Najsłabsze ogniwo cyberbezpieczeństwa cz. 1
Powszechność, użyteczność i wygoda. – tego właśnie oczekujemy od dostawców usług i aplikacji mobilnych. I tak jak w naszej realnej rzeczywistości, wszystko wydaje się być dobrze działającym systemem, w którym czujemy się bezpiecznie i pewnie. Jednak czy na pewno?
Obecnie jesteśmy świadkami tego jak wiele sfer naszego codziennego życia rozwija się w internecie. To niemal równoległa rzeczywistość, która zmienia sposób funkcjonowania nie tylko ludzi, ale całych społeczeństw i pokoleń. Już ponad 50% całej populacji korzysta z możliwości wirtualnego świata.[1] Dodatkowo wraz z rozwojem technologii mobilnej nasze życie staje się coraz bardziej osadzone w sieci. Już 86% czasu spędzonego online przeznaczamy na aplikacje mobile.[2] Szybki dostęp do wszelkiego rodzaju usług ułatwia nam funkcjonowanie i oszczędza czas. Warto zauważyć w tym kontekście, że Polska plasuje się na 6 miejscu na świecie pod względem konsumpcji internetu mobilnego.[3]
Jednak przy korzystaniu z usług w sieci zawsze istniał dylemat związany z wygodą oraz ochroną użytkownika końcowego. Czy może być łatwo oraz bezpiecznie? Wprowadzenie zabezpieczeń wymaga dodatkowej weryfikacji, wpisywania kolejnych kodów, haseł, numerów, używania zewnętrznych urządzeń. Stąd też często upraszcza się aspekt ochrony do minimum, aby ułatwić użytkownikom korzystanie z serwisu czy aplikacji. Rodzi się w związku z tym uzasadniona wątpliwość – czy jesteśmy w wirtualnym świecie bezpieczni. Odpowiedź brzmi: NIE.
RSA w swoim raporcie dotyczącym cyberprzestępczości za rok 2015 zauważa, że 45% wszystkich przeprowadzanych transakcji zostało wykonanych przy pomocy kanałów mobilnych, natomiast aż 61% prób kradzieży danych użytkowników zostało dokonanych przy użyciu urządzeń mobilnych. Zanotowano także drastyczny wzrost takich ataków w latach 2013 – 2015, aż o 173%.[4]
Przez długi czas skupialiśmy się na korzystaniu z technologii i łatwości dostępu jaką ona oferuje. Obecnie zwracamy coraz baczniejszą uwagę na szybkość i usability. Niestety aspekt bezpieczeństwa w sieci jest zaniedbanym elementem zarówno przez twórców aplikacji, jak i ekspertów branżowych. Powodów jest wiele, ale najprostszy jest taki, że nie widzimy bezpośredniego zagrożenia dla nas samych, do czasu aż:
- dostęp do naszego konta pocztowego, na którym mamy cenne informacje prywatne lub służbowe, zostaje przejęty przez cyberprzestępców,
- nasza tożsamość, dane osobowe są możliwe do kupienia na DarkWeb,
- jesteśmy wykorzystywani do prania brudnych pieniędzy, realizowania nielegalnych transakcji,
- nasze pieniądze z kont bankowych, bankomatów, karty kredytowe są kradzione,
- nasze tajemnice handlowe i biznesowe są przejmowane przez konkurencję.
Wszystkie powyższe sytuacje są możliwe i wysoce prawdopodobne, ponieważ dostęp do danych jest zabezpieczony w najsłabszy możliwy sposób: poprzez nazwę użytkownika i hasło a transakcje przez SMSy. Zaraz, ale „Wszyscy używają tego systemu”. Owszem. Wszyscy używają popularnego i wrażliwego na cyberataki systemu zabezpieczającego. Został on powszechnie wprowadzony zanim cyberprzestępczość miała możliwość powiedzieć swoje pierwsze słowo. System bazujący na nazwie użytkownika nie był pomyślany ani jako bezpieczny ani jako wygodny.
Kradzież nazwy użytkownika i hasła oraz przejęcie dostępu do naszych wszystkich danych jest obecnie banalnie proste. Wystarczy podać przykład największej kradzieży w historii – ponad 500 milionów loginów i haseł wyciekło z portalu Yahoo w 2014 roku. Co ciekawe firma ujawniła ten fakt dopiero dwa lata później.
Jak stwierdził niedawno Michael Chertoff, Sekretarz Departamentu Bezpieczeństwa Narodowego USA w latach 2005 – 2009, „Uważna analiza istotnych włamań i wycieków danych ujawnia wspólny ich element: w każdym „głośnym” wycieku danych, wektorem ataku było hasło. Powód jest prosty: hasło jest obecnie najsłabszym możliwym ogniwem w systemie cyberbezpieczeństwa” [5]
[1] Raport We Are Social, 2016
[2] Źródło: Flurry Analytics, eMarketer; USA, kwiecień 2014
[3] Raport We Are Social, 2016
[4] Raport 2016: Current State of Cybercrime (Whitepaper), RSA 2016
[5] http://www.cnbc.com/2016/10/06/passwords-are-the-weakest-link-in-cybersecurity-today-michael-chertoff-commentary.html
