Ludzie bardzo chętnie korzystają z haseł i nie przeszkadza im to, że stanowią one jeden z najsłabszych punktów w systemach ochrony IT. Jak wynika z raportu „Data Breach Investigations Report 2021”, opracowanego niedawno przez Verizon, aż 81 proc. przypadków naruszeń bezpieczeństwa jest efektem słabych lub wykradzionych danych do logowania. Zasadniczy problem polega na tym, że większość użytkowników beztrosko podchodzi do tworzenia haseł. Firma NordVPN sporządziła na podstawie ponad 5 milionów haseł dostępnych w Dark Webie listę najpopularniejszych sentencji. Na samym szczycie znajduje się „12345”, a kolejne to: „123456789”, „picture1”, „password” oraz „12345678”. Autorzy raportu podkreślają, że pomimo nieustannych napomnień ekspertów ds. bezpieczeństwa, ludzie nadal tworzą słabe i łatwe do złamania hasła.

Zresztą dane uwierzytelniające należą do najchętniej kupowanych „towarów” w tzw. ciemnej stronie sieci. Cyberprzestępcy mogą je nabywać tak samo, jak konsumenci zaopatrują się w Internecie w ubrania czy kosmetyki. Poza tym hakerzy, zdobywając dane uwierzytelniające do konta, często otwierają sobie drogę do innych serwisów, bowiem większość użytkowników zazwyczaj posługuje się tylko jednym, uniwersalnym hasłem. Dodatkowy problem stanowi niedocenianie napastników – wielu osobom wydaje się, że cyberprzestępcy siedzą przed komputerem i podsuwają mu różne ciągi znaków. W rzeczywistości hakerzy posługują się specjalnym oprogramowaniem wykonującym niewiarygodną liczbę prób na minutę. Dlatego tak ważna jest edukacja użytkowników, którą powinni prowadzić zarówno producenci, jak też integratorzy. Kiedy właściciele firm, a także ich pracownicy, lepiej zrozumieją podstawowe reguły dotyczące bezpieczeństwa, będą bardziej skłonni ich przestrzegać.

Przeszkody na drodze hakera

Dostawcy systemów bezpieczeństwa toczą wojnę z hakerami na kilku frontach i cały czas starają się uprzykrzyć im życie, co rusz wprowadzając kolejne rodzaje zabezpieczeń. Jednym z takich  przykładów jest uwierzytelnianie wieloskładnikowe, które wykorzystuje w trak-cie logowania dodatkowy etap weryfikacji użytkownika. Najczęściej jest to wpisanie jednorazowego kodu wysłanego przez usługodawcę za pomocą SMS-a albo hasła generowanego przez aplikację mobilną lub dane biometryczne, takie jak zapis linii papilarnych placów, obrazu tęczówki czy wizerunku twarzy.

Wprawdzie wymienione metody ograniczają ryzyko wycieku danych, ale nie dają stuprocentowej gwarancji bezpieczeństwa. W przypadku większości systemów uwierzytelniania dwuskładnikowego (2FA), zgubienie, kradzież bądź naruszenie urządzenia pozwala hakerowi osiągnąć swój cel. Tak naprawdę bowiem 2FA nie uwierzytelnia osoby, lecz urządzenie, co eksperci określają czasami jako „przybliżenie tożsamości”. Nie jest to wyłącznie teoria i można przytoczyć wiele przykładów naruszenia zabezpieczeń 2FA. W ten sposób zhakowano chociażby konto Jacka Dorseya, CEO Twittera – w tym przypadku skończyło się na opublikowaniu kilku nieprzyjemnych informacji. Zdecydowanie mniej szczęścia miała giełda kryptowalut Binance, która straciła na skutek podobnego incydentu 7000 bitcoinów. Jedną z najczęściej stosowanych metod przez napastników jest tzw. SIM-swap. Oszuści zdobywają od operatora sieci komórkowej duplikat karty SIM z numerem telefonu ofiary i zanim ta się zorientuje i podejmie odpowiednie działania, uzyskują dostęp do jej konta bankowego. Innym sposobem jest instalacja na smartfonie malware’u, który podszywa się pod znane legalne programy i śledzi działania użytkownika, w tzw. międzyczasie przesyłając dane – w tym SMS-y – do urządzenia kontrolowanego przez hakera. Nieco trudniej jest pokonać zabezpieczenia biometryczne, ale niestety nie jest to niemożliwe.

Pokaż swoją twarz

Obecnie najczęściej stosowanym sposobem uwierzytelniania opartym na biometrii jest rozpoznawanie linii papilarnych. Wraz z debiutem iPhone’a X z funkcją Face ID znacznie wzrosła także popularność rozwiązań identyfikujących tożsamość na podstawie analizy twarzy. W modelu X kamera wyświetla ponad 30 tys. niewidzialnych punktów, tworząc mapę głębi twarzy osoby, którą następnie analizuje, jednocześnie rejestrując jej obraz w podczerwieni. Zdaniem ekspertów jest to rozwiązanie zaawansowane i trudne do sforsowania przez hakerów. 

Funkcja rozpoznawania twarzy znajduje zastosowanie nie tylko w smartfonach Apple’a czy Samsunga, ale również w wielu innych systemach identyfikacji. Co oczywiste, cyberprzestępcy nie zamierzają składać broni i podejmują działania, które mają na celu przechytrzenie mechanizmów służących do wykrywania tożsamości. Według Johna Spencera, dyrektora ds. strategii w Veridium, firmie zajmującej się identyfikacją biometryczną, aby sfałszować zdjęcie, wcale nie trzeba sięgać po zaawansowane oprogramowanie. Jednym z najczęstszych sposobów oszukania systemu identyfikacji twarzy jest wydrukowanie zdjęcia czyjejś facjaty i wycięcie oczu, a następne użycie fotki jako maski. Z kolei analitycy Experian przewidują, że oszuści będą coraz częściej tworzyć „twarze Frankensteina”, wykorzystując sztuczną inteligencję do łączenia cech twarzy różnych osób w celu stworzenia nowej tożsamości, aby w ten sposób oszukać systemy identyfikacji.

Zdaniem Pawła Rybczyka, Territory Managera CEE/CIS w Wallixie, wszystko wskazuje na to, że firmy zaczną zmierzać w kierunku wieloskładnikowego uwierzytelniania opartego na wykorzystaniu wielu różnych sensorów – czytników linii papilarnych, kamer, a także potwierdzaniu tożsamości w oparciu o analizę zachowania użytkownika. O sukcesie poszczególnych rozwiązań zadecydują dostępne narzędzia komercyjne oraz ich przewidywalność.

Zdaniem integratora

Rafał Barański, CEO, braf.tech  

Z moich obserwacji wynika, że rynek usług IAM i PAM jest jeszcze niedojrzały. Integratorzy najczęściej skupiają się na jak najszybszym wdrożeniu aplikacji, a zapominają o jej utrzymaniu. Systemy te, ze względu na częste zmiany w organizacjach czy zmiany na poziomie biznesowym,  wymagają ciągłego wsparcia, z którym klient niejednokrotnie nie jest w stanie sobie samodzielnie poradzić. Tak naprawdę wdrożenie systemu to dopiero połowa sukcesu, a nawet mniej.

  

IAM: pierwszy krok w kierunku kontroli dostępu

Ostatnimi czasy działy IT znajdują się pod bardzo dużą presją. Z jednej strony wynika to ze zmasowanych cyberataków, zaś z drugiej, różnego rodzaju regulacji wymuszających na firmach oraz instytucjach specjalną ochronę danych. W takiej sytuacji ciężko jest polegać na ręcznych i podatnych na błędy procesach przypisywania i śledzenia uprawnień użytkowników. Z odsieczą przychodzą w tym przypadku rozwiązania do zarządzania tożsamością i dostępem IAM (Identity and Access Management). Ich zastosowanie pozwala kontrolować dostęp do krytycznych informacji. IAM oferuje możliwość pojedynczego logowania z dowolnego urządzenia, a także realizację mechanizmów uwierzytelniania dwuskładnikowego i wieloskładnikowego czy zarządzanie dostępem uprzywilejowanym. Technologie te zapewniają również możliwość bezpiecznego przechowywania danych dotyczących tożsamości i profilu. 

Wdrożenie IAM wydaje się być zasadne, o ile wcześniej przeprowadzona zostanie segmentacja i inwentaryzacja zasobów. IAM to podstawa, od której należy rozpocząć planowanie i wdrażanie procesów związanych z granularną kontrolą dostępu – tłumaczy Piotr Bartman, System Engineer w Veracomp – Exclusive Networks. 

Wprawdzie wśród wielu informatyków panuje przekonanie, że IAM jest rozwiązaniem przeznaczonym dla dużych firm z zasobnym portfelem, ale w rzeczywistości technologia ta sprawdzi się w firmie każdej wielkości. Zresztą systemy do zarządzania tożsamością i dostępem mogą być oferowane w modelu subskrypcyjnym w dwóch odmianach – uwierzytelnianie jako usługa lub tożsamość jako usługa (IDaaS). W obu przypadkach usługodawca bierze na siebie ciężar uwierzytelniania i rejestracji użytkowników, a także zarządzania ich informacjami.

W przypadku ograniczonych zasobów finansowych czy personalnych, outsourcing to zdecydowanie korzystna opcja. Dodatkowo mamy gwarancję bezstronności w zarządzaniu systemem wrażliwym dla organizacji, choć klient musi mieć kontrolę nad usługodawcą. Nie bez znaczenia jest doświadczenie dostawcy we wdrażaniu procedur czy w analizie procesów – przekonuje Rafał Barański, prezes zarządu braf.tech.

W modelu usługowym klient, poza rozwiązaniem informatycznym, dostaje dostęp do wiedzy eksperckiej na temat wdrażanego narzędzia. Gdyby chciał zapewnić sobie podobną jakość usługi we własnym zakresie, przy często ograniczonych zasobach wewnętrznych, wiązałoby się to z długim i kosztownym procesem. Tak czy inaczej, wraz z szybkim rozwojem i tempem cyfrowego biznesu, działy IT dostrzegają rosnące znaczenie IAM. Analitycy Gartnera przewidują, że wartość rynku zarządzania dostępem sięgnie 19 mld dol. w 2024 r., w porównaniu z 13,7 mld dol. w tym roku.

Administratorzy pod lupą

Administratorzy IT mają dostęp do najbardziej poufnych informacji, takich jak korespondencja e-mailowa, lista płac czy treści zawieranych umów. Poza tym mogą bez trudu dezaktywować zabezpieczenia IT – antywirusy, firewalle czy narzędzia do backupu. Niestety, zdarza się, że szerokie uprawnienia i możliwości ingerencji w infrastrukturę IT prowadzą do poważnych nadużyć. Chyba najbardziej spektakularny jest tutaj przykład Edwarda Snowdena, który ujawnił na łamach prasy kilkaset tysięcy poufnych, tajnych i ściśle tajnych dokumentów NSA. Podobne sytuacje, choć oczywiście na dużo mniejszą skalę, mają miejsce w wielu firmach oraz instytucjach.

Dlatego też firmy oraz instytucje wykazują rosnące zainteresowanie rozwiązaniami, które umożliwiają kontrolę nie tylko pracy administratorów, ale również firm świadczących outsourcing IT. Gartner zwraca na szczególną uwagę na rolę, jaką spełniają w tym zakresie systemy kontroli dostępu uprzywilejowanego PAM (Privileged Access Management). Zdaniem analityków tego typu narzędzia będą w ciągu najbliższych dwóch lat tematem numer jeden w sektorze bezpieczeństwa IT. Gartner na przykład prognozuje, że wielkość globalnego rynku systemów PAM osiągnie w 2024 r. wartość 2,9 mld dol., co stanowi wzrost o 50 proc. w porównaniu z rokiem 2018. W bieżącym roku ma to być 2,2 mld dol., co oznacza wzrost o 16 proc. w stosunku do roku poprzedniego.

PAM-y ułatwiają nadzór nad sesjami uprzywilejowanymi oraz monitorowanie i zarządzanie uprzywilejowanymi kontami. Najwięcej kłopotów mają z tym duże organizacje, które korzystają z wielu serwerów, komputerów i innych podobnych zasobów. Nic więc dziwnego, że mechanizmy PAM już od dłuższego czasu znajdują zastosowanie w instytucjach finansowych a także w przemyśle. Niewykluczone również, że w najbliższym czasie dołączą do tego grona nieco mniejsze podmioty gospodarcze. Przedsiębiorstwa świadczące outsourcing IT zazwyczaj mają dostęp do newralgicznych danych klienta. Gdyby doszło do kradzieży informacji, PAM odnotuje takie zdarzenie i dostarczy dowody dokonania przestępstwa, które będą niezwykle istotne podczas ewentualnej rozprawy sądowej.

– Wdrożenie PAM tylko w tym zakresie jest w naszym przypadku bardzo proste i nie zajmuje więcej niż jeden dzień roboczy. Uruchomienie rozwiązań IAM jest natomiast traktowane często jako drugi etap projektu dotyczącego zarządzania tożsamością w organizacji. Tego typu rozwiązania wymagają od klientów dużo więcej przygotowań – tłumaczy Paweł Rybczyk.  

Dostawcy systemów IAM czy PAM są na ogół zgodni, że istnieje już w Polsce grupa integratorów, którzy posiadają duże doświadczenie w zakresie wdrażania wymienionych produktów. Zresztą same mechanizmy funkcjonowania rozwiązań do zarządzania dostępem i tożsamością nie są zbyt zawiłe i nie stanowią bariery dla integratorów. O wiele trudniejszym zadaniem jest przekonanie klientów do inwestycji w PAM lub IAM. Może się to wydawać dziwne, zwłaszcza, że oba rozwiązania chronią dostęp do bardzo cennych informacji i nie bez przyczyny często mówi się o nich jako o najlepszej formie zabezpieczenia kluczy do królestwa IT.

Zdaniem specjalisty  

Piotr Bartman, System Engineer, Veracomp – Exclusive Networks   

W czasie pandemii zapotrzebowanie na mechanizmy uwierzytelniana wieloskładnikowego znacząco wzrosło. Wynikało to przede wszystkim z przejścia na pracę zdalną. Większa świadomość w zakresie nowoczesnych mechanizmów kontroli dostępu oraz łatwość ich wdrożenia sprawiły, że wiele firm zastosowało te technologie na potrzeby swoich pracowników. Nie zmienia to faktu, że w tym zakresie pozostało jeszcze wiele do zrobienia. Bankowość, ubezpieczenia, instytucje rządowe czy służby mundurowe to sektory, w których mechanizmy uwierzytelnienia wieloskładnikowego stały się standardem. Duże rezerwy tkwią nadal w rynku MŚP, gdzie większe znaczenie odgrywają koszty. W tym przypadku mechanizmy MFA są częściowo wdrażane, o ile wykorzystywane platformy bezpieczeństwa oferują tego typu możliwości.

  
Monika Olesiejuk, VP of Client Success, Digital Fingerprints  

Wszystkie rozwiązania oparte o biometrię są uważane za najbezpieczniejsze metody uwierzytelniania. Jednak bardziej wnikliwa analiza pokazuje, że z tym bezpieczeństwem nie jest wcale tak kolorowo. Wprawdzie nasze cechy biologiczne są niemal unikatowe, aczkolwiek da się je dość prosto odwzorować. Dla przykładu linie papilarne można zastąpić zdjęciem kciuka, tak samo jak naszą twarz – zwykłą fotografią. Kiedy już dojdzie do kradzieży tożsamości, to pojawia się ogromny problem, bo nie jesteśmy w stanie zmienić linii papilarnych czy tęczówki. Nieco inaczej sprawa wygląda przy biometrii behawioralnej, czyli wzorcach zachowań, które są analizowane pod kątem wszelkich uchybień i anomalii. Są one stale modyfikowane i dopracowywane za pomocą uczenia maszynowego i dostosowują się do zmian zgodnych z naszym zachowaniem.

  
Kamil Budak, Product Manager Senhasegura, Dagma  

Obecnie rozwiązania IAM i PAM, dzięki rozbudowie ich funkcjonalności, stają się rozwiązaniami all-in-one, jak też mogą być użyte w różnych środowiskach. Kluczowe jest tutaj słowo „kontrola dostępu”. Dlatego wszystko zależy od potrzeb przedsiębiorcy. To on sam określa, kto ma korzystać z danego rozwiązania. Czy każdy pracownik? Czy tylko administrator? A może dostęp powinna posiadać jedynie aplikacja, którą ma łączyć się z inną aplikacją? W każdym razie, śledząc trendy w bezpieczeństwie IT widoczne w zachodniej Europie, mogę już teraz wysnuć tezę, że już niebawem również w Polsce systemy do zarządzania kontroli dostępu będą stanowić kluczowe elementy cyberbezpieczeństwa każdej średniej firmy.