Raport Specjalny | Bezpieczeństwo Banków – Secfense | Człowieka będzie coraz łatwiej oszukać, a maszynę coraz trudniej
Przejmowanie kolejnych działań – czy to w biznesie, czy w sferze prywatnej – przez technologię to kierunek nieodwracalny. Niestety dotyczy to również tych, które niekoniecznie są dobre i etyczne. Już dziś rozwiązania takie, jak ChatGPT bardzo przydają się i są używane przez cyberprzestępców. A już szczególnie przez takich, którzy nie mają zbyt rozwiniętych umiejętności technicznych. Dla nich to oszczędność pieniędzy i czasu.
– Musimy pamiętać, że za każdym planowanym atakiem stoi jego ekonomia. Najzwyczajniej w świecie atakujący wybierają szybkie do osiągnięcia cele w najoptymalniej kosztowy lub ryzykowny sposób. ChatGPT może mieć wpływ na ekonomię ataku przeprowadzonego z jego wsparciem. Atakujący nie muszą już bowiem kupować lub pisać kodu złośliwego oprogramowania. Teraz za pomocą inteligencji ChatGPT stworzą go sobie po prostu samodzielnie – mówi Tomasz Kowalski, CEO i współzałożyciel Secfense.
Konieczna ostrożność
Na co powinny więc zwrócić uwagę banki czy inne organizacje, których pracownicy chcą na co dzień używać generatorów typu chatGPT w swojej pracy? Trudno jednoznacznie odpowiedzieć na to pytanie, ponieważ dla wszystkich to, co dzieje się dziś, jest zwyczajnie nowością i jesteśmy na początku tej specyficznej ery.
Na pewno jednak każda firma powinna przywiązywać ogromną wagę do tego zagadnienia, tym bardziej że coraz więcej osób pracuje zdalnie, często na źle zabezpieczonym sprzęcie, łączy się z podejrzanymi sieciami. To przecież pierwszy krok do utraty danych uwierzytelniających, który otwiera intruzowi bramę do wewnętrznej sieci banku.
Patrząc na zachowania poszczególnych państw, łatwo zauważyć problem ze zdiagnozowaniem nowego fenomenu. Władze same nie wiedzą, jak do tego problemu podejść. Włochy pierwotnie zablokowały ChatGPT tylko po to, aby kilka tygodni później przywrócić możliwość jego użytkowania. Wielka Brytania z kolei uznała, że nie powinno się nic regulować i w nic ingerować. Platformy AI mogą być cennymi narzędziami np. do automatyzacji funkcji, wsparciem w kreowaniu pomysłów, mogą też sugerować nowy kod i poprawki dla uszkodzonych aplikacji. Sam Gartner przewiduje, że do 2025 r. rynek oprogramowania AI osiągnie prawie 134,8 mld USD, a wzrost rynku ma przyspieszyć z 14,4% w 2021 r. do 31,1% w roku 2025 – znacznie przewyższając ogólny wzrost na rynku oprogramowania. Zanim jednak firmy przejdą do szybkiego działania, konieczne są środki ostrożności.
– Przede wszystkim firmy nie powinny dopuszczać możliwości szerokiego użycia ChatGPT. Wielu użytkowników może nie rozumieć jego ograniczeń dotyczących danych, bezpieczeństwa i analityki – wyjaśnia Tomasz Kowalski. – Używanie chatbota może stanowić zagrożenie dla poufnych i prywatnych informacji identyfikowalnych, dlatego firmy muszą uważać, jakie dane są stosowane do zasilania chatbota i unikać jak ognia wpisywania tam tych poufnych. Ważne jest również, aby współpracować z dostawcami, którzy mają silne polityki dotyczące wykorzystania danych i własności intelektualnej.
Obecnie jesteśmy na początku ery stosowania tej technologii i nie ma jednoznacznej odpowiedzi, jak zabezpieczyć się przed zagrożeniami. Firmy powinny więc uważnie śledzić ten temat i podejmować odpowiednie środki ostrożności. Jednak ze względu na to, że aż 80% wszystkich włamań do systemów i aplikacji zaczyna się od przejęcia konta zabezpieczonego najczęściej zwykłym hasłem, firmy muszą skoncentrować się na człowieku. To jego bowiem cyberprzestępca może oszukać najłatwiej – a teraz z wykorzystaniem AI będzie wychodziło mu to jeszcze lepiej i szybciej. Niestety klasycznych haseł wciąż jeszcze używa wiele instytucji finansowych.
Hasła na margines
Zademonstrujmy to na przykładzie. Pracownik banku wymyśla sobie bardzo długie hasło, np. „Li2oOjczyzn0M0ja7yJeste!JakZdrowie!”. Jeszcze kilka lat temu każdy szkoleniowiec z bezpieczeństwa IT by je pochwalił – długie, zawiera różne znaki, jest łatwe do zapamiętania. I nie byłoby w tym nic złego, gdyby nie fakt, że niezależnie od tego, jakie to hasło będzie, to i tak złodziej może je przejąć. Równie dobrze mogłoby to być „123456”.
Oczywiście odejście od haseł w firmach i instytucjach finansowych wcale nie jest takie łatwe, głównie poprzez powiązanie ich z tożsamością użytkowników, bazami danych itp. Właśnie dlatego tak istotne jest, żeby w pierwszym etapie drogi do passwordless wszystkie organizacje zadbały o zabezpieczenie haseł silnym uwierzytelnianiem MFA. Najlepiej oczywiście, żeby od razu była to metoda skuteczna, czyli wieloskładnikowe uwierzytelnianie odporne na phishing.
– Nasza technologia User Access Security Broker sprawia, że rola haseł przy silnym uwierzytelnianiu opartym np. na FIDO2, będzie całkowicie zmarginalizowana, a przed atakami chronić będzie mocne MFA – podkreśla Tomasz Kowalski, CEO i współzałożyciel Secfense. – Hasło zwyczajnie nie jest w stanie ochronić użytkowników przed przejęciem ich kont. Jeśli więc spotykamy się z sytuacją, że hasła muszą – z różnych względów – w firmie pozostać, to podstawą jest zapewnienie dla nich skutecznej warstwy, która sprawi, że ich rola będzie marginalna. Do tego stopnia, że wszyscy użytkownicy mogą w sumie ustawić sobie hasło „poniedziałek” albo „qwery”.
Zero zaufania nadal na topie
Podejście, które zakłada zabezpieczenia polegające na silnym uwierzytelnianiu lub finalnie na pełnej rezygnacji z potrzeby wpisywania przez użytkowników haseł, nazywa się filozofią bezpieczeństwa Zero Trust. Zakłada ona kontrolę wszystkiego i wszystkich oraz maksymalne ograniczenie uprawnień użytkowników. Zgodnie z nią, każda osoba – również taka, która działa wewnątrz organizacji – jest traktowana jako niezaufana i stanowiąca zagrożenie dla sieci. Celem Zero Trust jest zapewnienie bezpieczeństwa poprzez zastosowanie wielu warstw zabezpieczeń, w tym uwierzytelniania, autoryzacji i szyfrowania danych.
Model Zero Trust jest szczególnie przydatny w czasach, gdy coraz więcej pracowników pracuje zdalnie i korzysta z różnych urządzeń, co zwiększa ryzyko wycieku danych i ataków. Ponadto, w dobie rosnącej liczby ataków hakerskich i zagrożeń cybernetycznych przedsiębiorstwa coraz częściej szukają sposobów na zwiększenie swojej ochrony i bezpieczeństwa. Model Zero Trust jest uważany za jedno z najskuteczniejszych podejść w tym zakresie.
Sztuczna inteligencja odgrywa coraz większą rolę w dzisiejszym świecie biznesu, a ChatGPT to jedna z tych najnowszych, która rewolucjonizuje sposób, w jaki firmy działają. Wrastać więc będzie też potrzeba coraz lepszych zabezpieczeń, czyli m.in. wdrażania kompleksowego silnego uwierzytelniania w całej organizacji. Co ważne, MFA rozwijać się będzie tak, że dla przeciętnego użytkownika stanie się zupełnie niezauważalne. Sami przecież nie zorientowaliśmy się, w którym momencie przestaliśmy logować się do wielu systemów hasłem, a zamiast niego, zaczęliśmy odblokowywać je, spoglądając w ekran lub przykładając palec do czytnika na telefonie. Ta transformacja w biznesie będzie postępować. Coraz mniej aplikacji zabezpieczonych będzie hasłem, a coraz więcej biometrycznym uwierzytelnianiem. W Secfense planujemy odegrać istotną rolę w tej transformacji.