Nie skończ jak Michał Dworczyk. Ekspert mówi, jak przed atakami mogą się bronić posłowie – i ty też
Po ostatniej aferze dotyczącej włamania się na skrzynkę mailową ministra Michała Dworczyka, w debacie publicznej wypłynęła kwestia bezpieczeństwa w sieci. Zapytaliśmy eksperta z niebezpiecznik.pl o to, jakie hasło jest dobre i czy infolinia dotycząca cyberbezpieczeństwa to dobry pomysł.
Czytaj więcej: Posłowie utajnili posiedzenie Sejmu. Nieoficjalnie: powołali na nim infolinię dla ofiar cyberataków
Na niejawnym posiedzeniu Sejmu rząd powołał do życia specjalną infolinię zajmującą się cyberbezpieczeństwem. Jak oceniacie sens takiego pomysłu?
Każdy sposób pomocy potencjalnej ofierze jest dobry. Zakładam, że infolinia to tylko pierwszy punkt kontaktu, a w przypadku problemów, których nie da się rozwiązać poprzez rozmowę, politykowi zaproponowane zostanie spotkanie z jakimś ekspertem.
Czy dobrym rozwiązaniem jest wprowadzenie szkoleń w tym temacie, czy lepiej skupić się na technicznej stronie i wprowadzić zabezpieczenia dla posłów?
Bezpieczeństwo to jest proces, a nie produkt. Nie da się kupić 5 kg "bezpieczeństwa" i zapomnieć o sprawie. Dlatego też jednorazowe szkolenie nie rozwiąże problemu, a odsunie go w czasie. Szkolenia powinny być realizowane regularnie, a poza nimi posłowie powinni być atakowani przez "naszych", aby wyrobić w nich odruch poprawnej reakcji i świadomość ciągłego zagrożenia, a także z czasem wprowadzać nowe, bardziej aktualne scenariusze ataków.
To samo tyczy się wdrożeń zabezpieczeń. Po wdrożeniu nowych mechanizmów trzeba doglądać, a z ich obsługi przeszkolić użytkowników i stale wspierać w ewentualnych problemach, odpowiadać na pytania i do bólu tłumaczyć, dlaczego teraz może mają mniej wygodniej, ale za to bezpieczniej. Bezpieczeństwo skrzynki pocztowej wymaga uwagi nie tylko samego jej właściciela, ale także dostawcy, którego obowiązkiem jest monitorowanie infrastruktury i reagowanie na anomalie lub zagrożenia.
Czy rzeczywistość pracy zdalnej może wpływać na wzmożone ryzyko ataków hakerskich wśród posłów, którzy zamiast w swoich biurach czy Sejmie, funkcjonują w swoich domach na różnych połączeniach sieciowych?
Do pewnego stopnia tak. Mniejszy (zdalny) kontakt ze współpracownikami to utrudnienie w weryfikacji ich tożsamości. Przykładowo, wiadomość od kolegi można potraktować na pracy zdalnej jako prawdziwą, a w przypadku pracy w biurze byłoby od razu jasne, że to nie kolega wysłał nam wiadomość, bo właśnie stoi na balkonie i pali papierosa. To oczywiście jeden ze skrajnych przypadków, ale co do zasady łatwiej przed liskiem ochroni się kury, które ma się w zasięgu wzroku, w kurniku, a nie takie rozbiegane po okolicznych łąkach.
Z drugiej strony, dzisiejsza technologia pozwala na bezpieczną zdalną pracę. Jest to bardziej kosztowne, trudniejsze, ale możliwe. To nie jest tak, że "praca zdalna" pojawiła się dopiero w 2020 roku. Ten model pracy na mniejszą skalę był stosowany praktycznie w każdej firmie czy instytucji już lata temu. Był czas, aby dopracować procedury.
Czytaj więcej: Afera mailowa: Wyciekło, jak wprowadzano obostrzenia
W jaki sposób posłowie i wysocy urzędnicy państwowi mogą ochronić się przed atakami hakerskimi? Gdybyście mieli udzielić im kilku rad, co by to było?
Na ten temat można by było nagrać kilkugodzinny kurs, a i tak byłoby to za mało. Zresztą, taki kurs dla posłów powstał i od stycznia, po kolejnej fali ataków, niebezpiecznik.pl oferuje go za darmo wszystkim chętnym posłom. Do tej pory z tej możliwości skorzystało kilkudziesięciu posłów i ponoć jedna partia przerabiała go wspólnie. Zamiast wszystkie te rady powtarzać, po prostu odeślę zainteresowanych do naszego artykułu ze stycznia.
Jeśli miałbym wybrać tylko jedną radę, którą każdy – nie tylko posłowie – powinni sobie wziąć do serca, to byłoby to: kup klucz U2F i skonfiguruj go na swojej skrzynce mailowej, Facebooku, Twitterze i w każdym innym koncie, które klucz U2F wspiera. A jeśli Twoja skrzynka U2F nie wspiera, to zmień ją na taką, która oferuje to zabezpieczenie. I nie, dwuskładnikowe uwierzytelnienie realizowane poprzez kody SMS lub aplikacje typu Google Authenticator nie wystarczy, bo da się je ominąć.Niestety politycy nie zastosowali się wtedy ani do naszych rad, ani do rad rządowych instytucji, które wtedy opublikowano. I teraz mamy tego efekt...
Jakie są jednak najgorsze hasła, jakie można ustawiać na swoich kontach oraz czy istnieje w ogóle bezpieczne hasło?
Najlepsze są takie, których nie pamiętamy, bo generuje je za nas manager haseł. Wtedy mamy pewność, że są długie i każde jest różne od siebie. I właśnie tak powinniśmy do haseł podchodzić, generować je w managerze haseł i tam je przechowywać. Dziś w zasadzie każda przeglądarka internetowa ma manager haseł i jeśli urządzenia nie dzielimy z nikim innym, a obsługa narzędzia KeePass jest dla nas zbyt trudna, to skorzystajmy z managera haseł wbudowanego w przeglądarkę.