“Rygorystyczne podejście do cyberbezpieczeństwa, które przez wielu do tej pory było uważane za dużą >>niedogodność<< i ograniczenie wolności użytkownika może się paradoksalnie okazać jedyną drogą do obrony demokratycznego świata, jaki znamy” – mówi CyberDefence24.pl Marcin Majchrzak z firmy Yubico.
Zapytaliśmy ekspertów z branży cyberbezpieczeństwa o najważniejsze wydarzenia i wnioski z mijającego, 2022 roku. Na łamach CyberDefence24 będziemy dzielili się podsumowaniami, które przygotowali dla nas specjaliści w swoich dziedzinach. Odpowiedzi udzielił nam Marcin Majchrzak z firmy Yubico.
Marcin Majchrzak z firmy Yubico: … rekordowym rokiem pod względem cyberataków na sieci korporacyjne. Mogliśmy zaobserwować liczne włamania na konta użytkowników z wykorzystaniem obejść tradycyjnych metod wieloskładnikowego uwierzytelniania, takich jak hasła jednorazowe, czy nawet aplikacje mobilne – soft tokeny typu “push” poprzez nie do końca zaawansowane programy hakerskie i różnego rodzaju socjotechniki.
… niewątpliwie zabezpieczenie łańcuchów dostaw, jak również sieci infrastruktury krytycznej, takiej jak infrastruktura transportowa i sieć energetyczna, ale także zmierzenie się z zagrożeniami związanymi z phishingiem i próbami szeroko pojętego wyłudzenia danych, a ponadto wszelkiego rozdzaju atakami typu ransomware mającymi na celu zakłócenie funkcjonowania firm i placówek publicznych.
… zmierzenie się z wyeliminowaniem “czynnika ludzkiego” jako jednego z filarów, na którym nadal opiera się cyberbezpieczeństwo. Ponad 95 proc. cyberataków powiązanych jest z błędem ludzkim, czyli świadomym, bądź nieświadomym działaniem lub też zaniechaniem działania. Możemy mieć najlepsze zabezpieczenia, jednakże te na nic się zdadzą, jeśli będziemy nadal się mierzyć ze zbyt małą świadomością i ignorowaniem cyberzagrożeń przez przeciętnego użytkownika.
Niestety musimy się znowu skupić na najsłabszym ogniwie łańcucha cyberbezpieczeństwa, czyli czynniku ludzkim (czyt. czynniku białkowym). Zgodzę się tutaj z opinią wielu ekspertów z branży, mówiącą o tym, że inżynieria społeczna i brak świadomości stanowią największe zagrożenia dla użytkowników w świecie cyber. Nie bądzmy zatem ignorantami i starajmy się sami edukować w kwestii cyberbezpieczeństwa, a edukację przekładać w dobrą higienię, tudzież dyscyplinę cyberbezpieczeństwa.
Myślę, że wojna zmieniła ogólną percepcję cyberzagrożeń i uświadomiła wielu firmom i instytucjom, że należy poważnie zrewidować swoją politykę, odnoszącą się do cyberbezpieczeństwa, ponieważ za większością ataków nie stoją “nastolatkowie z laptopami”, lecz dobrze zorganizowane grupy hakerskie, dysponujące nieograniczonymi środkami finansowymi, będące bezpośrednio wspierane przez kraje autorytarne, często uznawane za państwa sponsorujace terroryzm. Rygorystyczne podejście do cyberbezpieczeństwa, które przez wielu do tej pory było uważane za dużą “niedogodność” i ograniczenie wolności użytkownika, może się paradoksalnie okazać jedyną drogą do obrony demokratycznego świata, jaki znamy.
Większość trendów i nowinek przychodzi do nas zza oceanu i także tam szukałbym poniekąd trendów dla Europy. Niewątpliwie jednym z nich będzie przyjęta jakiś czas temu w Stanach regulacja “Joe Biden Executive Order”, która nakazuje wszystkim placówkom administracji publicznej USA i firmom w ich łańcuchu dostaw (dotyczyć to będzie także firm europejskich) uwierzytelnianie wyłącznie metodami odpornymi na phishing tj. FIDO2/U2F i Smartcard (obowiązek dostosowania się do końca 2024 roku).
Są to metody, które w ogromnym stopniu pomagają wyeliminować błąd ludzki, tudzież, przejęcie kont użytkowików, co jest głównym wektorem początkowym większości cyberataków.
Marcin Majchrzak, od ponad 10 lat specjalizuje się w cyberbezpieczeństwie. Swoje doświadczenie managerskie zdobywał m.in. wspierając organizacje rządowe, komercyjne oraz służby mundurowe w regionach EMEA i APAC. Zaangażowany był w ich staraniach zredukowania ryzyka i zabezpieczenia systemów poprzez wdrożenia projektów z zakresu Zarządzania Przywilejami (Privilege Management), Uwierzytelniana Wieloskładnikowego (MFA) Infrastruktury PKI oraz FIDO. Marcin pracował m.in. w firmach: Avecto (BeyondTrust), Intel , Crossmatch Technologies oraz HID Global (Identity and Access Management). Obecnie działa w szeregach firmy Yubico – organizacji, która założyła sobie za cel uczynienie internetu bezpiecznym dla wszystkich i całkowite wyeliminowanie przejęć kont użytkowników poprzez wdrażanie wieloskładnikowego uwierzytelniania (MFA) odpornego na phishing.
