Barracuda Networks – 5 rad dotyczących cyberbezpieczeństwa
W październiku już po raz 20 obchodzimy Europejski Miesiąc Cyberbezpieczeństwa. Przez te cztery tygodnie w roku firmy i instytucje podejmują różne działania tłumaczące, jak bezpiecznie korzystać z Internetu. Od 20 lat nawołują więc do tworzenia silnych haseł czy aktualizowania oprogramowania, uczą rozpoznawania ataków phishingowych. Porady są praktyczne i mogłyby naprawdę poprawić nasze bezpieczeństwo. Problem polega na tym, że… ich nie słuchamy. Barracuda Networks o cyberbezpieczeństwie.
– Naprawdę dobrze znamy sposoby działania cyberprzestępców, zdawałoby się zatem, że możemy skutecznie opierać się ich atakom. Prawda jest jednak inna. Być może trudno w to uwierzyć, ale wciąż najpopularniejszymi hasłami na świecie są 'password’ czy '12345′. Nieświadomość, wygoda? A może po prostu pewnego rodzaju przekora, która każe nam, ludziom, ignorować dobre rady? – zastanawia się Mateusz Ossowski, CEE Channel Manager w firmie
Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.
Jakie porady techniczne najczęściej ignorujemy? Eksperci Barracuda Networks przygotowali subiektywną listę:
„Przeczytaj instrukcję obsługi”
Z badań opisanych w artykule „Life Is Too Short to RTFM”wynika, że mniej niż 25% osób czyta instrukcję obsługi dołączoną do nowego urządzenia lub aplikacji. Ludzie stają się coraz bardziej niecierpliwi i wolą eksplorować na własną rękę oraz uczyć się na własnych błędach. Większość z nich rezygnuje po kilku minutach i oddaje do sklepu źle – według nich – działający produkt. Inne badania pokazują, że 95% zwróconych produktów działa dobrze, tylko użytkownicy nie doczytali instrukcji, by znaleźć w niej rozwiązanie problemów, które się pojawiły.
Usunięcie niechcianej aplikacji z telefonu niekoniecznie rozwiąże wszystkie problemy
Usunięcie aplikacji niekoniecznie spowoduje usunięcie wszystkich przechowywanych w niej danych osobowych. Nie wyloguje też użytkownika z innych kont, np. w mediach społecznościowych, z którymi aplikacja się łączyła. Co więcej, nie usunie również irytujących programów adware, które zostały zainstalowane razem z nią. Aby osiągnąć taki efekt, trzeba odnaleźć folder z aplikacjami, wybrać tę, którą chcemy usunąć, wyczyścić dane i pamięć podręczną, a następnie odinstalować aplikację.
Z prostego i przyjaznego użytkownikowi urządzenia korzysta się częściej i przyjemniej
Nieznane dotychczas funkcje i przyciski w najnowszym modelu smartfonu czy innego urządzenia wydają się niezwykle kuszące. Mogą nawet skłonić konsumenta do zakupu. Jednak finalnie użytkownik prawdopodobnie w ogóle nie będzie z nich korzystał. Dlaczego? Z powodu efektu znanego jako „Choice Overload Effect”. Najlepiej zilustruje go dżem.
Badanie przeprowadzone na Uniwersytecie Columbia wykazało, że gdy klientom dano do spróbowania 24 smaki dżemu, tylko 3% z nich kupiło słoik. Natomiast gdy musieli wybierać jedynie z 6 różnych smaków, na zakup zdecydowało się 30% uczestników badania. Zbyt wiele opcji paraliżuje nasze wybory.
Robienie tego samego wciąż od nowa nie rozwiąże problemu
Wszyscy to znamy: wielokrotne klikanie przycisku odświeżania, restartu lub ponownego ładowania strony w nadziei, że problem tym razem magicznie zniknie. Nie zniknie. Ale im bardziej się frustrujemy, tym bardziej jesteśmy skłonni kontynuować. Mogliśmy poświęcić cały ten czas i energię na znalezienie właściwego rozwiązania.
Ustawienie silnego hasła jest podstawą bezpieczeństwa
Hasła to klucze do aktywów i danych online nie tylko użytkownika, ale i jego pracodawcy. Dlaczego więc wciąż unikamy stosowania silnego, oryginalnego, trudnego do odgadnięcia hasła? Odpowiedź jest prozaiczna. Proste hasła są łatwe do zapamiętania, natomiast te skomplikowane – choć bezpieczne – mogą utrudnić codzienne funkcjonowanie. Użytkownik, który nie przypomni sobie unikalnej kombinacji znaków, zostanie zablokowany lub będzie musiał wykonać szereg kroków, by zmienić swoje hasło – najlepiej znów na trudne do odgadnięcia i zapamiętania.
Z danych opublikowanych na stronie SecurityBoulvard wynika, że choć 91% ankietowanych użytkowników rozumie ryzyko związane z używaniem tych samych haseł w różnych serwisach, to 59% z nich mimo wszystko stosuje takie praktyki. Niewiele lepiej jest w firmach i organizacjach. Nawet jeśli na pracownikach wymusza się cykliczną zmianę haseł, 49% z nich po prostu dodaje cyfrę lub znak do dotychczas używanej kombinacji.
Co jest z nami nie tak?
Powyższa lista skrótowo pokazuje specyfikę interakcji człowieka z technologią. Chcemy, żeby wszystko było płynne, plug-and-play i intuicyjne. Chcemy, żeby technologia dawała nam wybór, ale niezbyt duży. I chcemy, żeby cała trudna praca związana z obsługą i zabezpieczaniem urządzeń została wykonana przez kogoś innego. Wymóg tworzenia i ustawiania silnych, unikalnych i skomplikowanych haseł dla każdego konta nie spełnia tego warunku, a najnowsze badania pokazują, że dwie trzecie (65%) użytkowników nie ufa menedżerom haseł.
Jaki wpływ na pracowników i firmy ma złe podejście do haseł?
Z raportu Verizon Data Breach Investigations Report 2023 wynika, że złamane hasła są odpowiedzialne za 81% naruszeń związanych z włamaniami. Co więcej, uwierzytelnianie wieloskładnikowe (MFA), które ma na celu wzmocnienie kontroli dostępu, znalazło się obecnie na celowniku cyberprzestępców, którzy z pewnymi sukcesami wykorzystują znużenie takim sposobem logowania (MFA fatigue).
W jakim punkcie zatem dziś jesteśmy? Po dziesięcioleciach ostrzeżeń ludzie wciąż mają problem ze stosowaniem silnych, unikalnych haseł, a uwierzytelnianie na nich oparte nie jest już wystarczające do ochrony tożsamości. Być może nadszedł czas, aby poważnie rozważyć alternatywę.
– Przyszłością jest uwierzytelnianie bez haseł – wyjaśnia Emre Tezisci, product marketing manager w Barracuda Networks. – Autoryzacja bez hasła to sposób weryfikowania tożsamości za pomocą alternatywnych metod, takich jak biometria, w tym odciski palców lub rozpoznawanie twarzy, tokeny sprzętowe lub jednorazowe hasła (OTP) wysyłane e-mailem lub SMS-em. Wiele aplikacji i urządzeń konsumenckich już polega na biometrii, w tym niektóre telefony komórkowe czy aplikacje bankowe.
W środowisku biznesowym przejście do rzeczywistości bez haseł może jeszcze trochę potrwać. Na rynku pojawia się coraz więcej rozwiązań, jednak nie każda organizacja jest gotowa na to, by wdrożyć taką metodę.
– Ważne jest, aby nadal oferować przedsiębiorstwom wszystkie opcje, w tym tradycyjny sposób logowania. Jednocześnie trzeba pomagać firmom wkraczać w rzeczywistość stałego i warunkowego dostępu, ze scentralizowanymi uprawnieniami, samodzielnie przyznawanymi dostępami, a ostatecznie – bezpiecznym, przyjaznym użytkownikowi uwierzytelnianiem bez hasła. W takich warunkach ryzyko związane z używaniem imienia złotej rybki jako hasła w 20 różnych serwisach przestaje mieć jakiekolwiek znaczenie – podsumowuje Mateusz Ossowski z Barracuda Networks.