Polityka i prawo
Ekspert: Klucze U2F dla polityków tylko z atestem, od sprawdzonych dostawców
Przedstawiciele rządu oraz parlamentarzyści otrzymają klucze U2F, aby ochronić ich skrzynki pocztowe przed przejęciem przez cyberprzestępców. „Warto też zwrócić uwagę na to, aby klucze U2F kupować od sprawdzonych dostawców, którym ufamy i których klucze będą miały tzw. certyfikaty atestacyjne” – zwraca uwagę Tomasz Kowalski, prezes i współzałożyciel firmy Secfense.
Politycy, którzy otrzymają klucze U2F mają zostać obowiązkowo przeszkoleni z ich używania, będą mogli z nich korzystać także do skrzynek prywatnych.
W komentarzu dla CyberDefence24.pl Marcin Szary, dyrektor ds. technologii oraz współzałożyciel Secfense, oceniał że „decyzja o zakupie kluczy kryptograficznych dla polskiego rządu jest jedną z lepszych, którą ostatnio udało się podjąć”.
Konieczne klucze z certyfikatem
Teraz Tomasz Kowalski, prezes i współzałożyciel firmy Secfense, zwraca uwagę, że to najlepszy sposób na ochronę rządu przed kradzieżą danych uwierzytelniania i przejmowania kont, jednak będą one skuteczne jedynie wtedy, kiedy parlamentarzyści będą używali ich codziennie.
Znaczenie ma mieć również wybór odpowiednich kluczy - rząd przy ich zakupie musi zadbać o certyfikaty atestacyjne. Firma zwraca uwagę, że „każdy może przesłać ofertę”, ale nie znaczy, że rząd „powinien każdemu ufać – tym bardziej kiedy sprawa dotyczy narodowego bezpieczeństwa”.
„Aż strach pomyśleć, co mogłoby się stać, jakby rząd kupił kilka tysięcy kluczy U2F np. od podmiotu współpracującego z rządem wrogiego nam kraju. Dostarczone wówczas klucze mogłyby wyglądać identycznie do zamówionych, ale ich mechanizmy kryptograficzne mogłyby być celowo osłabione. Na szczęście, dzięki certyfikatom atestacyjnym możemy prześledzić losy klucza - od linii produkcyjnej podmiotu aż do pierwszego użycia” – mówi Marcin Szary.
Na rynku dostępne są klucze z odpowiednim zabezpieczeniem dla osób pracujących w rządach. „To klucze, których obudowa jest dodatkowo wzmocniona, tak aby jeszcze trudniej było złodziejowi dostać się do ukrytego na kluczu sekretu. I na pewno nie są to takie, które rzecznik (rządu - Piotr Müller – red.) pokazywał ostatnio w TV” – podkreśla dyrektor ds. technologii oraz współzałożyciel Secfense.
Prostota użytkowania
Politycy będą musieli jednak pamiętać, aby klucz U2F włożyć do portu i nacisnąć guzik, aby uwierzytelnić się w internecie. Jeśli ktoś będzie starał się zalogować do witryny podstawionej przez cyberprzestępcę, sam klucz zadba o to, żeby to się nie udało.
Istotne jest jednak obowiązkowe podejście polityków do tego typu kwestii. „Najtrudniejszą i najważniejszą sprawą związaną z zastosowaniem tego rozwiązania jest to, aby politycy klucza zwyczajnie nie gubili i żeby byli świadomi wagi jego znaczenia” – mówi Tomasz Kowalski, prezes i współzałożyciel firmy Secfense.
„Muszą wyrobić w sobie nawyk posiadania klucza zawsze przy sobie, tak jak codziennie w kieszeni mają swój smartfon, dowód osobisty czy legitymację, bez których przecież nie dostaną się do sejmu. Idealnie bezpiecznie by było, gdyby bez klucza U2F nie dało się wysłać żadnego maila” – tłumaczy Kowalski.
Egzemplarz zapasowy może się przydać
Jego zdaniem, każdy polityk powinien otrzymać dwa egzemplarze klucza, przy czym jeden powinien być używany na co dzień, a drugi – czekać zamknięty w sejfie na wypadek awaryjnej sytuacji.
„Podrobienie skradzionego klucza lub odczytanie z niego sekretu jest bardzo długim i skomplikowanym procesem” – mówi Marcin Szary, dyrektor ds. technologii w Secfense. „Jeśli więc polityk będzie używał swojego klucza codziennie, szybko zorientuje się, że go zgubił. Wtedy od razu zareaguje – zgłosi incydent do działu bezpieczeństwa, który zdezaktywuje klucz, zanim złodziej zdoła go podrobić” – dodaje.
Telegram zablokowany, odrodzenie się kanału
Tzw. afera mailowa, która dotyczy wycieku informacji z konta ministra Michała Dworczyka (nie wiemy, które z nich są prawdziwe, a które zostały spreparowane) rozpoczęła się 8 czerwca br. Przez ostatnich kilka tygodni cyberprzestępcy publikują materiały, które mają charakter polityczny, a ostatnio także obyczajowy.
W czwartek wieczorem w związku z interwencją polskiego rządu, kanał na Telegramie, który zajmował się publikacją maili pochodzących z konta pocztowego ministra Michała Dworczyka został zablokowany, jednak w piątek rano pojawił się pod inną nazwą.
/NB
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany