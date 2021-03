- Kradzież tożsamości skutkuje wykorzystywaniem naszych danych – które formalnie nas reprezentują, w efekcie nakładając na nas odpowiedzialność prawną – w działalności przestępczej- tłumaczy w rozmowie z Agencją Informacyjną Polska Press Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland. - Szczególnym przypadkiem jest sytuacja, gdy działamy online. Gdy uświadomimy sobie, jak głęboko w naszym życiu jest już technologia informacyjna- dodaje.

Dlaczego kradzież tożsamości jest tak niebezpieczna? Kradzież tożsamości skutkuje wykorzystywaniem naszych danych – które formalnie nas reprezentują, w efekcie nakładając na nas odpowiedzialność prawną – w działalności przestępczej. Szczególnym przypadkiem jest sytuacja, gdy działamy online. Gdy uświadomimy sobie, jak głęboko w naszym życiu jest już technologia informacyjna – w sferze finansów, komunikowania (w tym z urzędami, partnerami biznesowymi, klientami) czy choćby w codziennych działaniach, takich jak zakupy online – sprawa nabiera dużej wagi. Kradzież tożsamości online może skutkować stratami finansowymi, utratą zdolności kredytowej, obciążającymi nas oszustwami – przestępstwami dokonanymi za pomocą naszych danych, ale bez naszego udziału. W życiu prywatnym może to skutkować dotkliwą utratą reputacji, w biznesie – utratą partnerów, klientów, rynku.

Na taką elektroniczną tożsamość, w dużym uproszczeniu, składają się m.in. nasze dane uwierzytelniające, loginy i hasła do dowolnych kont użytkowników, w tym maila, a także kont służbowych i portali społecznościowych.

Cyberkryminaliści korzystają dziś z zaawansowanych, zautomatyzowanych technologii ułatwiających dokonywanie wyłomów – wystarczy im część danych uwierzytelniających, aby w końcu uzyskać dostęp. Co i rusz słyszymy o wycieku danych klientów – użytkowników jakiejś platformy, organizacji, sklepu czy nawet urzędu. To oznacza, jak wskazują nasze badania, że te dane pojawiły się w dark webie – miejscu hakerskich transakcji – wcześniej, czyli kryminaliści są w ich posiadaniu i już je wykorzystują lub próbują wykorzystać. Można powiedzieć, że stale jesteśmy pod atakiem, w jakiejś jego fazie. W którym momencie dowiadujemy się, że ktoś posługuje się naszymi danymi? Na ogół po fakcie – gdy ponosimy konsekwencje i np. zastajemy puste konto w banku lub cudzą pożyczkę do spłacenia.

Lecz tak naprawdę pierwszym sygnałem, który powinien wzmożyć naszą czujność, są ogłoszenia o wycieku danych. Jeśli dowolna organizacja ogłasza o wycieku danych i nas to dotyczy, ponieważ np. jesteśmy klientem czy użytkownikiem platformy, sieci – jest to jednoznaczny sygnał, że ktoś już tymi naszymi danymi może obracać, więc ryzyko narażenia naszych danych rośnie.

Dowiadujemy się tego też z raportów rynkowych. Warto śledzić, jak rynek bada trendy, na ile i jakich nowych zagrożeń jesteśmy narażeni jako osoby prywatne i pracownicy czy biznesmeni oraz organizacje. W F5 Credential Stuffing Report 2021 zwracamy uwagę, że liczba wycieków danych oraz ich wielkość nieco spada, ale niestety liczba incydentów związanych z tymi wyciekami dwukrotnie wzrosła w ostatnich latach. Dzieje się tak, ponieważ dane, które raz wyciekły, są wielokrotnie wykorzystywane przez cyberkryminalistów w kolejnych atakach i przestępstwach.

Ponadto bezpośrednim sygnałem, że nasze dane mogą być wykorzystywane, będą wszelkie nieprawidłowości w procesach komunikowania elektronicznego. Na przykład mail z nieznanego źródła z linkami czy załącznikami lub zaproszenie do znajomych w portalu społecznościowym – jednak niepotwierdzone w bezpośrednich ustaleniach. Może się wydarzyć, że konto użytkownika jest przejęte. Jak duży wpływ na liczbę cyberataków ma koronawirus i praca zdalna? Liczba ataków rośnie, tak jak rosną możliwości. Powierzchnia ataku przez fizyczny lockdown i gwałtowne przeniesienie operacji do sieci znacznie wzrosła. Tam, gdzie jest największa aktywność społeczna i masowe zainteresowanie, jest najwięcej możliwości ataków. Jeśli jesteśmy organizacją, która interesuje się dofinansowaniem z tarczy anty-COVIDowej, to interesujemy się masowymi akcjami informacyjnymi na ten temat. Mogą więc do nas spływać maile, pod których przykrywką mogą działać przestępcy. W takich masowych akcjach szukają okazji do wyłudzenia danych, czy zainstalowania oprogramowania np. poprzez wysyłkę phishingowych maili. Nie cofną się także przed zakłócaniem łańcuchów dostaw w dowolnym sektorze.

Jak jest z naszą świadomością? Świadomość zagrożeń rośnie, ale informacja o tym, że konieczność chronienia swoich własnych danych jest istotniejsza niż nam się wydaje, musi jeszcze przebić się do publicznego mainstreamu,. Imię i nazwisko oraz adres mailowy konkretnej osoby można kupić na przestępczym rynku – to jest wstęp do możliwych dalszych działań. Sztuczna inteligencja analizująca nasze zachowania w mediach społecznościowych wyciąga wnioski o nas: przecież wiemy, że tak działa analiza doboru reklam. Cyberkryminaliści wykorzystują zbliżone mechanizmy do łamania haseł i oszustw z wykorzystaniem naszych danych. Warto podkreślać, jak masowe i zautomatyzowane są te przestępcze działania, ponieważ wciąż nie przebiło się to jeszcze do grupowej świadomości. W ruch idą całe wyciekłe bazy, w botnety zaprzęgane są kolejne prywatne i firmowe komputery. Nawet jednak jeśli świadomość rośnie w tym obszarze, bardzo powoli wdrażane są, szczególnie na personalnym poziomie, możliwe zabezpieczenia.

Powiedział pan, że świadomość rośnie, więc jakie błędy najczęściej popełniamy? W którym momencie wystawiamy się na cel? Warto spojrzeć na swoje prywatne i służbowe działania online, jak na mechanizmy, w których może nastąpić wyciek danych, czyli nasz błąd. Zauważmy, że przekazywanie informacji wrażliwych rozpoczyna się już przy nadawaniu nazwy użytkownika – jeśli jest imieniem i nazwiskiem, gdzie nie jest to wymagane – jest przekazywaniem danych osobowych do wiadomości publicznej. Bardzo wiele informacji przekazujemy też o sobie w profilach społecznościowych – to są prywatne i służbowe dane, które dostarczają wiedzy o nas, naszej pracy, zwyczajach, zasobach, relacjach, zadaniach. Błędem jest zapamiętywanie haseł przez przeglądarki i używanie tych samych danych logowania do różnych kont (także w Social Mediach). Kolejnym błędem jest umieszczanie w nazwie użytkownika swojego imienia, elementów adresu mailowego czy wskazówek odnoszących się do daty urodzenia. Powyższe dane dają cyberprzestępcom połowę informacji wymaganych do złamania dostępu do konta.

Tego rodzaju ataków będzie więcej? Ataki na dane dostępowe będą rosły, ponieważ na kontach użytkowników leżą fizyczne pieniądze i kolejne, cenne dane. W obiegu przestępczym są w dużych liczbach. Póki nie nastąpi masowa dbałość o nieustanne zabezpieczanie danych – np. regularne zmiany haseł i nazw użytkownika, przestępcom będzie łatwiej w tym obszarze o „zwrot z inwestycji”, więc tam będą celować z atakami. Jak się bronić? Co statystyczny Kowalski może zrobić, żeby zadbać o bezpieczeństwo woje i sowich danych Istotne jest myślenie kategoriami cyberochrony: nie zostawiamy przecież dowodu osobistego byle gdzie: podobnie jest z bezpieczeństwem naszych danych wrażliwych – w tym biznesowych – online. To podstawa. Jest też parę praktycznych sposobów, które utrudniają życie hakerom – kryminaliści nie lubią tracić czasu, atakują chętniej łatwe cele, więc proponowana niżej taktyka pomaga:

Wykorzystujmy programy do zarządzania hasłami (password manager). Użytkownicy, średnio muszą pamiętać około 70-80 haseł. Dlatego są one zapisywane ręcznie lub wykorzystywane takie same do różnych kont – żeby było łatwiej – a to zwiększa ryzyko ich naruszenia. Oprogramowanie do zarządzania hasłami umożliwi utworzenie silnego, unikalnego hasła dla każdego z kont indywidualnie. Jeśli nie jest to możliwe – trzeba nadawać unikalne hasła dla każdego konta – maksymalnej długości na jaką pozwala dana platforma. Pamiętajmy o zmianie hasła natychmiast, gdy konto zostało przejęte przez cyberprzestępców lub dowiedzieliśmy się o wycieku danych. Warto używać identyfikacji wieloskładnikowej. Wprawdzie wymaga od nas oprócz podania standardowego loginu i hasła, również np. kodu otrzymanego poprzez sms, ale to efektywna, dodatkowa warstwa ochrony, która powinna być używana dla każdego konta, gdzie tylko jest to możliwe.

Warto ograniczyć publikowanie w sieci zbyt wielu informacji o sobie. Stajemy się wtedy trudniejszym celem dla złodziejów tożsamości. Cyberprzestępcy mogą bowiem połączyć udostępnione przez nas informacje z danymi „w tle”, które mogą pozyskać.

Jeśli to możliwe, warto przemyśleć usunięcie danych osobistych z kont w mediach społecznościowych i networkingowych (data i miejsce urodzenia, nazwisko panieńskie, nazwisko panieńskie matki, numer telefonu, imię zwierzaka domowego, hobby itp.). Osobna kwestią jest ochrona swoich danych w miejscach publicznych i w domach – zadbanie o VPNy, bezpieczną sieć, pomijanie otwartych sieci WiFi w komunikowaniu. Jeśli podejdziemy do danych związanych z naszą tożsamością online – prywatną, czy biznesową – podobnie, jak do tożsamości fizycznej, stworzymy własną kulturę ochrony z praktycznymi działaniami zmniejszającymi ryzyko utraty tożsamości.

