Jolanta Ojczyk: Czy firmy zdają sobie sprawę z konieczności dbania o bezpieczeństwo gromadzonych danych? Chodzi mi nie tylko o to, czy spełniają wymagania określone przepisami, ale czy mają świadomość, że jest to ważne także dla bezpieczeństwa, stabilności firmy?

Maciej Gawroński: Wierzę, że firmy zdają sobie sprawę i mają świadomość, że bezpieczeństwo danych jest ważne. Problemem jest raczej wdrażanie rozwiązań, które zapewniałyby odpowiedni poziom bezpieczeństwa bez niepotrzebnej i nadmiernej ingerencji w wygodę. Doradztwo w zakresie bezpieczeństwa danych i cyberbezpieczeństwa często jest oderwane od rzeczywistości. Porady dobre w teorii prowadzą do wytworzenia zjawiska zwanego „shadow IT” czyli obchodzenia korporacyjnych zabezpieczeń poprzez korzystanie z darmowych usług publicznych. Nie mówiąc już o legendarnych, przypiętych do monitora, żółtych karteczkach z hasłami. Po prostu na rynku brakuje stopniowalnych standardów cyberbezpieczeństwa, dopasowanych do organizacji, jak i specjalistów praktyków. Dobrym przykładem problemów ze standardem cyberbezpieczeństwa są reguły dotyczące haseł – wykluczające się nawzajem.

 

Czy ma pan na myśli np. zmianę haseł. Wiele firm zaleca ich zmianę nawet co miesiąc, niektóre co trzy.

Dokładnie. Nie warto zmieniać haseł, trzeba tylko używać unikalnych. Okres wymogu zmiany hasła co miesiąc, czy nawet co sześć miesięcy, to okres błędów i wypaczeń. Bill Burr – specjalista amerykańskiego National Institute of Standards Technology, który wymyślił tę zasadę w 2003, obecnie żałuje, że w ogóle przyszła mu ona do głowy. Hasło zwykle zmieniamy według określonej metody, zmieniając końcówkę, np. ostatnią cyfrę, literę, itp.

Wiele osób ma to samo hasło do poczty internetowej, FB, konta bankowego i firmowego systemu. Czy to jest bezpieczne?

Obecnie rekomenduje się, aby do każdego serwisu mieć inne hasło, zgodnie z zasadą jedno konto-jedno hasło. Ale to również jest nieżyciowa porada, bo jak to wszystko spamiętać, gdy codziennie logujemy się do wielu systemów, aplikacji, serwisów. Można zastosować jakąś sztuczkę mnemotechniczną, tylko często takie sztuczki ułatwiają odgadnięcie hasła. Problemem są też różne typy wymagań, co do znaków – gdzieś wymaga się znaków specjalnych, gdzieś znaki specjalne nie dają się zastosować. Niektórzy specjaliści doradzają korzystanie z managerów haseł. Szkoda tylko, że nie mówią, jak zarządzać managerami haseł. Niektórzy doradzają mieć proste hasło do nieistotnych serwisów (np. do sklepu internetowego, do którego nie podpięliśmy karty kredytowej), natomiast skomplikowane do tych, które są ważne: bankowości, poczty elektronicznej, mediów społecznościowych. Ja się w tym gubię. Z hasłami więc to nie jest taka prosta sprawa. Metodę trzeba też dostosować do siebie. Z pewnością należy unikać haseł, typu: qwerty, password, hasło; imion, nazw serwisu oraz numerycznych, np. 123456. Jak podaje Niebezpiecznik.pl, w Polsce popularne jest także hasło: Polska i Samsung, a popularne hasła są łatwe do złamania.

Czytaj w LEX: Prawo do przenoszenia danych czyli jak przenieść dane od jednego administratora danych do drugiego >

Prezes UODO w sprawie morele.net uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Uważa on, że zgodnie z wytycznymi Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji, wskazane jest stosowanie podwójnego uwierzytelniania. I o ile zmiany haseł budzą kontrowersje, to czy zgadza się Pan, że podwójne uwierzytelnianie to dobra metoda?

Uwierzytelnienie dwuskładnikowe, bo o takie tu chodzi, jest bezpieczniejsze niż stosowanie tylko loginu i hasła. Uwierzytelnienie dwuskładnikowe polega na tym, że dysponuje się dwójką z triady „coś wiesz” (np. login i hasło), „coś masz” (np. telefon), czymś jesteś – biometria (np. wzorzec naczyń krwionośnych opuszka palca, wzorzec twarzy). Zgadzam się z poglądem, że administratorzy systemu powinni stosować uwierzytelnienie dwuskładnikowe. Uwierzytelnienie dwuskładnikowe jest obecnie stosowane powszechnie w największych usługach poczty elektronicznej i sieciach społecznościowych. Obecnie też banki mają obowiązek stosowania uwierzytelnienia dwuskładnikowego. Osoba, która ma dużą władzę nad systemem zawierającym istotne dane lub pełniącym istotną funkcję, może poczynić istotne szkody. Należy zatem dbać o to, aby jej uprawnienia nie wpadły w niepowołane ręce. Stąd wymóg stosowania uwierzytelnienia dwuskładnikowego dla funkcji administracyjnych systemów, w których znajdują się dane tysięcy osób.

Czytaj w LEX: Analiza decyzji Prezesa UODO nakładającej karę na Morele.net  >

Jak pan wspomniał, banki musiały wdrożyć dwuskładnikowe uwierzytelniania, bo zmusiły je do tego przepisy. Czy inne firmy, pomimo braku regulacji, powinny pójść tym tropem, np. kancelarie prawne, e-sklepy.

Wydaje się jednak, że w dobie wycieków danych - a przypomnijmy, że w sprawie morele.net właśnie do tego doszło - warto zadbać też o podstawowe zabezpieczenia. Jak już wspomniałem w ubiegłym roku banki musiały wdrożyć podwójne uwierzytelnianie, czyli nie wystarczy już podanie loginu i hasła, by dostać się do konta, ale również dodatkowej informacji, np. kod przysłany sms, lub wskazanie urządzeń, które są zaufane.

Zobacz procedurę w LEX: Zapewnienie bezpieczeństwa przetwarzania danych osobowych >

Podobno jednak nawet uwierzytelnianie dwuskładnikowe można "złamać"?

Sporym ryzykiem jest możliwość wyłudzenia duplikatu karty SIM telefonu od operatora telekomunikacyjnego lub doprowadzenie do przekierowania wiadomości sms z telefonu ofiary na telefon przestępcy. Dlatego, jeśli przestanie nam działać telefon z nieznanych nam powodów, blokujmy dostęp do bankowości elektronicznej / zmieniajmy hasła. Pewniejszym zabezpieczeniem jest np. korzystanie z tokenów, czyli aplikacji do tworzenia unikalnych kodów weryfikacyjnych. O ile dostęp do karty sim czy telefonu można przejąć, o tyle do dodatkowo zabezpieczonego tokena już trudniej. Ważnym „zabezpieczeniem” jest bowiem świadomość zagrożeń dotyczących uwierzytelnienia dwuskładnikowego. Pozostaje jeszcze inny problem, o którym wspomniałem na początku, czy dany system bezpieczeństwa został od początku dobrze zaprojektowany i wdrożony, czy nie ma w nim luk, np. że istnieje możliwość "przechwycenia" gdzieś po drodze hasła. Z tej perspektywy najbardziej bezpieczne wydają się zabezpieczenia biometryczne. Ktoś musiałby podrobić nasz palec z liniami papilarnymi. A wiele smartfonów umożliwia już odblokowanie za pomocą linii papilarnych, i warto korzystać z tego korzystać.

Czytaj w LEX: RODO w IT: wymogi RODO, a projektowanie rozwiązań IT >

Banki, a w ślad za nimi niektóre firmy, proszą swoich użytkowników o wskazanie zaufanych urządzeń. Wiele osób zastanawia się po co, czy to bezpieczne? Czy firmowego laptopa dodać jako zaufane urządzenie do prywatnego konta  banku?

Co do zasady dobrze skonfigurowane zarządzanie urządzeniami jest dobre. Przypomnę jednak historię z 2019 roku, gdzie jeden z banków pozwalał dodawać do zaufanych urządzenia, ale nie uwzględniał faktu, że użytkownicy często czyszczą pamięć z tzw. ciasteczek (cookies). W efekcie po usunięciu ciasteczek banku, system już nie pamiętał, że dane urządzenie było dodane jako zaufane. Co więcej na początku nie istniała w tym banku lista urządzeń zaufanych łatwa do zarządzania przez samego użytkownika. W efekcie po którymś wykasowaniu ciasteczek, można było z danego urządzenia stracić dostęp do konta. Powtórzę się, ale ważne jest zatem, jak dany system bezpieczeństwa jest "zrobiony" od środka. Użytkownicy powinni więc najpierw przeczytać zasady, dopytać, jak działa system, sprawdzić, jak wygląda zarządzanie listą urządzeń zaufanych. Jeśli jest przyjazny, można dodać firmowy komputer, o ile firma nie będzie miała nic przeciwko. Z kolei wprowadzający systemy zabezpieczający czasami powinni rozważyć z gotowych rozwiązań chmurowych, które są już przetestowane i sprawdzone.

Zobacz nagranie szkolenia w LEX: Gawroński Maciej, Pierwsza kara nałożona przez PUODO - czyli co musisz wiedzieć o realizacji obowiązku informacyjnego i sankcjach jakie grożą za jego niewypełnienie? >
 

Na, jakie inne "luki" warto zwrócić uwagę?

W kontach internetowych banków problemem bywa też ograniczona funkcjonalność i brak domyślnych ustawień bezpieczeństwa w systemach przelewów natychmiastowych. Jeśli w 15 minut można wyczyścić konto ofiary przelewami natychmiastowymi, bo bank nie wprowadził domyślnego limitu dziennego i nie monitoruje tego kanału pod kątem wyłudzeń, to oznacza, że bank toleruje lukę systemową w swoim cyberbezpieczeństwie. A jeżeli ten problem dotyka kilkudziesięciu banków korzystających z jednego rozwiązania, to sprawą powinien się już zainteresować KNF. Z perspektywy klienta warto ustalić, czy nasz bank jest w takiej grupie ryzyka, czy nie.

Czytaj w LEX: RODO w IT: chmurowe przetwarzanie danych osobowych - typy chmur oraz ich wady i zalety >

Wróćmy do innych metod. Czy poleca pan stosowanie programów antywirusowych? Niektórzy twierdzą, że nie są skuteczne.

Uważam, że należy stosować systemy antywirusowe. Są wprawdzie wątpliwości co do skuteczności tych systemów, ale jednak zmniejszają one ryzyko zainfekowania komputera i dostępu cyberprzestępcy. Choć oczywiście najlepszym zabezpieczeniem antywirusowym, jest sam użytkownik, który uważa, gdzie klika i co pobiera, gdzie się loguje (np. w pociągu, gdy siedzący obok pasażer wszystko widzi i być może notuje), i czy zgadza się na zapamiętanie hasła na nieznanym urządzeniu, itp.

Czytaj w LEX: Okiem IOD-a: strona internetowa zgodna z przepisami o ochronie danych osobowych >

Właśnie, na co jeszcze zwrócić uwagę dbając o bezpieczeństwo w sieci. Jest to o tyle ważne, ze wielu z nas obecnie pracuje zdalnie i z domu łączy się z systemami firmowymi.

Podstawowa rada, to nie dawać komputera dzieciom, bo go "zaśmiecą". Po drugie nie należy klikać w tak zwane podejrzane linki. Być świadomym, że strony z pirackimi filmami i darmowe strony pornograficzne roją się od niebezpiecznej zawartości. Także strony z tzw. „dobrym” darmowym oprogramowaniem. Wydaje się to oczywiste, ale warto regularnie czyścić spam i wyrzucać bez otwierania maile z dziwnych, nieznanych adresów, zaczynające się od Dear Sir/Madam, HiJan.Kowalski, przypominające mail z korporacji, np. mający w temacie jej nazwę. Osobom z telefonem na androidzie polecam ustalanie, czy dane aplikacja jest może w AppStore Iphone. To tak zwana metoda whitelistingu (bo ktoś inny już sprawdził). UK National CyberSecurity Center rekomenduje właśnie wykorzystywanie AppStore do weryfikacji, czy dana aplikacja jest bezpieczna. O App Store bowiem mówi się czasami, że jest strzeżony jak Alcatraz. To sklep, który dba o to, aby nie trafiła do niego żadna niebezpieczna aplikacja.

Czytaj w LEX: RODO w IT: atak hakerski i co dalej? >