Biznes i Finanse
Hasła są najsłabszym ogniwem bezpieczeństwa informacji, czas się ich pozbyć [WYWIAD]
Hasła są jednym z najsłabszych punktów cyberbezpieczeństwa. Z ostatnich danych wynika, że 75 proc. włamań hakerskich było możliwych dzięki skradzionym wcześniej przez cyberprzestępców danym służącym do logowania. Dlatego jeżeli je wyeliminujemy, to pozbędziemy się większości luk w całej przestrzeni wirtualnej – mówi w rozmowie z CyberDefence24 Jacek Wolosewicz, założyciel Cyberus Labs.
Andrzej Kozłowski: Czym zajmuje się Cyberus Labs? Jaka jest różnica pomiędzy Państwa firmą a innymi zajmującymi się kwestiami cyberbezpieczeństwa?
Jacek Wolosewicz: Działamy w sektorze cyberbezpieczeństwa, dokładnie w obszarze zajmującym się uwierzytelnianiem użytkowników. Jest to tradycyjnie rozumiany proces autoryzacji, który do tej pory wymagał użycia hasła. Jednak naszą ambicją jest stworzenie takiego mechanizmu logowania, który nie będzie wymagał od użytkowników podawania haseł dostępowych przy logowaniu się do usług sieciowych. Właśnie hasła są jednym z najsłabszych punktów cyberbezpieczeństwa. Z ostatnich danych wynika, że 75 proc. włamań hakerskich było możliwych dzięki skradzionym wcześniej przez cyberprzestępców danym służącym do logowania, czyli po prostu hasłom. Dlatego jeżeli je wyeliminujemy, to pozbędziemy się większości luk w całej przestrzeni wirtualnej.
A.K: Jak zamierzają Państwo wyeliminować powszechnie używane hasła dostępowe? Jakie metody autoryzacji, które je zastąpią, zamierzają Państwo używać?
J.W.: Nasz system logowania CYBERUS KEY używa czegoś, co nazywamy jednorazowym hasłem. Jest to system wykorzystywany w technice szyfrowania znany jeszcze z roku 1947. Już wtedy udało się stworzyć i matematycznie potwierdzić mechanizm, który jest w pełni odporny na złamanie. Nawet dla współczesnych komputerów z NSA (National Security Agency). Warto przybliżyć, jak działa ten system: używa on jednorazowego, generowanego losowo kodu, który daje pełną gwarancję unikalności i jednorazowości logowania. Takie rozwiązanie zapobiega kradzieży danych logowania, ponieważ nie wykorzystuje nazwy użytkownika i hasła.
A.K.: Jak to jednak wygląda z punktu widzenia końcowego użytkownika Państwa usługi?
J.W.: Proces logowania czy też potwierdzenia transakcji z użyciem systemu CYBERUS KEY jest szybki – trwa zaledwie 2 sekundy i, co najważniejsze, jest w pełni bezpieczny. Częścią systemu CYBERUS KEY jest aplikacja mobilna. Tylko jeden raz, przy rejestracji do naszego systemu i pobieraniu aplikacji, użytkownik proszony jest o podanie imienia i nazwiska oraz adresu poczty elektronicznej. Na koniec następuje weryfikacja poprzez e-mail.
Po takim zabiegu aplikacja CYBERUS KEY służy już jako token uwierzytelniający, swoisty identyfikator użytkownika dostępny na smartfonie. Jeżeli chcemy się zalogować np. do konta bankowego, CYBERUS KEY może służyć jako metoda logowania na każdym urządzeniu wyposażonym w mikrofon.
Telefon z aplikacją porozumiewa się z innym urządzeniem, np. laptopem, za pomocą sygnału dźwiękowego przekazywanego pomiędzy mikrofonem a głośnikiem tych urządzeń.
Zdecydowaliśmy się na takie rozwiązanie, ponieważ ogromna większość urządzeń posiada mikrofon i głośnik. Nie wszystkie urządzenia natomiast posiadają usługę Bluetooth czy inne połączenia bezprzewodowe oraz przewodowe, jednak wszystkie mają wbudowany system audio. W ten sposób wykorzystujemy jeden z najpopularniejszych kanałów komunikacji jakim jest dźwięk. Za jego pośrednictwem możemy przekazać jednorazowe hasło pomiędzy telefonem a serwisem internetowym, do którego użytkownik chce się zalogować na innym urządzeniu. Ponadto istnieje też wersja Mobile Only pozwalająca na logowanie się z użyciem tylko jednego urządzenia mobilnego.
A.K.: Wspomniał Pan, że w celu wykorzystania tego mechanizmu trzeba pobrać aplikacje na telefony komórkowe. Po pobraniu tej aplikacji trzeba utworzyć konto i zalogować się. Czy wtedy mechanizmy logowania mają miejsce?
J.W.: Nie, nie używamy nigdzie w swoich rozwiązaniach haseł dostępu. Po pobraniu aplikacji przekazuje ona informacje związane ze smartfonem użytkownika. Na serwerze autentykacyjnym systemu CYBERUS KEY znajduje się profil urządzenia, z którego korzysta użytkownik. Następnie nasz system przypisuje urządzeniu odpowiedni identyfikator. Widać więc, że weryfikacja przebiega bez użycia żadnych haseł.
A.K: Państwa propozycja wydaje się rozwiązywać większość problemów z logowaniem. Czy Państwa rozwiązanie jest obecnie popularne na rynku?
J.W.: Tak, CYBERUS KEY rozwiązuje wszystkie problemy i zagrożenia wynikające z używania nazwy użytkownika i hasła. Jesteśmy we wstępnej fazie zdobywania rynku. Dopiero niedawno zakończyliśmy wszystkie niezbędne czynności związane ze stworzeniem, przygotowaniem samej aplikacji oraz usługi, którą oferuje. Sfinalizowaliśmy testy sprawdzające możliwości naszego rozwiązania podczas działania w realnym środowisku. Jesteśmy także w trakcie rozmów w kilkoma potencjalnymi klientami, którzy chcieliby już po testach zaadaptować CYBERUS KEY do potrzeb swojej firmy.
A.K.: Czy widzi Pan zainteresowanie tym rozwiązaniem ze strony rządowej?
J.W.: Mamy wiele podmiotów rządowych zainteresowanych systemem CYBERUS KEY. Również banki oraz przedsiębiorstwa z sektora e-commerce doceniają nasze rozwiązanie ze względu na szybkość działania. W przypadku branży internetowej jest to kluczowa sprawa bezpośrednio przekładająca się na wielkość obrotu. Jedną z zainteresowanych branż jest także sektor ubezpieczeniowy i medyczny.
A.K.: Czy grupy przestępcze albo organizacje terrorystyczne mogą wykorzystać to rozwiązanie do osiągania nielegalnych celów?
J.W: Nie sądzę. Aplikacja służy właśnie do identyfikacji użytkownika. Większość terrorystów raczej nie chce być skojarzona ze swoimi danymi osobowymi. Nasze rozwiązanie nie jest kolejnym sposobem szyfrowania obecności w cyberprzestrzeni. Jest to proces autoryzacji od początku do końca. To, o czym Pan mówi, to metody szyfrowania, które mogą oczywiście być wykorzystywane przez terrorystów oraz agencje rządowe przeciwko korporacjom lub innym rządom. W naszej firmie nie zajmujemy się kwestią szyfrowania, nie przesyłamy zaszyfrowanych danych. Jedynym celem naszej aplikacji jest identyfikacja użytkownika.
A.K.: Pańska organizacja jest zlokalizowana na terenie Stanów Zjednoczonych?
J.W.: Tak naprawdę jesteśmy obecni w kilku miejscach. Siedzibę firmy mamy tutaj, w Krakowie i tu pracuje grupa naszych specjalistów. Kilku pracowników pracuje także w innych częściach Polski. Ja natomiast dużą cześć swojego czasu spędzam w Dolinie Krzemowej.
A.K: Większość innowacji obecnych na rynku teleinformatyki znajduje się na terenie Stanów Zjednoczonych, a nie w Europie. Dlaczego?
J.W: Niestety jest to smutna prawda. Nie wiem, czy możemy porównać obroty, jakie można uzyskać na terenie Europy i w Stanach Zjednoczonych w branży technologicznej. Z mojego punktu widzenia łatwiej jest zacząć w Dolinie Krzemowej. Prawie całe życie właśnie tam mieszkam, więc wyrosłem na wartościach, które Dolina Krzemowa ceni w pracownikach oraz szefach firm. Osobiście podchodzę do tworzenia wszystkich aplikacji w sposób globalny, nigdy nie myśląc tylko i wyłącznie o działaniu czy robieniu czegoś w skali lokalnej. Problem, który spotkałem w Polsce, to właśnie myślenie młodych, polskich start-upów głównie w sposób lokalny.
A.K: Wspomniał Pan o sposobie myślenia charakterystycznym dla mieszkańców Doliny Krzemowej. Co jest jego wyróżnikiem?
J.W.: Myślę, że najważniejszym wyróżnikiem tego sposobu myślenia jest tolerowanie sytuacji, w których wszystko dzieje się błyskawicznie, oraz duża odporność na ewentualne porażki. Mógłbym długo wymieniać, co mi się nie udało przy tworzeniu firm w przeszłości, ale oprócz porażek, a może właśnie „dzięki nim”, miałem także sukcesy. Z wartych wymienienia wynalazłem technologię cyfrowego oznaczania plików dźwiękowych, będącą podstawą światowego standardu SDMI, która stała się fundamentem funkcjonowania mojej firmy. W efekcie firma pojawiła się w ofercie publicznej i miała wartość zbliżoną do miliarda dolarów w roku 2000. Pech niestety chciał, że był to kiepski rok na debiuty giełdowe. Rynek wtedy właśnie się załamał i do emisji akcji nie doszło.
Jednak to, co dzisiaj mi pozostało, co ma największą wartość, to niezbędne doświadczenie, które pokazało mi cykl życia firmy we wszystkich jego fazach, od momentu założenia poprzez prosperity aż do całkowitego upadku. Dlatego nie uważam, że założenie firmy przynoszące znaczne profity jest trudne. To, co jest trudne to wstrzelenie się w rynek w odpowiednim momencie. Jednak sam proces tworzenia oraz organizowania przedsiębiorstwa zajmującego się nowymi technologiami jest, szczególnie dla Doliny Krzemowej, jasny i zrozumiały. Jesteśmy nauczeni doświadczeniem, tym złym, kiedy firmy upadały, i tym dobrym, kiedy firmy przeżywały swój rozkwit. To wszystko dzieje się z pozytywnym nastawieniem Amerykanów, jeżeli ten biznes nie wyszedł, to wyjedzie kolejny, nic wielkiego się nie stało.
A.K.: Dlaczego Europa nie jest w stanie stworzyć własnej Doliny Krzemowej?
J.W.: Odnoszę wrażenie, że istnieje wiele rozproszonych i mniejszych ośrodków będących odpowiednikiem Doliny Krzemowej na terenie Europy. Jednym z takich miejsc jest Cambridge w Wielkiej Brytanii, gdzie nastąpiło połączenie podobne do tego, które dało początek Dolinie Krzemowej – jest tam wielu studentów kierunków ścisłych oraz firmy technologiczne, które w nich inwestują. Drugim z takich miejsc jest niewątpliwie Berlin, posiadający aktywną scenę, jeżeli chodzi o firmy technologiczne. Nawet Londyn wydaje się mieć aktywność podobną do tej znanej z Doliny Krzemowej.
W Stanach Zjednoczonych sprawa wygląda trochę inaczej, oprócz miejsca, o którym dziś mówimy, istnieje jeszcze bardzo prężnie działająca społeczność i sieć firm technologicznych w Nowym Jorku i Bostonie. Oczywiście w Dolinie Krzemowej jest bardzo dużo firm, które zajmują się innowacyjnymi technologiami. Takie firmy mogą istnieć w każdym miejscu na świecie, tylko po prostu w mniejszym rozmiarze.
Wierzę w pojęcie masy krytycznej w odniesieniu do firm i ludzi zajmujących się technologią. Jeżeli uda się zebrać w jednym miejscu odpowiednią ilość ludzi z odpowiednim nastawieniem do tworzenia biznesu, to może się okazać, że znajdziemy się w miejscu bardzo podatnym na zmiany, np. pod względem technologicznym.
Sprawa w Europie wygląda nieco inaczej, nie ma tutaj tak dużych grup, posiadających podobne nastawienie do życia. Tutaj także są genialni ludzie, jednak ich ilość jest po prostu niewystarczająca do stworzenia takiego ośrodka, który później napędzałby resztę rynku i kierowałby ją na odpowiednie tory. W Dolinie Krzemowej sprawa jest prosta, w ciągu dnia spotykasz się, pijesz kawę, jeździsz metrem z ludźmi, którzy robią dokładnie to samo co ty w kwestii technologii. W dodatku każdy przechodzi przez ten proces, w którym firmy upadają, to znów powstają nowe, jest to cykl, który nierozerwalnie łączy się z pracą tam na miejscu.
Jacek Wolosewicz jest szefem technologicznym - Chief Technology Officer (CTO) i współzałożycielem Cyberus Labs.