Ludzkie błędy nadal są główną przyczyną zagrożeń w internecie

Materiał partnera
opublikowano: 09-10-2018, 22:00

Kradzieże, wyłudzenia, wymuszenia okupu — przestępcy od tysiącleci zarabiali w podobny sposób.

Mimo postępu technologii „tradycyjne” formy nielegalnej działalności są wciąż najbardziej popularne, również w cyberprzestępczości. Bo w gruncie rzeczy nic się nie zmieniło. Ofiarami hakerów są ludzie, a nie komputery.

Zagadnienia oszustw w sieci będą jednym z głównych tematów
tegorocznej Międzynarodowej Konferencji Secure, która odbędzie się w Warszawie,
w dniach 23-24 października . Podobnie jak w ubiegłorocznej edycji jednym z
prelegentów będzie Krzysztof Silicki, p.o. dyrektora NASK.
Zobacz więcej

Z NASK O BEZPIECZEŃSTWIE:

Zagadnienia oszustw w sieci będą jednym z głównych tematów tegorocznej Międzynarodowej Konferencji Secure, która odbędzie się w Warszawie, w dniach 23-24 października . Podobnie jak w ubiegłorocznej edycji jednym z prelegentów będzie Krzysztof Silicki, p.o. dyrektora NASK. Fot. ARC

Wciąż te same błędy

Obserwacje ekspertów w dziedzinie bezpieczeństwa internetowego są zasmucające. Użytkownicy komputerów popełniają karygodne błędy, które nierzadko prowadzą do poważnych konsekwencji. Nawet jeśli wiedzą, czego nie należy robić, to robią to i tak. Powody są różne — czasem pośpiech, czasem wygodniej jest pominąć procedury, czasem wydaje się, że w tej akurat sytuacji nie ma się czego obawiać.

— Organizacja cyberbezpieczeństwa w sieciach, z których korzysta wiele osób, np. w firmie czy urzędzie, to może być poważne wyzwanie. Każdy, kto taką firmą zarządza, wie, że potrzebne są środki techniczne, takie jak firewalle czy regularne skanowanie antywirusowe. Niezbędny jest fachowy personel (własny lub z firmy zewnętrznej), który dba o aktualizację oprogramowania, zarządza dostępem do wrażliwych danych i obsługuje systemy zabezpieczeń. Muszą istnieć procedury działania, zmniejszające ryzyko cyberataku. Ponadto wszyscy pracownicy muszą mieć świadomość swojej roli i odpowiedzialności, znać procedury i rozumieć na czym polega zagrożenie. Wszystkie elementy muszą być skoordynowane, bo tylko wtedy będą działać. A i tak ryzyka nie da się całkowicie wyeliminować — mówi Przemysław Jaroszewski kierownik działu CERT Polska w NASK Państwowym Instytucie Badawczym.

W ostatnim raporcie FBI, zawierającym statystyki dotyczące przestępstw komputerowych, pierwszą pozycję na liście przestępstw, które w 2017 r. spowodowały największe straty, figuruje EAC (e-mail account compromise) czyli przejęcie cudzego konta pocztowego i użycie go do oszukania innych osób. Podszywając się pod współpracowników z firmy, rodzinę, przyjaciół a nawet urzędników administracji państwowej oszuści wyłudzili 676 mln USD.

Hasło z urządzenia

Według Michała Jarskiego, wiceprezesa firmy FUDO Security, ryzyko przejmowania kont można zredukować, wprowadzając pomocne rozwiązania techniczne.

— Wszyscy wiemy, że należy stosować hasła odpowiednio długie i trudne do odgadnięcia oraz, że należy je okresowo zmieniać. Nie wszyscy jednak są gotowi na taką systematyczność. Firmy, które próbowały wymuszać politykę takich trudnych do złamania haseł na użytkownikach, natrafiły na ogromny opór. Personel zaczął zapisywać hasła na karteczkach post-it lub w notatnikach, co tylko obniża poziom zabezpieczeń. W przypadku konieczności zmieniania haseł co jakiś czas, użytkownicy zaczęli zmieniać tylko jego końcówkę (np. dodając numer miesiąca), co także pogarsza ich odporność na złamanie — mówi Michał Jarski.

Dodaje on, że obserwacje te doprowadziły do wydania nowych rekomendacji przez amerykańską rządową agencję NIST (National Institute of Standards and Technology), w których zamiast zaleceń co do okresowej zmiany haseł mówi się raczej o wdrażaniu metod wieloskładnikowego uwierzytelniania przy użyciu tzw. tokenów, czyli sprzętowych lub aplikacyjnych czynników dodatkowo potwierdzających tożsamość użytkownika.

— Przykładem mogą być dobrze znane urządzenia generujące zmienne, jednorazowe hasła do przepisania w okienko logowania na żądanie. Doświadczenia Google wskazują, że wdrożenie takich elementów praktycznie wyeliminowało w ich środowisku zagrożenia związane z phishingiem — wyjaśnia Michał Jarski.

Tegoroczny Europejski Miesiąc Cyberbezpieczeństwa, organizowany w październiku z inicjatywy Komisji Europejskiej, ma na celu zwrócenie uwagi na codzienne decyzje i czynności, które mają decydujący wpływ na poziom naszego bezpieczeństwa w sieci. Eksperci podkreślają wagę cyberhigieny, czyli przestrzegania podstawowych reguł postępowania, zwiększających bezpieczeństwo. Najważniejsze z nich to regularna aktualizacja systemu operacyjnego, przeglądarki internetowej i innych programów, łączących się z internetem, a także odpowiednia polityka haseł. Inny ważny temat to zasada ograniczonego zaufania, ponieważ nadal większość przestępstw komputerowych, w wyniku których firmy i osoby prywatne tracą pieniądze, to w mniejszym stopniu zaawansowane technicznie ataki hakerskie, a w większym sprytne oszustwa.

Zagadnieniom oszustw w sieci będzie poświęcona znaczna część tegorocznej Międzynarodowej Konferencji SECURE, organizowanej w Warszawie w dniach 23-24 października — rejestracja na www.secure.edu.pl

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Materiał partnera

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Gospodarka / Ludzkie błędy nadal są główną przyczyną zagrożeń w internecie