Ubiegłoroczne badanie przeprowadzone na zlecenie Google przez CBM Indicator nie zostawia suchej nitki na naszym poziomie wiedzy jako internautów. Phishing? Słyszało o nim ledwie 47% ankietowanych. Atak typu DDoS? Już gorzej, bo tylko 21% badanych. Ransomware? Raptem 16%. Tymczasem tylko w ubiegłym roku zespół CERT Polska odnotował ponad 322 tys. zgłoszeń dotyczących zagrożeń cyberbezpieczeństwa (178% więcej niż rok wcześniej). Agresja Rosji na Ukrainę dorzuca kolejną cegiełkę.
Cyberataki na internautów z państw wchodzących w skład NATO nasiliły się (w 2022 roku o ponad 300% w porównaniu do 2020 roku), na co wskazują analizy przeprowadzone przez Google Threat Analysis Group (TAG) i Mandiant (wchodzący w skład Google Cloud). Reasumując, jest źle, a lepiej już było, więc nie ma już przestrzeni na bycie niedoinformowanym. Taka postawa może nas wszystkich słono kosztować (i to w dosłownym znaczeniu). Lepiej wrzucić drugi bieg i nie tylko się doedukować, ale również zacząć z dostępnych rozwiązań korzystać.
Weryfikacja dwuetapowa – coś kojarzymy, teraz tylko zacznijmy stosować
Ciekawe, że to samo badanie przeprowadzone przez CBM Indicator wykazało, że o formie dodatkowego zabezpieczenia w postaci 2FA (uwierzytelnianie dwuskładnikowe) słyszało 66% ankietowanych. Jednak do jej aktywnego stosowania przyznaje się już tylko połowa respondentów. Tymczasem to właśnie wspomniana weryfikacja dwuetapowa w wyraźny sposób zwiększa nasze bezpieczeństwo w internecie i to przy minimalnym wysiłku.
Przy logowaniu oprócz loginu i hasła do usługi dodatkowo uwierzytelniamy się przy użyciu telefonu, tabletu lub innego urządzenia z zainstalowaną aplikacją np. Google Authenticator. Można do tego użyć również specjalnego fizycznego klucza, który należy włożyć do portu USB lub przyłożyć do obudowy. Dane do logowania mogą zostać przecież wykradzione, ale bez takiego klucza wysiłki cyberprzestępcy spalą na panewce.
Działający w strukturach NASK zespół CERT Polska uruchomił stronę internetową, na której znajdziemy dodatkowe materiały edukacyjne poświęcone tematyce weryfikacji dwuetapowej. Mniej technologicznym osobom łatwiej będzie zrozumieć na czym polega to rozwiązanie i przede wszystkim jak je uruchomić na popularnych kontach (a możemy je wdrożyć w najpopularniejszych miejscach, takich jak poczta czy serwisy społecznościowe.
2FA w praktyce – da się, ale to wymaga wysiłku
Sam zdecydowałem się jakiś czas temu na zakup fizycznego klucza firmy Yubico, który na stałe noszę ze sobą. Podczas logowania do różnych usług po prostu przykładam go do obudowy telefonu (NFC), a podczas pracy na laptopie wkładam do portu USB i naciskam palcem znajdujący się na kluczu dotykowy panel. Na wszelki wypadek lepiej jest zaopatrzyć się w przynajmniej dwa takie klucze. Oczywiście wymaga to ode mnie wykonania dodatkowych czynności (a tego jak powszechnie wiadomo nie lubimy, bo zamiłowanie do komfortu i drogi na skróty zostaje z nami na dłużej).
Czytaj też: Artemis wystartował. CERT Polska przeprowadzi na stronach publicznych test białej rękawiczki
Taka jest jednak cena egzystowania w cyfrowym świecie, który do bezpiecznych nie należy (jeśli kiedykolwiek taki był, ale to już nie wróci). Stosujemy autoalarmy i centralne zamki, blokady skrzyni biegów i odcięcia zapłonu, a do tego wszystkiego jeszcze lokalizatory. Dlaczego podobnej prewencji nadal powszechnie nie stosujemy w Sieci? Tu na scenę wraca wygoda – stosowanie tego samego hasła do wszystkiego jest po prostu wygodne. Siedzenie pod kamieniem też wydaje się wygodne i bezpieczne.