Człowiek jest najsłabszym ogniwem w systemach zabezpieczeń
Banki w Polsce i na świecieDzisiejszy wpis chciałbym rozpocząć od krótkiego quizu. Jak myślicie, jaki procent osób podłączyłby znalezionego przypadkowo na firmowym parkingu pendrive'a do swojego służbowego komputera? O ile wzrósłby ten odsetek, gdyby pendrive był oznakowany oficjalnym firmowym logo?
Ci z Was, którzy zamiast odpowiedzieć popukali się w głowę zastanawiając się, czy w ogóle istnieją osoby, które zrobiłyby coś tak nieodpowiedzialnego, są na dobrej drodze, aby właściwie dbać o swoje informatyczne bezpieczeństwo ;) Według przywoływanego niedawno przez Bloomberga badania przeprowadzonego przez amerykański Departament Bezpieczeństwa Narodowego wynika, że właściwe odpowiedzi na zadane na wstępie pytania to szokujące 60% i 90%. Tak tak, dobrze rozumiecie, dziewięć na dziesięć osób podłączyłoby do służbowego komputera pendrive'a nieznanego pochodzenia, o ile byłby on oznaczony firmowym logo.
Przywołuję tę historię, aby po raz kolejny zaznaczyć starą prawdę: żadne zabezpieczenia w żadnych systemach informatycznych nie pomogą, jeśli podstawowych zasad bezpieczeństwa nie będziemy przestrzegali my sami. To tzw. "czynnik ludzki" jest najsłabszym elementem wszystkich systemów zabezpieczeń. Obrazuje to inna historia przywoływana we wspomnianym artykule Bloomberga. Oto w zajmującej się dystrybucją tokenów generujących jednorazowe hasła do logowania w internecie firmie RSA w marcu tego roku była prowadzona rekrutacja. Część pracowników dostała w tym okresie zawirusowany plik Excela zatytułowany "2011 Recruitment Plan". Mimo że plik został wykryty przez filtr antyspamowy i umieszczony w koszu, jeden z pracowników wspomnianej firmy odzyskał go i otworzył. Dzięki uwolnionemu w ten sposób trojanowi hakerzy, którzy rozesłali wspomnianego maila, zdobyli informację na temat stosowanych w tokenach produkowanych przez RSA systemach autoryzacji. Koszt rozprowadzenia nowych tokenów to między 50 a 100 mln dolarów.
Innym dowodem na to, jak słabo większość osób dba o bezpieczeństwo komputerowe są nadchodzące z różnych źródeł informacje o wybieranych przez ludzi hasłach dostępowych. Jedną z najnowszych wiadomości przyniósł w tym zakresie serwis The Next Web. Przywoływana w artykule analiza przeprowadzona przez jednego z deweloperów aplikacji na iPhone'a pokazała, że najpopularniejszym hasłem stosowanym przez użytkowników tego smartfona jest "1234". Kolejne miejsca zajęły "0000", "2580" (kolejne cyfry w środkowym rzędzie na panelu numerycznym w telefonie), "1111".
Ciekawe dane pokazujące jak wiele osób nie przejmuje się kwestiami bezpieczeństwa internetowego przyniósł również ostatni raport Kaspersky Lab. Według ankiety przeprowadzonej przez tę firmę wraz z organizacją Association of Independent Research Centres, około 1/3 mieszkańców Wielkiej Brytanii, Francji, Włoszech oraz Hiszpanii przechowuje w swoich smartfonach takie dane jak PIN-y do kart płatniczych czy loginy i hasła umożliwiające dostęp do prywatnego oraz firmowego konta e-mail. Jeszcze niższy był odsetek osób korzystających z oprogramowania antywirusowego do smartfonów - 12%. To szczególnie niepokojące w kontekście możliwego przejęcia przez hakerów dostępu do bankowości mobilnej, z której korzysta we wspomnianych krajach około 1/3 posiadaczy smartfonów.
Piszę o tym wszystkim nie po to, aby kogokolwiek dołować niskim poziomem dbałości o bezpieczeństwo informatyczne we współczesnym społeczeństwie. Chciałbym po prostu w świetle ostatniego komunikatu z naszej strony internetowej, ostrzegającego przed fałszywymi stronami www służącymi do wyłudzania kodów jednorazowych, przypomnieć podstawową zasadę bezpieczeństwa informatycznego (i nie tylko): zasadę ograniczonego zaufania. Jeśli cokolwiek wzbudza Twoje podejrzenia, kiedy korzystasz z systemu internetowego takiego jak nasze bankowe iPKO, przerwij wykonywanie czynności, o które jesteś proszony i skontaktuj się z operatorem wspomnianego systemu. W przypadku iPKO będą to konsultanci PKO Banku Polskiego dostępni pod numerami: 801 307 307, 801 3PKOBP (numer dla dzwoniących w kraju) lub +48 81 535 60 60 (numer dla dzwoniących w kraju, z zagranicy i z telefonów komórkowych).
21.07.2011 21:04 | Paweł Lipiec
Niestety większość ludzi nie dba o bezpieczeństwo również dlatego, że nie ma świadomości jak często i łatwo możemy narazić się w sytuacjach codziennych na utratę ważnych danych. jak donosi KasperskyLab (por. http://webfan.pl/mobilne-bezpieczenstwo/ ) co trzeci europejczyk przechowuje na smartfonie wrażliwe informacje. Teraz proponuje mały quiz: popytajcie znajomych, którzy maja smartfony ilu z nich zabezpiecza je kodem numerycznym (PINem) lub hasłem a nie jedynie popularnym wzorem odblokowania, który tak na prawdę nie jest żadnym zabezpieczeniem. Ile razy widziałem osoby, które wklepują bezmyślnie PIN do bankomatu nie rozejrzawszy się uprzednio. Nie upewniamy się czy ktoś patrzy czy nie. Nie pilnujemy się w wielu codziennych sytuacjach. Niestety najczęściej rozsądku uczą przykre doświadczenia.
22.07.2011 08:37 | Tomasz Hassa
To znaczy, że jak trzymam moje wszystkie hasła zapisane na kartce w portfelu, to jest to złe postępowanie?:P
22.07.2011 09:24 | Dominik Modrzejewski
@Paweł - Pełna zgoda. A propos tego wklepywania w bankomacie, to ja zawsze czuję ukłucie niepokoju, kiedy płacę kartą w sklepie i wszyscy w kolejce za mną widzą jak wpisuję PIN... Z wzorem odblokowania miałem śmieszną historię, bo złamała go w krótkim czasie moja młodsza siostra, której pożyczyłem telefon - wtedy zahasłowałem go :) @Tomasz - Owszem, to nie jest bezpieczne rozwiązanie, zwłaszcza jak trzymasz w tym samym portfelu również karty ;) Czytywałem już nawet historie o ludziach, którzy przyklejają do karty karteczkę z PINem do niej ;)
22.07.2011 13:13 | Tomasz Hassa
Hmm w takim razie będę musiał odkleić te karteczki z moich kart ;). A tak swoją drogą - coraz częściej (choć nadal rzadko) widuję osoby, które zasłaniają rękę przy wpisywaniu kodu PIN. Myślę, że więcej osób by to robiło, ale duża część się najnormalniej wstydzi...
22.07.2011 13:56 | Paweł Lipiec
W sklepie to ja jeszcze "wymuszam" warunki do wpisania PINu, ale wzór odblokowania? Wystarczy, że po zablokowaniu zerknę na szybkę pod światło - przeważnie widać "ślad" :)
22.07.2011 14:05 | Paweł Lipiec
Z tym zasłanianiem ręką to też trochę mit - nie zawsze jest skuteczne: http://niebezpiecznik.pl/post/bankomat-skimmer-i-nieuzasadniony-hurraoptymizm-polskich-mediow/ ;-)