Użytkownicy sieci często sami narażają się na ataki cyberprzestępców, np. poprzez stosowanie tego samego hasła w wielu różnych witrynach. W takim przypadku, gdy powiedzie się włamanie na jedno konto, zagrożona jest cała reszta. Aby temu zapobiec, kluczowe jest wprowadzenie odpowiednich praktyk i środków ostrożności, czyli tzw. cyberhigieny. Pomoc tutaj zapewniają narzędzia z kategorii menedżerów haseł lub mechanizmy uwierzytelniania wieloskładnikowego.
O najlepszych praktykach dyskutują Aamir Lakhani i Jonas Walker – eksperci z FortiGuard Labs firmy Fortinet.
Dlaczego stosowanie jednego hasła stanowi zagrożenie dla cyberbezpieczeństwa?
Jonas Walker: Jest to bardzo ważna kwestia, ponieważ wciąż wiele osób używa jednego hasła lub jego nieznacznie zróżnicowanych wariantów do różnych kont. Gdy np. na końcu zamiast „1” wstawimy „2” ze względu na wymóg aktualizacji, to w zasadzie hasło pozostaje takie samo. Nie jest ono unikalne, a moim zdaniem to duży problem, ponieważ hasła wielokrotnego użytku stanowią ułatwienie dla cyberprzestępców. Podpowiedzią dla nich jest też układ klawiszy na klawiaturze. Jeśli strona wymaga podania hasła ze znakiem specjalnym lub cyfrą, najprawdopodobniej tym znakiem specjalnym będzie wykrzyknik, ponieważ znajduje się na klawiszu z cyfrą 1. Taką logiką kierują się zazwyczaj użytkownicy, o czym doskonale wiedzą cyberprzestępcy. Popularność wzorców haseł i mechanizmy uczenia maszynowego (ML) ułatwiają im ustalenie, jakie struktury są najczęściej używane.
Aamir Lakhani: Istnieją miliony starych haseł, które wyciekły, ale są ciągle stosowane przez użytkowników. Czasami jedynie zmieniają jakąś cyfrę, dodają lub usuwają literę. Cyberprzestępcy dysponują programami, które szukają tych typowych podmian. Tworzą listy haseł, z których mogą generować miliony nowych, z różnymi kombinacjami. Następnie testują je automatycznie, dopóki nie trafią na prawidłowe. Dlatego zawsze zachęcam do używania unikalnych nazw użytkownika na każdej witrynie. Niektóre z nich wymagają, aby był nim adres e-mail, ale najlepiej w tym celu za każdym razem założyć nowy.
W jaki sposób zabezpieczyć hasła i nazwy użytkowników w hybrydowym środowisku pracy?
Jonas Walker: Polecam korzystać z menedżerów haseł. To narzędzie bardzo ułatwia ochronę danych. Za każdym razem, gdy zarejestrujemy się w innej platformie, automatycznie wygeneruje ono nowe, unikalne hasło i przechowa je w swoich formularzach.
Aamir Lakhani: Należy też pamiętać, że wieloskładnikowe uwierzytelnianie może dać fałszywe poczucie bezpieczeństwa. Wiele osób korzysta z weryfikacji tekstowej lub SMS-owej, ale to rozwiązanie ma słabe punkty. Właśnie w tym przypadku cyberhigiena jest szczególnie ważna. Często, gdy w systemach operacyjnych telefonów komórkowych pojawiają się okienka z pytaniem „Czy chcesz udostępnić tej aplikacji dane przesyłane w wiadomościach SMS” lub „Czy są to uprawnienia, które chcesz nadać aplikacjom”, nie każdy czyta ich treść. Zazwyczaj nierozważnie klika się „tak”, przez co aplikacje otrzymują więcej danych niż użytkownik by chciał. Uprawnienia te są wykorzystywane np. do celów reklamowych. Z kolei złośliwe aplikacje wymuszają w ten sposób dostęp do wiadomości SMS, żeby wykraść kody wysyłane podczas procesu uwierzytelniania wieloskładnikowego. Dlatego ważne jest, żeby mieć świadomość jakie uprawnienia nadaje się aplikacjom.
Jak najlepiej zadbać w firmie o cyberhigienę w czasach pracy hybrydowej?
Jonas Walker: Podłączanie do firmowej sieci urządzeń używanych w pracy zdalnej powinno być wykonywane z dużą ostrożnością. Należy pamiętać, że w ciągu ostatnich miesięcy sieci domowe były często atakowane ze względu na pracę zdalną. Jeśli doszło do naruszenia bezpieczeństwa zainstalowanego na mobilnym sprzęcie oprogramowania, to podłączenie go później do sieci firmowej może sprowadzić poważne zagrożenie. Cyberprzestępcy przewidują takie scenariusze z wyprzedzeniem, dlatego jestem przekonany, że są przygotowani do tego typu ataku. Tymczasem coraz więcej prywatnych urządzeń otrzymuje dostęp do sieci korporacyjnej, więc edukowanie pracowników i zapewnianie im szkoleń jest niezbędne.
Aamir Lakhani: Zgadzam się, że szkolenie pracowników i zwiększanie świadomości o cyfrowych zagrożeniach jest kluczowe dla cyberbezpieczeństwa w firmie. Wiedza o tym, jak filtrować przychodzące wiadomości e-mail, może być naprawdę prostym sposobem na uniknięcie ataków phishingowych, które nadal zdarzają się często. Zalecam także posiadanie dwóch skrzynek poczty elektronicznej – jednej na wiadomości wewnętrzne, a drugiej na zewnętrzne. Warto również korzystać z podpisów cyfrowych w celu identyfikacji wiarygodności cyfrowej korespondencji.