Streszczenie: Pracownicy często nie zapamiętują skomplikowanych haseł, co prowadzi do ich zapisywania w niebezpiecznych miejscach, takich jak pliki tekstowe, samoprzylepne karteczki czy prywatne telefony. Takie praktyki narażają firmę na ataki cyberprzestępców. Aby temu zapobiec, zaleca się wdrożenie systemów zarządzania tożsamością i dostępem, które ułatwiają bezpieczne zarządzanie hasłami i dostępami pracowników.
Pracownicy nie zapamiętują haseł, szczególnie tych skomplikowanych. Zapisują je w plikach tekstowych, na samoprzylepnych karteczkach i w prywatnym telefonie. Innymi słowy, podają je przestępcom na talerzu. Aby temu zapobiec, warto stosować m.in. odpowiednie systemy zarządzania tożsamością i dostępem.
Pracownicy korzystają z wielu aplikacji w celu wykonywania swoich zawodowych obowiązków. Do każdej z nich firma generuje hasło – indywidualne dla wszystkich zatrudnionych. Przy dużej liczbie tego typu programów oraz rosnącej liczbie pracowników może prowadzić to do patologii w procesie tworzenia słownych zabezpieczeń. W końcu każdy zatrudniony otrzymane hasło może zmienić – aby łatwiej mu było je zapamiętać. Inną praktyką jest zapisywanie tychże w pliku tekstowym na komputerze bądź żółtej karteczce przyklejonej do monitora.
Tzw. słabe hasła, zdaniem Macieja Nuckowskiego, członka zarządu Diebold Nixdorf, są często następstwem przyzwyczajeń użytkowników. Korzystanie z takiego samego słownego zabezpieczenia w wielu serwisach, w tym publicznych, lub tworzenie kolejnych haseł w oparciu o tę samą logikę to według eksperta główne powody niebezpiecznych cyberincydentów z udziałem danych.
„Hakerzy wiedzą, że ich głównym kanałem wejścia do systemu firmy jest użytkownik, który sam (często nieświadomie) daje dostęp niepowołanej osobie. Przykładowo poprzez kliknięcie niebezpiecznego linku, otwarcie zawirusowanego pliku lub podanie hasła na źle zabezpieczonej albo podstawionej przez włamywaczy stronie” – wymienia Maciej Nuckowski.
Firma to nie miejsce na słabe hasła
Z wyzwaniem związanym z bezpieczeństwem pracowniczych haseł zmierzyła się w ostatnim czasie firma Capgemini, świadcząca usługi m.in. w dziedzinie doradztwa i transformacji cyfrowej. W przedsiębiorstwie korzystano z niemal stu aplikacji. Służyły one np. do rozliczania wydatków, planowania urlopów czy komunikacji wewnętrznej. Dostęp do nich miało ponad 200 tysięcy użytkowników na całym świecie. Jak podkreśla Maciej Łabędzki, developer w zespole Cybersecurity Capgemini Polska, brak jednolitych zasad zarządzania użytkownikami oraz ich hasłami w poszczególnych aplikacjach wewnętrznych przez taką liczbę pracowników stanowił istotny problem bezpieczeństwa dla przedsiębiorstwa.
Z tego względu postanowiono rozpocząć pracę nad ujednoliconym rozwiązaniem integrującym logowanie do wszystkich aplikacji poprzez jeden interfejs i hasło – tzw. Single Sign On. Jak wspomina Maciej Łabędzki, na potrzeby projektu zespół Cybersecurity wykonał setki technicznych wywiadów i rozpisał dziesiątki projektów funkcjonalnych. Musiał także stworzyć infrastrukturę „zaciągającą” dane z kilkudziesięciu różnych systemów – zarówno wewnętrznych, jak i pochodzących od zewnętrznych dostawców – aby odpowiednio je przetworzyć.
Dostęp do wielu aplikacji z poziomu jednego interfejsu
Jednym z największych wyzwań, z którymi zmierzyła się firma, była nie tyle skala ilościowa, co geograficzna. Chodzi o regulacje prawne dotyczące danych i ich udostępniania, które w wielu krajach są różne. Ponadto do zintegrowania każdej z aplikacji potrzebna była osoba, która dany program zna i z niego korzysta – aby udzielić cennych wskazówek dotyczących funkcjonalności niezbędnych w codziennej pracy.
„Osobną kwestią było uzyskanie dostępu do kluczowych aplikacji, częściowo zarządzanych przez zewnętrzne firmy. Zintegrowanie ich z centralnym systemem IAM (do zarządzania tożsamością i dostępem) wymagało tworzenia zupełnie nowych zasad sprowadzania danych do systemu. To z kolei pociągało za sobą dodatkowe koszty oraz konieczność opracowania osobnych procedur” – opowiada Krzysztof Marek, IAM Capability Lead w zespole Cyberseucity Unit Capgemini Polska.
Prace nad opracowaniem i wdrożeniem systemu, nad którym pracował trzydziestoosobowy zespół specjalistów z Polski, Holandii oraz Indii, trwały rok.
Utrata haseł może narazić firmę na ogromne straty
Identity and Access Management (IAM), czyli system do zarządzania tożsamością i obsługi procesów związanych z dostępami, to zdaniem specjalistów krytyczna potrzeba każdego biznesu funkcjonującego w cyfrowej rzeczywistości. W sytuacji, gdy firma nie ma kontroli nad hasłami do wewnętrznych systemów, nawet odejście pracownika może narazić przedsiębiorstwo na milionowe straty.
„W obliczu strat reputacyjnych i finansowych, wynikających z incydentów bezpieczeństwa, wdrożenie jednolitego systemu IAM staje się jedną z najlepszych inwestycji, na jakie współczesne organizacje mogą się zdecydować” – uważa Michał Sosinka, kierownik Cybersecurity Unit Capgemini Polska.
Takie stanowisko eksperta potwierdzają również dane. Według Data Breach Investigations Report, głównym powodem naruszenia bezpieczeństwa danych jest kradzież danych dostępowych. Atakujący może uzyskać tzw. uprzywilejowany dostęp do systemu za pomocą haseł administracyjnych. Dodatkowo, przez długie miesiące pozostając w ukryciu, identyfikuje najlepszy moment do skopiowania informacji.
Hakerzy wciąż stosują metodę password spraying
Jak bardzo druzgoczące dla firmy może być stosowanie tzw. słabych haseł, obrazuje m.in. historia przedsiębiorstwa Timehop – dostawcy usługi pozwalającej użytkownikom Facebooka na podzielenie się wspomnieniami zaprezentowanymi w postaci animacji z ich starych zdjęć. W wyniku uzyskania nielegalnego dostępu do konta w chmurze haker poznał nazwiska i adresy mailowe 21 milionów użytkowników aplikacji. Ponadto wyciekło ponad 4,7 miliona numerów telefonów. Co poszło nie tak? Według firmy Timehop, zawinił brak poprawnej procedury autoryzacyjnej.
Kolejny przykład. W marcu 2019 roku amerykański producent oprogramowania Citrix– z którego rozwiązań korzysta 98% firm z listy Fortune 500 i prawie 400 tysięcy klientów na całym świecie – również ogłosił kradzież dokumentów z wewnętrznej sieci. Nie wiemy, jak długo trwał ten proceder ani kiedy dokonano ataku. Według ustaleń FBI, cyberprzestępca prawdopodobnie pozyskał te dane stosując tzw. password spraying. Jest to metoda, w której korzystając z najbardziej popularnych haseł, uzyskuje się dostęp do dużej ilości kont. Po dostaniu się do strefy z ograniczonym dostępem atakujący rozpoczęli pracę nad obejściem kolejnych warstw zabezpieczeń.
Thspoc, czyli „Trudne hasła są podstawą odpowiedniego cyberzabezpieczenia”
Jedną z najczęściej polecanych przez specjalistów ds. cyberbezpieczeństwa metod na silne zabezpieczenia słowne są tzw. wierszyki hasłowe zapisane w formie skrótów.
„To taktyka przyjazna dla pracownika i jednocześnie dość skomplikowana dla hakera” – twierdzi Maciej Nuckowski.
Chodzi o to, aby stworzyć hasło w oparciu o unikalną frazę. W tym celu pracownicy mogą stworzyć łatwy do zapamiętania wierszyk lub zdanie. Przykładowo dla sformułowania „Trudne hasła są podstawą odpowiedniego cyberzabezpieczenia” można stworzyć hasło, wykorzystując pierwsze litery wyrazów w zdaniu, czyli Thspoc.
Można również skorzystać z narzędzi, które w znacznym stopniu rozwiązują problem związany z tworzeniem zabezpieczeń, takich jak KeePass czy PassPack.
