Cyberoszuści wykorzystują naszą nieuwagę. Rozmowa z Paulą Januszkiewicz

Dużo się mówi o cyberbezpieczeństwie, jednak użytkownicy Internetu nadal popełniają błędy. Jakie najczęściej?  

Przede wszystkim stosują zbyt proste hasła, za rzadko je zmieniają albo mają jedno hasło do wszystkich systemów i aplikacji, zarówno w pracy, jak i prywatnie. Wyciek danych z jednego z takich miejsc może skutkować przejęciem kontroli nad innym. Trzeba mieć świadomość, że oszuści w pierwszej kolejności sprawdzą, gdzie mogą zalogować się za pomocą loginów i haseł, które wpadły w ich ręce. Hakerzy potrafią w kilka sekund złamać najbardziej popularne na świecie hasła, a już na pewno takie jak Kasia123. Nierozważne jest również udostępnianie prywatnej sieci internetowej innym użytkownikom albo korzystanie z ogólnodostępnej sieci, np. w kawiarni czy na lotnisku, ponieważ nigdy nie ma się pewności, czy haker już się tam nie włamał. 

Użytkownicy, mimo ostrzeżeń w mediach, często klikają w fałszywe linki. Przykładowo od dłuższego czasu oszuści podszywający się pod InPost wysyłają SMS-y z informacją, że aby odebrać przesyłkę z paczkomatu, trzeba pobrać specjalną aplikację. Po kliknięciu w spreparowany link instaluje się oprogramowanie śledzące, dzięki któremu niepowołane osoby mogą bez problemu przejąć dane z telefonu. 

Od kilku miesięcy słyszymy, że aktywność cyberprzestępców wzrosła, a COVID-19 stał się ich „paliwem”. Jak cyberprzestępcy wykorzystują pandemię? 

Na porządku dziennym są obecnie ataki phishingowe, takie właśnie jak w przypadku InPost. Wykorzystują one nieostrożność użytkownika nieświadomie otwierającego podstępne wiadomości mail lub SMS, których celem jest zainfekowanie szkodliwym oprogramowaniem komputera lub telefonu. Treść takich wiadomości zazwyczaj intryguje, skłaniając odbiorcę do ich otwarcia. Przykładem mogą był fałszywe informacje zachęcające do wsparcia walki z koronawirusem.

Często osoby, które chcą pomóc, klikają w nieznany link albo podają oszustom własne dane, w tym loginy i hasła. Przestępcy wysyłają SMS-y, które nakłaniają do instalacji różnych aplikacji związanych z COVID-19, a w mediach społecznościowych pojawiły się fałszywe linki do rejestracji na szczepienia. Jeden z moich pracowników sam kliknął ostatnio w taki link, co pokazuje, że oszuści mają świetnie wypracowane metody i nawet my, eksperci od cyberbezpieczeństwa, możemy być narażeni na ataki. 

Co możemy zrobić, żeby zminimalizować ryzyko cyberataku? 

Musimy sobie zdawać sprawę z tego, że zdarzają się one non stop i tak jak wspomniałam mogą dotknąć każdego z nas. Powinniśmy być bardzo czujni, gdy widzimy podejrzane wiadomości e-mail od nieznanych odbiorców. Nie otwierajmy w takich sytuacjach załączników ani linków. Nie klikajmy we wszystko, co wydaje się interesujące w mediach społecznościowych. Oszuści tylko czekają na chwilę naszej nieuwagi. 

Co jest bardzo istotne – stosujmy wiele różnych haseł chroniących nasze komputery służbowe i prywatne, np. inne do bankowości elektronicznej, do poczty w pracy, do Facebooka. To muszą być trudne hasła. Unikajmy takich, które składają się z naszego imienia, adresu czy daty urodzenia. Wymyślajmy silne hasła o długości ok. 10-15 znaków, zawierające kombinację cyfr, symboli, dużych i małych liter. W ich utworzeniu oraz zapamiętaniu mogą pomóc takie programy jak np. KeePass. Sama używam tego narzędzia do zarządzania moimi hasłami, których mam kilkadziesiąt. Nie spisujmy ich w notesach czy w smartfonie – jeśli ktoś nam go ukradnie, nietrudno przewidzieć konsekwencje.

Dobrym rozwiązaniem jest także logowanie odciskiem palca. Jeśli pracujemy z danymi osobowymi, powinniśmy zmieniać hasła co 30 dni, w innych przypadkach co kilka miesięcy. Korzystajmy z uwierzytelniania wieloskładnikowego zwanego weryfikacją wieloetapową, które polega na dodaniu dodatkowych poświadczeń, np. SMS, aby móc przejść proces logowania i uzyskać dostęp do danego systemu. Pamiętajmy też o instalowaniu oraz aktualizacji programu antywirusowego. 

Pani firma przeprowadza kontrolowane ataki hakerskie w największych organizacjach i instytucjach na świecie. Na czym polegają takie ataki, po co i gdzie się je przeprowadza oraz jakie korzyści dają? 

Tak zwane testy penetracyjne polegają na kontrolowanym włamaniu się do zasobów klienta z różnych stron, zarówno zewnętrznych, jak i z danej organizacji. Firmy zlecają nam przeprowadzenia takiego testu głównie po to, aby sprawdzić, czy ich system jest bezpieczny. Pentest pomaga w wykrywaniu „dziur” w infrastrukturze i poprawieniu jakości zabezpieczeń. Na przykład, jeśli bank chce wiedzieć, czy jego infrastruktura jest dobrze zabezpieczona, zleca nam zhakowanie swoich systemów bankowych. Potem przygotowujemy raport pokazujący, czy i w jaki sposób bank może zostać zaatakowany z zewnątrz i jak poprawić swoje zabezpieczenia. 

Pomimo przeprowadzanych testów, nawet najbardziej chronione systemy informatyczne są skutecznie atakowane przez cyberprzestępców. Gdzie więc w tych systemach kryje się najsłabsze ogniwo? Które branże i sektory są najczęściej celem ataku?  

Mówi się, że to użytkownik jest najsłabszym ogniwem, to znaczy zawodzi najczęściej i najbardziej boleśnie. Uważam jednak, że zależy to od przyjętej perspektywy. Obecnie są dostępne na rynku naprawdę dobre rozwiązania z zakresu bezpieczeństwa, ale niestety nie zawsze z nich korzystamy. 

Najczęstszymi celami ataków hakerów są instytucje finansowe, przede wszystkim banki, ponieważ mają ogromne bazy danych, co jest atrakcyjne z perspektywy cyberprzestępcy. W podobnej sytuacji znajdują się towarzystwa ubezpieczeniowe, telekomy bądź szeroko rozumiana służba zdrowia. 

W jakim zakresie pracownicy firmy powinni być szkoleni z cyberbezpieczeństwa?  

Każda organizacja chce uniknąć naruszenia bezpieczeństwa systemów. Oznacza to zminimalizowanie ryzyka strat finansowych, wizerunkowych czy ograniczenie potencjalnych wydatków i prac nad uszczelnieniem systemu informatycznego. Firmy powinny szkolić swoją kadrę przede wszystkim w zakresie przestrzegania obowiązujących procedur i zasad bezpieczeństwa, odpowiedzialnego postępowania z informacjami poufnymi oraz zgłaszania nietypowych czy niepokojących sytuacji.

Ważne jest, aby uświadomić pracownikom jakie są możliwe zagrożenia, na czym polegają cyberataki, jak je rozpoznawać i stawić im czoła. Odpowiednio przeszkolony pracownik, który zna procedury i wie, kiedy i w jaki sposób z nich korzystać, będzie umiał sobie poradzić z zagrożeniami również w życiu prywatnym. Phishing czy szkodliwe oprogramowanie może trafić do każdego, na przykład poprzez media społecznościowe czy złośliwe e-maile. Zawsze podkreślam potrzebę holistycznego podejścia do problematyki cyberbezpieczeństwa. Wszyscy musimy mieć świadomość, jak szerokie jest spektrum możliwych oszustw online. 

Coraz więcej kobiet pracuje w IT, ale kwestie cyberbezpieczeństwa to nadal domena mężczyzn. Jak wyglądała Pani ścieżka zawodowa? Co radziłaby Pani osobom zaczynającym pracę w tej branży?

Moja pierwsza praca polegała na administrowaniu siecią, z czasem trafiłam do firmy konsultingowej, a tam dotarło do mnie to, że cyberbezpieczeństwo jest tym, czym docelowo chcę się zajmować. Gdy nie dano mi możliwości skupienia się na testach penetracyjnych, postanowiłam założyć własną firmę. Jako CQURE działamy już od ponad 12 lat.

Jeszcze kilkanaście lat temu cyberbezpieczeństwo nie było w Polsce tak popularne jak teraz, dlatego musiałam pomyśleć o rozszerzeniu działalności na nowe rynki. Gdy zaczęły się projekty międzynarodowe, okazało się, że firmy z krajów należących do Rady Współpracy Zatoki Perskiej wolą lokalnych dostawców – tak powstał oddział mojej firmy w Dubaju. Kolejne otwarcia odbyły się na podobnej zasadzie. Obecnie, oprócz Polski i Zjednoczonych Emiratów Arabskich, działamy także w Szwajcarii i Stanach Zjednoczonych, dostarczając usługi oraz realizując szkolenia na wszystkich kontynentach.

Wszystkim młodym ludziom, którzy dopiero planują lub rozpoczynają swoją karierę zawodową w IT zawsze powtarzam, że muszą być cierpliwi i próbować aż do skutku. Na tym polega nasza praca – testujemy zabezpieczenia, dopóki nie znajdziemy podatności systemu na działania hakerskie. Zachęcam wszystkich, aby poznawali technologię „od środka”.

Dziękujemy za rozmowę!

Paula Januszkiewicz – ekspertka w zakresie cyberbezpieczeństwa. Jest jedną z ok. tysiąca osób na świecie posiadającą dostęp do kodu źródłowego systemu Windows. Od wielu lat uczestniczy w największych branżowych konferencjach, podczas których dzieli się swoimi doświadczeniami i wnioskami z przeprowadzonych projektów. W swojej firmie CQURE tworzy rozmaite programy szkoleniowe, których celem jest między innymi uświadamianie pracownikom potrzeby zachowania cyberbezpieczeństwa w miejscu pracy. Przygotowała cykl szkoleń e-learningowych „Akademia Cyberbezpieczeństwa” dla pracowników PKO Banku Polskiego.

Joanna Kornaga
ekspert w PKO Banku Polskim