(PR článek)
V poslední době přibývají další a další zprávy o únikách dat – mají tyto incidenty něco společného? A opravdu je nevyhnutelné, aby k nim docházelo?
Podrobností o bezpečnostních incidentech je obvykle málo. Postižené organizace se navíc logicky snaží, aby jejich klienti dostali jen ty nejnutnější informace, a s detaily se obvykle nechlubí. A odborná veřejnost dostane bližší informace se zpožděním – pokud je vůbec dostane.
Společný jmenovatel většiny bezpečnostních incidentů se však najít dá: velmi často je to selhání lidského faktoru v kombinaci s absencí základních bezpečnostních mechanismů. Překvapivě často jde o nedostatky v zabezpečení přístupu k systémům a datům. Příkladem je nedávný únik klientských informací z aukčního portálu eBay, který se týkal téměř 150 milionů uživatelů. Nepříjemné je, že unikla data včetně hesel.
Ta však byla údajně zašifrována…
To sice byla, ale neví se, jak silná šifra to byla. Uživatelé eBay byli pro jistotu vyzváni, aby si své heslo změnili, a to všude, kde ho případně používají. Mimochodem, to je opravdu nebezpečná praxe, používat stejné heslo k různým službám.
Ale vraťme se k tomu, proč je eBay příkladem nedostatků v zabezpečení přístupu k systémům a datům. Z pohledu uživatelů je problém, že tento aukční dům nepatří mezi poskytovatele internetových služeb, kteří svým zákazníkům nabízejí jako doplňkový bezpečnostní prvek dvoufaktorovou autentizaci. Tuto možnost v poslední době zavedly například společnosti Google, Facebook, Apple, Twitter a další, a jde o zásadní posílení bezpečnosti. Uživatel totiž musí kromě běžných přihlašovacích údajů zadat také jednorázové heslo, které mu daná služba doručí například formou SMS zprávy. V kauze eBay by to znamenalo, že útočník, který by se snažil dostat k účtu uživatele na základě jeho kompromitovaného hesla, by stejně neuspěl, protože by neznal jednorázové heslo. Naopak, majitel účtu by se o pokusu o nelegitimní přístup okamžitě dozvěděl.
Takže dvoufaktorová autentizace je podle Vás řešením
Ano, a ne jen na uživatelské straně. Ze způsobu útoku na eBay se navíc dá vyvodit, že adekvátní autentizací – přičemž za standardní řešení se v tomto případě všeobecně považuje dvoufaktorová autentizace - nebyly chráněné ani kritické firemní systémy eBay.
Jak si to vysvětlujete?
Nejspíš půjde o kombinaci důvodů. Prosté podcenění rizik, neochota investovat do bezpečnosti, rezistence IT personálu proti doplňkovému zabezpečení přístupu… Převažujícím důvodem však nejspíš bude podcenění rizik. Řešení pro dvoufaktorovou autentizaci je totiž překvapivě levné, zvlášť pokud jde o moderní řešení na bázi jednorázového hesla, kde funkci tokenu plní smartphone nebo tablet. V tom případě navíc odpadá o velká část obav z nepohodlí uživatelů. Jistě, hardwarový token je další předmět, který uživatel musí mít u sebe a nesmí ho ztratit. Ale nutnost mít u sebe smartphone, to přece není nic navíc, ne?
Bude podle Vás přibývat firem, které víc dbají na zabezpečení přístupu?
Předpokládám, že je k tomu dotlačí zákazníci. Úniků dat totiž přibývá a zákazníci se cítí ohroženi. Nadchází doba, kdy se budou zdráhat poskytnout své citlivé údaje někomu, kdo nebude schopen prokázat, že s nimi dokáže zacházet odpovědně. Nebo kdo dokonce naopak ukazuje laxní přístup – jako třeba právě eBay. Uživatel, který na tomto portálu zadává své heslo, se dozví, že heslo Pasword1 je středně silné. Pokud tohle reprezentuje postoj eBay k bezpečnosti, tak se žádnému úniku dat nemůžeme divit...
Jinými slovy, z informační bezpečnosti se pomalu stává konkurenční výhoda. Sice pomaleji, než bychom si jako dodavatelé bezpečnostních řešení a služeb přáli, ale ten trend je nezadržitelný.