Poprawę bezpieczeństwa w Sieci zacznijmy od siebie

Wiele serwisów podaje, że zagrożenia i ryzyko dotyczące cyberperzestrzeni rosną wykładniczo od kilku lat - najpierw powoli, a potem "strzelają w niebo". Jest to jednak fałszywy obraz sytuacji. Wpływ na bezpieczeństwo on-line ma zmniejszenie wagi przykładanej do incydentów. Im więcej włamań dookoła, tym większa akceptacja ryzyka dotyczącego włamania i pomimo wzrostu częstotliwości zdarzeń - nie zmienia się poczucie zagrożenia. Chcemy odwrócić przedstawiony wyżej trend.

Czego szukamy?

Co się musi stać, aby ten trend się zmienił? Naszą propozycją jest zmiana podejścia na bardziej osobiste. Media poprzez dedykowane raporty opisują całościowo, statystycznie ujętą sytuację poszczególnych użytkowników, zarówno tych prywatnych, jak i w ramach organizacji i firm. Zapominamy czy też uodparniamy się na przekaz wiadomości, które dotyczą kwestii bezpieczeństwa. To przytępia naszą czujność - a musimy pamiętać, że cyberprzestępcy wykorzystają nawet chwilę nieuwagi. Problem nie tylko dotyczy osób zajmujących się bezpieczeństwem sieci firmowej. Bez przynajmniej minimalnego zaangażowania ze strony każdego pracownika na nic zdadzą się najlepsze systemy zabezpieczeń sieci.

Bezpieczeństwo w internecie musi być osobiste, dotyczy głównie naszej aktywności w sieci jak i naszych danych w niej umieszczanych. Błąd ludzki, niedbałość, lenistwo czy zwykła nieuwaga - to wszystko składa się na poziom naszego bezpieczeństwa w sieci. Osoby bądź firmy, które nie doświadczyły wycieku swoich danych czy ataków na serwery do nich należące często bagatelizują sprawę - zgodnie z przekonaniem, że "mnie to nie dotyczy".

Warto w tym miejscu zadać sobie kilka pytań:
1. Czy wiesz w ilu miejscach w sieci masz założony profil wymagający logowania, aby uzyskać dostęp do Twoich danych i aktywności?
2. Czy wiesz ile sekund potrzeba, aby ujawnić Twoje hasło uzyskane ze słabo zabezpieczonego serwera usługodawcy, dysponując publicznie dostępnym sprzętem i oprogramowaniem?
3. Czy zgadzasz się z polityką prywatności i regulaminami usług używanych przez Ciebie serwisów w internecie i masz poczucie kontroli nad tym, kto i po co używa Twoich danych osobowych oraz informacji o Twojej aktywności?
4. Czy komunikując się z innymi osobami przez internet masz pewność, że ujawniasz informacje właśnie tej osobie, która wydaje się być Twoim rozmówcą?
5. Czy znasz i jesteś w stanie wyjaśnić historię swoich transakcji bankowych na rachunkach i kartach kredytowych?
6. Czy posiadasz aktualne kopie wszystkich swoich danych, które uważasz za ważne dla Ciebie i czy te dane są bezpieczne oraz możliwe do odczytania, jeśli będzie taka potrzeba?
7. Czy wiesz, co robią aplikacje na Twoim urządzeniu mobilnym? Co robią wtyczki w Twojej przeglądarce na komputerze?
8. Czy zezwalasz i wymuszasz aktualizację oprogramowania, a przynajmniej te związane z bezpieczeństwem?
9. Czy używasz cyfrowych treści (muzyki, filmów, oprogramowania), co do którego pochodzenia i ochrony wynikającej z praw autorskich nie masz pewności?

Idąc własnym tropem

Szukając mechanizmów ochrony przed zagrożeniami w internecie bierzemy pod uwagę nasze nawyki. Mycie rąk to taki nawyk, którego przykładem posłużymy się do zbudowania praktyk dotyczących bezpiecznego używania haseł. Wyobraźmy sobie, na ile efektywną jest ochrona przed bakteriami, jeśli do umycia rąk użyjemy najlepszych praktyk i zaleceń, użyjemy nawet środków dezynfekcyjnych, ale zrobimy to JEDNORAZOWO wierząc, że skoro to tak dobre praktyki, to jesteśmy chronieni. Niestety, tak właśnie większość z nas postępuje z hasłami. Ustawia, nawet i ponad 20 znakowe, trudne do odgadnięcia i złamania hasła zawierające małe, duże litery, cyfry, znaki specjalne. Niestety po ustawieniu nie zmienia ich w ogóle, albo robi to bardzo rzadko. Nawet wtedy zmiana jest jedynie kosmetyczna, powodująca, że hasło jest podobne do poprzedniego.  Takie praktyki, niestety powszechnie stosowane przez cyberużytkowników są na rękę przestępcom internetowym. Używanie przewidywalnych, krótkich, lub tych samych haseł w wielu serwisach zdecydowanie nie uchroni nas przed przestępcami. Proste hasła łamane są w sekundy atakami słownikowymi, a krótkie w kilka sekund atakami siłowymi.

Co więc należy zrobić? Eksperci mówią o tym od ponad 15 lat:
a) jeśli masz dobrą pamięć i mało kont, użyj wyrażeń hasłowych
b) jeśli masz słabą pamięć, mało czasu lub dużo kont, użyj menadżera haseł. Wykorzystaj go do generowania i przechowywania silnych haseł lub wyrażeń hasłowych
c) stosuj indywidualne hasło do każdego konta, unikalne i zgodne z a) lub b)
d) zmieniaj hasła często, szczególnie gdy coś wzbudzi Twój niepokój (podejrzana aktywność na koncie, publiczne informacje o wycieku danych) i bazując na regularnym schemacie, jednak nie rzadziej niż 90 dni - za każdym razem stwórz nowe, unikalne hasło dla każdego konta zgodnie z a) lub b)

Analogicznie do mycia rąk, hasła trzeba zmieniać dokładnie i często, inaczej to jedynie strata czasu. Przestępcy często posiadają bazę danych zawierającą źle zabezpieczone hasła. Usługodawcy powinni się wstydzić za praktyki przechowywania haseł w jakiejkolwiek postaci, ale taka jest rzeczywistość spotykana w handlu danymi na czarnym rynku. Hakerzy są w stanie użyć zawartości baz danych - np. "łamiąc" hasła metodą siłową (bruteforce). Mogą też wykorzystać socjotechniki, aby uzyskać hasła od samego użytkownika symulując fałszywą "zmianę hasła" w komunikacji mailowej czy telefonicznej. Takie "łamanie" haseł zajmuje jednak trochę czasu, zatem prewencyjnie, nawet jeśli nie ma informacji o włamaniu, takie hasło warto zmienić na nowe, unikalne i silne.

Myjmy zatem ręce i zmieniajmy hasła - często i starannie.

Autorem tekstu jest Artur Marek Maciąg z Inicjatywy Kultury Bezpieczeństwa