Trafiłem na zabawny artykuł ZDNetu zarekomendowany przez CodeProject.com: Cybersecurity: These two basic flaws make it easy for hackers to break into you systems. Co w tym zabawnego? A to, że redaktor podpiął pod tytuł jeden z wpisów. Brzmiący następująco: Being connected to a network, and being powered on? Bez wnikania w szczegóły artykułu, który omawia oczywiste oczywistości ze świata “bezpieczniaków”, czyż nie jest to po prostu cudowny komentarz?

Co jest oczywiste?

Główne przyczyny incydentów (czyli tzw. wektory ataków) w cyberświecie nie zmieniają się odkąd komputery trafiły pod strzechy. A są nimi:

• słabe hasła (ale również powtarzalne albo takie same na wielu kontach)
• niedbanie o aktualizację systemów – “mądrzy” WIEDZĄ, że po aktualizacji Winda wysiada, więc nie aktualizują komputera 🙂 (podobno problem ten dotyczy w różnym stopniu aż 2/3 firm w USA)
• klikanie w nieznane mejle (dzisiaj także na telefonach)

Osobista refleksja numer 1 – wyłączenie komputera nie zabezpiecza do przed hakerem

Hardkorowi informatycy/bezpieczniacy nie śmialiby się z komentarza do artykułu, ponieważ… wyłączony komputer nie jest pojęciem jednoznacznym. Użytkownik, który dzwoni do pomocy technicznej i twierdzi, że wyłączył komputer może mieć co najmniej pół tuzina pomysłów:

1. wyłączył monitor
2. zmniejszył jasność monitora/ekranu do zera
3. uśpił kompa
4. nie chce się przyznać, że od roku nie wyłączał komputera pomimo polityki firmy, którą zna, podpisał i miał stosować
5. wyjął wtyczkę z gniazdka komputera stacjonarnego
6. wyjął wtyczkę zasilacza laptopa z gniazdka pozostawiając laptopa na zasilaniu z baterii.

Wyłączenie, o którym najprawdopodobniej napisał komentator artykułu, to przypadek numer 5. I tylko on zabezpiecza przed włamaniem się do komputera. W innych przypadkach haker może zaatakować. Może nawet włączyć zdalnie komputer.

Osobista refleksja numer 2 – social engineering

Prawdę, że łatwiej zhakować człowieka niż sprzęt zna każdy specjalista od cyberbezpieczeństwa. Social engineering jest tańszy i … ciekawszy. Jest fajniejszy niż żmudne przełamywanie kolejnych zabezpieczeń oprogramowania i sprzętu. Fakt że akurat takie trzy scenariusze są najczęstszymi wektorami ataków dowodzi, że człowiek jest najsłabszym ogniwem każdego systemu bezpieczeństwa.

Osobista refleksja numer 3 – jak uczyć o cyberbezpieczeństwie

Pisząc pracę magisterską w 1991 roku, która dotyczyła bezpieczeństwa komputerów osobistych, widziałem podaną sytuację jak i dzisiaj. Ludzie narażą każdy system, jeśli ich zmuszać do czegoś czego nie chcą, na czym im nie zależy, czego nie rozumieją, co ich osobiście nie dotyka.

Szkolenia BHP, RODO a ostatnio coraz częściej z cyberbezpieczeństwa (choć porównaniu do dwóch wcześniej wspomnianych baaardzo rzadkich) służą zebraniu podpisów pod listami, które są wymagane przez prawo i/lub zarząd firmy czy instytucji. Jak dojdzie do złamania ręki czy wypadnięcia dysku, to pokazuje się kwit, że pracownik wiedział, jak podnosić ciężary i firma jest kryta. Gdy menel na śmietniku odkryje dokumenty z danymi osobistymi, to instytucja przedstawia listy obecności z regularnie przeprowadzanych szkoleń RODO i ma w nosie incydent. A na szkoleniach z bezpieczeństwa komputerowego większość uczestników odłącza myślenie, kiedy pada sformułowanie “adres IP” albo “domena”. A niestety mało który “trener” jest wykształconym i kreatywnym wykładowcą, posługującym się bogatą i poprawną polszczyzną na poziomie zwykłego “użyszkodnika”.

Niemniej jednak w firmach i instytucjach wymyśla się różne techniki, aby uczynić szkolenia skuteczniejszymi. Przykładowo w polskim MSWiA szkolenia są co kwartał i trwają jedynie 15 minut. Każde poświęcone jednej kwestii. Taki czas powoduje, że przeciętny człowiek się nie znudzi a powtarzanie przez kwadrans jednej kwestii jest wystarczająco długie, aby mogła być zapamiętana. Innym rozwiązaniem jest przedstawianie bezpieczeństwa informatycznego przez przykłady związane z bezpieczeństwem domowym. Albo z bezpieczeństwem dzieci. To od razu przykuwa uwagę słuchaczy.

Osobista refleksja numer 4 – jesteśmy daleko za … afroamerykanami

Rzeczywistość wygląda w ten sposób, że klient nie widzi potrzeby podpisania umowy powierzenia danych osobowych zlecając firmie informatycznej usługi. Udostępnia każdy sprzęt, dokument, konto, hasło na żądanie/prośbę tzw. informatyka, pomimo że widzi go pierwszy raz w życiu. Wreszcie okazuje się, że hasła są na połowie komputerów przyklejone do ekranu czy klawiatury a na drugiej połowie … nikt ich nawet nie ustalił.

Osobiście stosuję różne techniki, aby szkolenia były skuteczne. Ale przede wszystkim staram się dotrzeć do użytkownika zanim nabierze złych manier. Stąd pomysł na zajęcia z przedszkolakami i dziećmi klas młodszych. Bawiąc uczę, ucząc bawię. Drugą grupą są po prostu rodzice. Pokolenie milenialsów w zetknięciu z wychowaniem dziecka i zapewnieniem mu bezpieczeństwa (także w sieci) jest naprawdę bezradne.

Daj znać, jeśli uważasz, że rodzice bądź dzieci w Twojej placówce powinny skorzystać z takiego szkolenia: pawel.wozniak@cyberbezpieczni.pl. Przyjadę albo przeprowadzę zajęcia zdalnie.