Nieupoważnionym wstęp wzbroniony

opublikowano: 04-07-2019, 22:00

Nie poprzestańmy na wdrożeniach cyfrowych. Żadna metoda autoryzacji nic nie da, jeśli zawiedzie człowiek

W filmie „Raport mniejszości” Stevena Spielberga z 2002 r. niesłusznie podejrzany i ścigany bohater decyduje się na przeszczepienie sobie cudzych gałek ocznych, bo wszechobecne skanery rozpoznają go po tęczówce. W najbliższej przyszłości to nie wystarczy. Już dzisiaj pojawiają się urządzenia i programy pozwalające stwierdzić naszą tożsamość po rozmiarze czaszki, umiejscowieniu żył bądź sposobie chodzenia. Powstają też algorytmy wykrywające zachowania odstające od normy — jeśli klient banku zaczyna wykonywać gwałtowne ruchy, włącza się alarm. Wśród genialnych twórców innowacji do monitoringu znalazł się Polak — Michał Kosiński, inżynier z Uniwersytetu Stanforda, opracował algorytm, który tylko na podstawie zdjęć wskazuje homoseksualistów.

Przestępcy nie próżnują, ale zagrożenie stanowią również pracownicy,
jeśli nie mają odpowiedniej wiedzy i nastawienia — mówi Paweł Łąka,
odpowiedzialny za rozwiązania z dziedziny bezpieczeństwa IT w firmie e-point.
Zobacz więcej

NAJSŁABSZE OGNIWO:

Przestępcy nie próżnują, ale zagrożenie stanowią również pracownicy, jeśli nie mają odpowiedniej wiedzy i nastawienia — mówi Paweł Łąka, odpowiedzialny za rozwiązania z dziedziny bezpieczeństwa IT w firmie e-point. Fot. Marek Wiśniewski

Jednych fascynują takie technologie, inni z przerażeniem zadają pytanie: co się stanie, jeśli użyją ich przeciwko nam firmy, służby specjalne lub rządy. Chodzi o to, że rozwiązania IT wprawdzie mają ogromne wady, ale oferują ogromne korzyści. Co więcej: nieużywanie tych narzędzi może narazić firmę na kłopoty.

— Jak nie dopuścić, by ktoś niepowołany dostał się do telefonu, laptopa, samochodu, biura albo systemu informatycznego przedsiębiorstwa? Ta sprawa powinna leżeć na sercu osób odpowiedzialnych za IT. Wszelkie zaniedbania na tym polu grożą poważnymi konsekwencjami — uświadamia Paweł Łąka, odpowiadający w spółce e-point za rozwiązania dotyczące bezpieczeństwa cyfrowego.

Stawką są spadki przychodów, przerwy w działalności firmy, kary od regulatorów i utrata wrażliwych danych. Ofiary ataku muszą liczyć się także z nadszarpnięciem reputacji.

— Nikt nie chce robić interesów z firmą, która nie upilnowała swoich cyfrowych zasobów: choćby była Bogu ducha winna, zwykle odchodzą od niej klienci i partnerzy biznesowi — przekonuje dr Sergiusz Prokurat, ekonomista, autor książki „Praca 2.0”.

Pracując z wrogiem

Rolę cerberów pełnią procesy logowania, które — zdaniem Pawła Łąki — stwarzają dwa podstawowe wyzwania. Pierwsze wiąże się z koniecznością stwierdzenia, że ktoś jest tym, za kogo się podaje. Druga trudność polega na określeniu zakresu dostępu. Trudno sobie wyobrazić, by np. ktokolwiek spoza HR miał dostęp do teczek osobowych pozostałych pracowników. Przedstawiciel e-pointu uważa, że przedsiębiorcy koncentrują się na ewentualnych atakach z zewnątrz, często lekceważąc szkody i straty, które mogą wynikać z nieuczciwości, niefrasobliwości lub niewiedzy swojego personelu.

— Tylko za częścią zdarzeń stoją cyberprzestępcy. Według niektórych statystyk nawet trzy czwarte zagrożeń ma charakter wewnętrzny. Problemem są niekiedy pracownicy. Aby zwiększyć ochronę, trzeba postawić na poprawne uwierzytelnianie i kontrolę — twierdzi Paweł Łąka.

Co skłania zatrudnionych do kradzieży i niszczenia danych? Według informatyków sprawcy rzadko kierują się motywami ekonomicznymi. Częściej ktoś chce odegrać się na pracodawcy, bo nie dostał podwyżki lub awansu albo został wyrzucony z pracy. Zanim jednak posądzimy kogoś o złą wolę, warto sprawdzić, czy w grę nie wchodzi rozkojarzenie lub brak wiedzy technologicznej.

bc64433c-8c2e-11e9-bc42-526af7764f64
Puls Innowacji
Newsletter z najważniejszymi informacjami o rozwoju i finansowaniu nowych technologii.
ZAPISZ MNIE
Puls Innowacji
autor: Anna Bełcik
Wysyłany raz w tygodniu
Anna Bełcik
Newsletter z najważniejszymi informacjami o rozwoju i finansowaniu nowych technologii.
ZAPISZ MNIE

Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa.

Kliknij w link w wiadomości, aby potwierdzić subskrypcję newslettera.
Jeżeli nie otrzymasz wiadomości w ciągu kilku minut, prosimy o sprawdzenie folderu SPAM.

— Standardem jest wdrażanie zaawansowanych systemów antywirusowych, zapór sieciowych i narzędzi autoryzacyjnych. Ochrona powinna obejmować jednak także cyfrową edukację pracowników. Gdy zaczynamy pracę w nowej firmie, musimy przejść szkolenie BHP. Szkoda, że nie ma obowiązkowych zajęć z bezpieczeństwa i higieny używania służbowych komputerów, smartfonów i internetu — mówi Michał Gembal, dyrektor marketingu w firmie Arcus, która specjalizuje się w elektronicznym obiegu dokumentów.

Dodaje, że szczególnie mniejsze przedsiębiorstwa nie potrzebują ogromnych i kosztownych zabezpieczeń ani tzw. dedykowanych zespołów zajmujących się cyfrową ochroną. Konieczni są natomiast świadomi użytkownicy.

— Podatność sprzętowa, aplikacyjna, a może technologiczna przewaga cyberprzestępców — z różnych powodów ataki okazują się skuteczne i dotkliwe dla biznesu. Najsłabszym ogniwem jest jednak człowiek, niedoskonały, roztargniony, bez właściwej wiedzy i nadzoru — argumentuje menedżer z Arcusa.

Lekkomyślność i niewiedza

Znawcy wymieniają trzy najpopularniejsze grupy metod potwierdzania tożsamości, o których uczy się na szkoleniach pracowniczych. Pierwsza opiera się na tym, co użytkownik wie (hasła statyczne, PIN-y, nazwisko rodowe matki). Druga — na tym, co ma (telefon odbierający SMS lub wiadomościpush, klucze, tokeny). Trzecia — na tym, kim jest (sposoby biometryczne: odcisk palca, rozpoznawanie twarzy, skan siatkówki oka).

— W powszechnym użyciu są hasła statyczne, na ogół jednak bardzo słabe. Niezmiennie stawce przewodzą nieśmiertelne „123456” i „polska”, które hakerzy wpisują jako pierwsze, gdy chcą dostać się do poufnych danych. Mała pociecha w tym, że taka lekkomyślność jest zjawiskiem międzynarodowym. Ponad jedna trzecia uczestników sondażu przeprowadzonego niedawno w USA oświadczyła, że dzieli się hasłem lub kontem ze swoim współpracownikiem — tłumaczy ekspert ze spółki e-point.

Przekazywanie wiedzy nie musi mieć formy wykładu. Spółka TestArmy CyberForces realizuje testy infrastruktury, aby pokazać kadrze kierowniczej i innym użytkownikom środowiska IT, jak łatwo paść ofiarą przestępców. Ostatnio jej specjaliści odkryli lukę w systemie jednej z renomowanych korporacji, zajmującej się przetwarzaniem wrażliwych danych osobowych pochodzących z pozwoleń marketingowych. Hakerzy bez trudu podłączyli się do firmowych kamer bezpieczeństwa, sterowali nimi, a nawet odbierali obraz na żywo. Tak podejrzeli wprowadzane przez pracowników 6-cyfrowe kody do zamków magnetycznych i przeprowadzili udany atak socjotechniczny. Weszli do biura, zostawiając kartkę i wizytówkę. Prezes przedsiębiorstwa z ulgą przeczytał, że była to tylko pokazówka. Nakazał szybkie usunięcie dziur w oprogramowaniu, bo co by się stało, gdyby następnym razem zamiast fachowców z TestArmy wtargnęli do jego firmy prawdziwi przestępcy?

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Mirosław Konkel

Polecane

Inspiracje Pulsu Biznesu