Ostatnie cyberataki pokazują, że politycy coraz częściej stają się ofiarami przestępców w sieci. Jakie metody stosują przestępcy i jakie kroki można podjąć, aby uniemożliwić im kradzież prywatnych danych?
Politycy na celowniku
Czy można w ogóle zapobiec atakom i wyciekowi poufnych informacji?
Wiele organizacji częściej niż kiedykolwiek pada ofiarą ataków cyberprzestępców najczęściej w wyniku kradzież danych uwierzytelniających. Dotyczy to również polityków z całego świata. Coraz częściej zdarzają się wycieki ważnych i poufnych danych z kont e-mail lub źle zabezpieczonych aplikacji. Jednen z ostatnich cyberataków wydarzył się w Polsce. Przestępcom udało się przejąć konto e-mail Szefa Kancelarii Premiera i opublikować treść oficjalnej korespondencji. Nie jest to jednak pojedynczy przypadek. Inne kraje również coraz częściej padają ofiarami ataków. Przykładem jest choćby Wielka Brytania. Jaki jest jednak sposób działania przestępców? Jak powinniśmy zachowywać się my jak powinni pracować politycy i pracownicy kluczowych instytucji państwowych, aby chronić się przed takimi przypadkami?
Ostatnie cyberataki w Wielkiej Brytanii
Wraz ze wzrostem liczby oficjalnie nagłośnionych ataków, problem przejmowania kont e-mail od kluczowych instytucji państwowych i medycznych stał się problemem niemal każdego kraju. W ciągu ostatnich 6 miesięcy napastnicy przejęli informacje niejawne związane z brytyjskimi projektami pomocy finansowanymi przez Radę Bezpieczeństwa Narodowego, mającą na celu zwalczanie terroryzmu i budowanie stabilności za granicą. W lutym 2021 r. w laboratoriach Uniwersytetu Oksfordzkiego badających Covid 19 także zgłoszono naruszenie poufnych danych.
“Cyberattackers obtain user online credentials through phishing scams”, Tomasz Kowalski, Secfense CEO, said. Secfense built User Access Security Broker solving to solve the issue of difficult adoption of strong authentication and, thus, unlocked the potential behind the Universal 2nd Factor standard, i.e. U2F. “This is exactly why everybody, especially, individuals with access to sensitive information, should use strong authentication based on multi-factor authentication (MFA). U2F or FIDO2 based authentication can give you the biggest level of security possible. The most important part of online security is to make sure that the person behind the computer is actually the person who is authorized to do so. And not a cybercriminal using a stolen password”.
180 dni na przyjęcie 2FA w USA
Uwierzytelnianie wieloskładnikowe (MFA) jest już nie tylko sugestią ale w wielu przypadkach wręcz koniecznością. Ostatnie rozporządzenie w sprawie poprawy cyberbezpieczeństwa narodu wydane 12 maja przez prezydenta USA, wzywa do wdrożenia uwierzytelniania dwuskładnikowego (2FA) dla rządu federalnego w ciągu 180 dni. Cyber atak na Solar Winds sprawił, że sprawy cyberbezpieczeństwa stały się ważniejsze i pilniejsze.
Świadomości zagrożeń związanych z ryzykami w sieci zabrakło jednak w przypadku Michała Dworczyka, szefa Kancelarii Polskiej, co w czerwcu 2021 r. skutkowało przejęciem jego prywatnego konta e-mail (które zresztą nigdy nie powinno być wykorzystywane do celów służbowych). Ten atak wywołał spore zamieszanie w Polsce jak i zagranicą, ponieważ strategiczne i ściśle poufne informacje o wartości państwowej zostały przejęte przez nieupoważnione osoby.
„Według właściciela domeny, na której hostowane było konto polskiego polityka, dostęp do konta uzyskano w wyniku podania prawidłowego loginu i hasła” – dodał Tomasz Kowalski. „Można przypuszczać, że cyberprzestępcy albo wyłudzili hasło od żony ministra, albo wykorzystali to, że używała tego samego hasła w innych serwisach i uzyskała je od jednego z nich”.
Sprawy rangi państwowej przechowywane w Gmailu
Wykorzystywanie prywatnych kont e-mail do celów urzędowych w administracji państwowej to nie tylko przypadłość polskiej polityki. Według Sky News tylko w 2020 r. aż 151 naruszeń bezpieczeństwa zgłoszonych przez brytyjskie Ministerstwo Obrony było spowodowanych przekazaniem tajnych informacji z chronionej przez rząd sieci na prywatne konta e-mail.
“Even the people who have access to the most confidential national information are hard to train and discipline. It is, therefore an imperative to speak loudly about comprehensive use of multi-factor authentication and about replacing passwords with better alternatives and therefore going passwordless.” Tomasz Kowalski further explains. “The second factor could be both physical keys or biometric scanners built into laptops or smartphones. It is crucial to secure all the apps used by employees and politicians. Luckily, there are a number of non-invasive ways to use any method of multi-factor authentication, including cryptographic keys, that does not require changes in application code and therefore can be easily introduced to any app“.
Klucze U2F dla polskiego rządu
Po skandalu z wyciekiem e-maili ministra Dworczyka rozpoczęły się rozmowy o zakupie fizycznych kluczy kryptograficznych (U2F) dla polskiego rządu. Jednak to, czy klucze U2F faktycznie ochronią wszystkie aplikacje rządowe i czy politycy zechcą ich używać, gdy otrzymają takie polecenie, pozostaje kwestią wielką niewiadomą.
Uwierzytelnianie wieloskładnikowe dla polityków
Tak czy inaczej, dziś uwierzytelnianie wieloskładnikowe jest uważane za najskuteczniejszą ochronę przed kradzieżą informacji, w tym przed kradzieżą sesji zalogowanych użytkowników, phishingiem i atakami typu man-in-the-middle. Wszyscy, a zwłaszcza osoby zajmujące stanowiska państwowe, powinniśmy natychmiast przestać używać haseł jako jedynego uwierzytelniania i potwierdzenia bezpieczeństwa. To właśnie hasła, często słabe i identyczne w wielu serwisach, są najbardziej podatne na kradzież, co skutkuje nie tylko problemem dla właściciela, ale może nawet prowadzić do kryzysów rangi państwowej.
Jak chronić się przed cyberatakami
Jakie środki powinni podjąć urzędnicy państwowi, aby chronić swoje dane przed cyberatakami?
- Zacznij od używania różnych haseł w różnych usługach. Nigdy nie duplikuj haseł ani nie używaj wielu wariantów tego samego hasła w różnych aplikacjach, używając jedynie dodatkowej liczby cyfr lub symboli.
- Korzystanie z menedżerów haseł z silnym hasłem i włączonym silnym uwierzytelnianiem to dobry początek.
- It’s highly recommended to implement two-factor authentication (2FA) whenever and wherever it is possible.
- Nigdy nie wysyłaj poufnych informacji za pośrednictwem prywatnych kont e-mail.
- Uruchamiaj automatyczne aktualizacje systemu operacyjnego i kluczowych aplikacji. Pomoże to uniknąć problemów związanych z błędami oprogramowania i lukami w zabezpieczeniach.
- Nie reaguj, gdy ktoś prosi o niezwłoczne podanie danych. NIe ważne czy prośba pochodzi z aplikacji, czy z e-maila, czy też od fałszywego przedstawiciela banku dzwoniącego z prośbą o instalację aplikacji na telefon. Jeśli jest to bardzo pilne, zawsze bądź czujny!
- Używaj komunikatora Signal do wysyłania ważnych wiadomości. Signal jest obecnie najbezpieczniejszym komunikatorem. W przeciwieństwie do Whatsapp nie tylko zapewnia poufność, ale także zachowuje prywatność wszystkich rozmów, ponieważ nie zbiera żadnych metadanych połączenia, tzn. wiadomości są szyfrowane, dlatego aplikacja nie zna ich treści, nie wie też, kto jest uczestnikiem rozmowy.
Skontaktuj się z nami
Aby uzyskać więcej informacji na temat wdrażania silnego uwierzytelniania na dowolnej aplikacji i wprowadzania uwierzytelniania bezhasłowego (tzw. passwordless authentication) w Twojej firmie, porozmawiaj z nami za pomocą naszego czatu lub zaplanuj rozmowę telefoniczną tutaj.