Cyberprzestępcom najłatwiej dziś jest oszukać człowieka. Dlatego aż 80% wszystkich włamań do systemów i aplikacji zaczyna się od przejęcia konta. Ta liczba niestety będzie wciąż wzrastać, ponieważ dzięki rozwiązaniom AI, takim jak m.in. ChatGPT czy midjourney, ataki polegające na socjotechnice stają się jeszcze prostsze. Skan twarzy, odcisk palca, fizyczny klucz to dzisiaj jedyne sposoby, które są w stanie skutecznie przeszkodzić takim procederom. Hasła już od dawna nie są dla przestępców żadną barierą.
Przejmowanie kolejnych działań – czy to w biznesie, czy w sferze prywatnej – przez technologię to kierunek nieodwracalny. Niestety dotyczy to również tych, które niekoniecznie są dobre i etyczne. Już dziś rozwiązania takie, jak ChatGPT bardzo przydają się i są używane przez cyberprzestępców. Szczególnie przez takich, którzy nie mają zbyt rozwiniętych umiejętności technicznych. Dla nich to oszczędność pieniędzy i czasu.
– Musimy pamiętać, że za każdym planowanym atakiem stoi jego ekonomia. Najzwyczajniej w świecie atakujący wybierają takie cele, które są szybkie do osiągnięcia w najoptymalniejszy kosztowo lub najmniej ryzykowny sposób. ChatGPT może mieć wpływ na ekonomię ataku przeprowadzonego z jego wsparciem. Atakujący nie muszą bowiem już kupować lub pisać kodu złośliwego oprogramowania. Teraz przy pomocy inteligencji ChatGPT stworzą go sobie po prostu samodzielnie – mówi Tomasz Kowalski, CEO i współzałożyciel Secfense.
Konieczna ostrożność
Na co powinny więc zwrócić uwagę banki czy inne organizacje, których pracownicy chcą na co dzień używać generatorów typu ChatGPT w swojej pracy? Trudno jednoznacznie odpowiedzieć na to pytanie, ponieważ dla wszystkich to, co dziś się dzieje, jest nowością. Jesteśmy na początku tej specyficznej ery. Na pewno jednak każda firma powinna przywiązywać ogromną wagę do tego zagadnienia, tym bardziej że coraz więcej osób pracuje zdalnie, często na źle zabezpieczonym sprzęcie, łącząc się z podejrzanymi sieciami. To przecież pierwszy krok do utraty danych uwierzytelniających, który otwiera intruzowi bramę do wewnętrznej sieci banku.
Patrząc na zachowania poszczególnych państw, łatwo zauważyć problem ze zdiagnozowaniem nowego fenomenu. Władze same nie wiedzą, jak do niego podejść. Włochy pierwotnie zablokowały ChatGPT tylko po to, aby kilka tygodni później przywrócić możliwość jego użytkowania.Wielka Brytania z kolei uznała, że nie powinno się nic regulować i w nic ingerować. Platformy AI mogą być cennymi narzędziami np. do automatyzacji funkcji, wsparciem w kreowaniu pomysłów, mogą też sugerować nowy kod i poprawki dla uszkodzonych aplikacji. Sam Gartner przewiduje, że do 2025 roku rynek oprogramowania AI osiągnie prawie 134,8 mld USD, a wzrost rynku ma przyspieszyć z 14,4% w 2021 roku do 31,1% w 2025 roku, znacznie przewyższając ogólny wzrost na rynku oprogramowania. Zanim jednak firmy przejdą do szybkiego działania, konieczne są środki ostrożności.
– Przede wszystkim firmy nie powinny dopuszczać możliwości szerokiego użycia ChatGPT. Wielu użytkowników może nie rozumieć jego ograniczeń dotyczących danych, bezpieczeństwa i analityki – dodaje Kowalski. – Używanie chatbota może stanowić zagrożenie dla poufnych i prywatnych informacji, dlatego firmy muszą uważać, jakie dane są stosowane do zasilania chatbota i unikać jak ognia wpisywania tam tych poufnych. Ważne jest również, aby współpracować z dostawcami, którzy mają silne polityki dotyczące wykorzystania danych i własności intelektualnej.
Obecnie jesteśmy na początku ery stosowania tej technologii i nie ma jednoznacznej odpowiedzi, jak zabezpieczyć się przed zagrożeniami. Firmy powinny więc uważnie śledzić ten temat i podejmować odpowiednie środki ostrożności. Jednak ze względu na to, że aż 80% wszystkich włamań do systemów i aplikacji zaczyna się od przejęcia konta zabezpieczonego najczęściej zwykłym hasłem, firmy muszą skoncentrować się na człowieku. To jego bowiem cyberprzestępca może oszukać najłatwiej, a dzięki AI także szybciej. Niestety wiele instytucji finansowych używa do dziś klasycznych haseł.
Hasła na margines
Zademonstrujmy to na przykładzie. Pracownik banku wymyśla sobie bardzo długie hasło, np. “Li2oOjczyzn0M0ja7yJeste!JakZdrowie!”. Jeszcze kilka lat temu każdy szkoleniowiec z bezpieczeństwa IT by je pochwalił – długie, zawiera różne znaki, jest łatwe do zapamiętania. I nie byłoby w tym nic złego, gdyby nie fakt, że niezależnie od tego, jakie to hasło będzie, to i tak złodziej może je przejąć. Równie dobrze mogłoby to być “123456”.
Oczywiście odejście od haseł w firmach i instytucjach finansowych wcale nie jest takie łatwe, głównie poprzez powiązanie ich z tożsamością użytkowników, bazami danych itp. Właśnie dlatego tak istotne jest, żeby w pierwszym etapie drogi do passwordless wszystkie organizacje zadbały o zabezpieczenie haseł silnym uwierzytelnianiem MFA. Najlepiej oczywiście, żeby od razu była to metoda skuteczna, czyli wieloskładnikowe uwierzytelnianie odporne na phishing.
– Nasza technologia User Access Security Broker sprawia, że rola haseł przy silnym uwierzytelnianiu opartym np. na FIDO2 będzie całkowicie zmarginalizowana, a przed atakami chronić będzie mocne MFA – mówi Tomasz Kowalski, CEO i współzałożyciel Secfense. – Hasło zwyczajnie nie jest w stanie ochronić użytkowników przed przejęciem ich kont. Jeśli więc spotykamy się z sytuacją, że hasła muszą – z różnych względów – w firmie pozostać, to podstawą jest zapewnienie dla nich skutecznej warstwy, która sprawi, że ich rola będzie marginalna. Do tego stopnia, że wszyscy użytkownicy mogą w sumie ustawić sobie hasło “poniedziałek” albo “qwery”.
Zero zaufania nadal na topie
Podejście, która zakłada zabezpieczenia polegające na silnym uwierzytelnianiu lub finalnie na pełnej rezygnacji z potrzeby wpisywania przez użytkowników haseł, nazywa się filozofią bezpieczeństwa Zero Trust. Zakłada ona kontrolę wszystkiego i wszystkich oraz maksymalne ograniczenie uprawnień użytkowników. Zgodnie z nią każda osoba – również taka, która działa wewnątrz organizacji – jest traktowana jako niezaufana i stanowiąca zagrożenie dla sieci. Celem Zero Trust jest zapewnienie bezpieczeństwa poprzez zastosowanie wielu warstw zabezpieczeń, w tym uwierzytelniania, autoryzacji i szyfrowania danych.
Model Zero Trust jest szczególnie przydatny w czasach, gdy coraz więcej pracowników pracuje zdalnie i korzysta z różnych urządzeń, co zwiększa ryzyko wycieku danych i ataków. Ponadto w dobie rosnącej liczby ataków hakerskich i zagrożeń cybernetycznych przedsiębiorstwa coraz częściej szukają sposobów na zwiększenie swojej ochrony i bezpieczeństwa. Model Zero Trust jest uważany za jedno z najskuteczniejszych podejść w tym zakresie.
Sztuczna inteligencja odgrywa coraz większą rolę w dzisiejszym świecie biznesu, a ChatGPT rewolucjonizuje sposób, w jaki firmy działają. Wrastać więc będzie też potrzeba coraz lepszych zabezpieczeń, czyli m.in. wdrażania kompleksowego silnego uwierzytelniania w całej organizacji.
Co ważne, MFA rozwijać się będzie tak, że dla przeciętnego użytkownika stanie się zupełnie niezauważalne. Sami przecież nie zorientowaliśmy się, w którym momencie przestaliśmy logować się do wielu systemów hasłem, a zamiast niego, zaczęliśmy odblokowywać je, spoglądając w ekran lub przykładając palec do czytnika na telefonie. Ta transformacja w biznesie będzie postępować. Coraz mniej aplikacji zabezpieczonych będzie hasłem, a coraz więcej biometrycznym uwierzytelnianiem. Secfense planuje odegrać istotną rolę w tej transformacji.