Politycy na celowniku i 180 dni na wprowadzenie 2FA w USA

politycy na celowniku cyberprzestępców

Ostatnie cyberataki pokazują, że politycy coraz częściej stają się ofiarami przestępców w sieci. Jakie metody stosują przestępcy i jakie kroki można podjąć, aby uniemożliwić im kradzież prywatnych danych?

Politycy na celowniku

Czy można w ogóle zapobiec atakom i wyciekowi poufnych informacji?

Wiele organizacji częściej niż kiedykolwiek pada ofiarą ataków cyberprzestępców najczęściej w wyniku kradzież danych uwierzytelniających. Dotyczy to również polityków z całego świata. Coraz częściej zdarzają się wycieki ważnych i poufnych danych z kont e-mail lub źle zabezpieczonych aplikacji. Jednen z ostatnich cyberataków wydarzył się w Polsce. Przestępcom udało się przejąć konto e-mail Szefa Kancelarii Premiera i opublikować treść oficjalnej korespondencji. Nie jest to jednak pojedynczy przypadek. Inne kraje również coraz częściej padają ofiarami ataków. Przykładem jest choćby Wielka Brytania. Jaki jest jednak sposób działania przestępców? Jak powinniśmy zachowywać się my jak powinni pracować politycy i pracownicy kluczowych instytucji państwowych, aby chronić się przed takimi przypadkami?

Ostatnie cyberataki w Wielkiej Brytanii

Wraz ze wzrostem liczby oficjalnie nagłośnionych ataków, problem przejmowania kont e-mail od kluczowych instytucji państwowych i medycznych stał się problemem niemal każdego kraju. W ciągu ostatnich 6 miesięcy napastnicy przejęli informacje niejawne związane z brytyjskimi projektami pomocy finansowanymi przez Radę Bezpieczeństwa Narodowego, mającą na celu zwalczanie terroryzmu i budowanie stabilności za granicą. W lutym 2021 r. w laboratoriach Uniwersytetu Oksfordzkiego badających Covid 19 także zgłoszono naruszenie poufnych danych.

“Cyberattackers obtain user online credentials through phishing scams”, Tomasz Kowalski, Secfense CEO, said. Secfense built User Access Security Broker solving to solve the issue of difficult adoption of strong authentication and, thus, unlocked the potential behind the Universal 2nd Factor standard, i.e. U2F. “This is exactly why everybody, especially, individuals with access to sensitive information, should use strong authentication based on multi-factor authentication (MFA). U2F or FIDO2 based authentication can give you the biggest level of security possible. The most important part of online security is to make sure that the person behind the computer is actually the person who is authorized to do so. And not a cybercriminal using a stolen password”.

180 na wprowadzenie 2FA w USA
180 na wprowadzenie 2FA w USA

180 dni na przyjęcie 2FA w USA

Uwierzytelnianie wieloskładnikowe (MFA) jest już nie tylko sugestią ale w wielu przypadkach wręcz koniecznością. Ostatnie rozporządzenie w sprawie poprawy cyberbezpieczeństwa narodu wydane 12 maja przez prezydenta USA, wzywa do wdrożenia uwierzytelniania dwuskładnikowego (2FA) dla rządu federalnego w ciągu 180 dni. Cyber atak na Solar Winds sprawił, że sprawy cyberbezpieczeństwa stały się ważniejsze i pilniejsze.

Świadomości zagrożeń związanych z ryzykami w sieci zabrakło jednak w przypadku Michała Dworczyka, szefa Kancelarii Polskiej, co w czerwcu 2021 r. skutkowało przejęciem jego prywatnego konta e-mail (które zresztą nigdy nie powinno być wykorzystywane do celów służbowych). Ten atak wywołał spore zamieszanie w Polsce jak i zagranicą, ponieważ strategiczne i ściśle poufne informacje o wartości państwowej zostały przejęte przez nieupoważnione osoby.

„Według właściciela domeny, na której hostowane było konto polskiego polityka, dostęp do konta uzyskano w wyniku podania prawidłowego loginu i hasła” – dodał Tomasz Kowalski. „Można przypuszczać, że cyberprzestępcy albo wyłudzili hasło od żony ministra, albo wykorzystali to, że używała tego samego hasła w innych serwisach i uzyskała je od jednego z nich”.

Sprawy rangi państwowej przechowywane w Gmailu

Wykorzystywanie prywatnych kont e-mail do celów urzędowych w administracji państwowej to nie tylko przypadłość polskiej polityki. Według Sky News tylko w 2020 r. aż 151 naruszeń bezpieczeństwa zgłoszonych przez brytyjskie Ministerstwo Obrony było spowodowanych przekazaniem tajnych informacji z chronionej przez rząd sieci na prywatne konta e-mail.

“Even the people who have access to the most confidential national information are hard to train and discipline. It is, therefore an imperative to speak loudly about comprehensive use of multi-factor authentication and about replacing passwords with better alternatives and therefore going passwordless.” Tomasz Kowalski further explains. “The second factor could be both physical keys or biometric scanners built into laptops or smartphones. It is crucial to secure all the apps used by employees and politicians. Luckily, there are a number of non-invasive ways to use any method of multi-factor authentication, including cryptographic keys, that does not require changes in application code and therefore can be easily introduced to any app“.

Klucze U2F dla polskiego rządu

Po skandalu z wyciekiem e-maili ministra Dworczyka rozpoczęły się rozmowy o zakupie fizycznych kluczy kryptograficznych (U2F) dla polskiego rządu. Jednak to, czy klucze U2F faktycznie ochronią wszystkie aplikacje rządowe i czy politycy zechcą ich używać, gdy otrzymają takie polecenie, pozostaje kwestią wielką niewiadomą.

Uwierzytelnianie wieloskładnikowe dla polityków

Tak czy inaczej, dziś uwierzytelnianie wieloskładnikowe jest uważane za najskuteczniejszą ochronę przed kradzieżą informacji, w tym przed kradzieżą sesji zalogowanych użytkowników, phishingiem i atakami typu man-in-the-middle. Wszyscy, a zwłaszcza osoby zajmujące stanowiska państwowe, powinniśmy natychmiast przestać używać haseł jako jedynego uwierzytelniania i potwierdzenia bezpieczeństwa. To właśnie hasła, często słabe i identyczne w wielu serwisach, są najbardziej podatne na kradzież, co skutkuje nie tylko problemem dla właściciela, ale może nawet prowadzić do kryzysów rangi państwowej.

Jak chronić się przed cyberatakami

Jakie środki powinni podjąć urzędnicy państwowi, aby chronić swoje dane przed cyberatakami?

  1. Zacznij od używania różnych haseł w różnych usługach. Nigdy nie duplikuj haseł ani nie używaj wielu wariantów tego samego hasła w różnych aplikacjach, używając jedynie dodatkowej liczby cyfr lub symboli.
  2. Korzystanie z menedżerów haseł z silnym hasłem i włączonym silnym uwierzytelnianiem to dobry początek.
  3. It’s highly recommended to implement two-factor authentication (2FA) whenever and wherever it is possible.
  4. Nigdy nie wysyłaj poufnych informacji za pośrednictwem prywatnych kont e-mail.
  5. Uruchamiaj automatyczne aktualizacje systemu operacyjnego i kluczowych aplikacji. Pomoże to uniknąć problemów związanych z błędami oprogramowania i lukami w zabezpieczeniach.
  6. Nie reaguj, gdy ktoś prosi o niezwłoczne podanie danych. NIe ważne czy prośba pochodzi z aplikacji, czy z e-maila, czy też od fałszywego przedstawiciela banku dzwoniącego z prośbą o instalację aplikacji na telefon. Jeśli jest to bardzo pilne, zawsze bądź czujny!
  7. Używaj komunikatora Signal do wysyłania ważnych wiadomości. Signal jest obecnie najbezpieczniejszym komunikatorem. W przeciwieństwie do Whatsapp nie tylko zapewnia poufność, ale także zachowuje prywatność wszystkich rozmów, ponieważ nie zbiera żadnych metadanych połączenia, tzn. wiadomości są szyfrowane, dlatego aplikacja nie zna ich treści, nie wie też, kto jest uczestnikiem rozmowy.

Skontaktuj się z nami

Aby uzyskać więcej informacji na temat wdrażania silnego uwierzytelniania na dowolnej aplikacji i wprowadzania uwierzytelniania bezhasłowego (tzw. passwordless authentication) w Twojej firmie, porozmawiaj z nami za pomocą naszego czatu lub zaplanuj rozmowę telefoniczną tutaj.

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.