawczym w sprawie poprawy cyberbezpieczeństwa narodu z 12 maja apeluje o wdrożenie dwuetapowego uwierzytelniania (2FA) dla całego rządu w ciągu 180 dni.
Takiego zabezpieczenia nie posiadał niestety szef Kancelarii Rady Ministrów w Polsce, Michał Dworczyk, dlatego w czerwcu br. jego prywatna skrzynka e-mail (niesłusznie zresztą używana do korespondencji na tematy rządowe) została przejęta przez cyberprzestępców.
– Jak podaje właściciel domeny, w której polityk miał swoje konto pocztowe, wejście na konto ministra Michała Dworczyka i co za tym idzie uzyskanie dostępu do jego maili nastąpiło na skutek podania poprawnego loginu i hasła – dodaje Kowalski. – Można więc z tego wnioskować, że przestępcy albo wyłudzili hasło wysyłając pshishingową wiadomość, albo używano takiego samego hasła do innych serwisów i tam ono wyciekło.
Praktyka korzystania z prywatnych skrzynek e-mail w celach służbowych w administracji państwowej nie jest jednak tylko polską domeną. Jak podaje Sky News, w samym 2020 roku zanotowano aż 151 przypadków naruszeń bezpieczeństwa w brytyjskim Ministerstwie Obrony, gdzie tajne informacje z bezpiecznej, rządowej sieci zostały przeniesione na osobiste konta e-mail.
– Jak widać trudno zdyscyplinować w tej kwestii nawet osoby, które mają dostęp do najbardziej poufnych informacji, dlatego trzeba głośno mówić o szerokim i kompleksowym stosowaniu tzw. dodatkowego składnika podczas uwierzytelniania się do systemów i aplikacji – tłumaczy dalej Tomasz Kowalski. – Tym drugim składnikiem mogą być zarówno klucze fizyczne, jak i wbudowane w laptopy czy smartfony czytniki biometryczne. Ważne jednak jest to, aby chronione w ten sposób były wszystkie używane przez pracowników i polityków aplikacje. Są dziś na szczęście nieinwazyjne sposoby, które bez zmiany w kodach aplikacji pozwalają zastosować dowolną metodę wieloskładnikowego uwierzytelniania, w tym także kluczy kryptograficznych.
Wieloskładnikowe uwierzytelnianie uznawane jest dziś za najskuteczniejszą ochronę przed wyłudzeniem informacji. Właściwie zaprojektowana ochrona potrafi ochronić przed m.in. kradzieżą sesji zalogowanych użytkowników, phishingiem i atakami man-in-the-middle. Wszyscy więc, a szczególnie osoby piastujące odpowiedzialne stanowiska państwowe powinny natychmiast zrezygnować z hasła, jako jedynego elementu zabezpieczania i potwierdzania tożsamości online. To hasła bowiem – niestety słabe i często identyczne używane do wielu serwisów – narażone są na łatwą kradzież, która w następstwie przynieść może nie tylko stres jego właściciela, ale również kryzys polityczny.
