W 2024 roku zespół CERT Polska zarejestrował 103 449 incydentów bezpieczeństwa, które miały lub mogły mieć niekorzystny wpływ na cyberbezpieczeństwo – wynika z raportu opublikowanego przez NASK na początku kwietnia.
Najczęściej występującą kategorią incydentów zarejestrowanych w 2024 roku były oszustwa komputerowe. Zarejestrowano 97 995 tego typu zdarzeń, co stanowi 95 proc. wszystkich obsłużonych incydentów przez CERT NASK. W porównaniu z 2023 rokiem liczba oszustw komputerowych wzrosła o 29 proc. W kategorię tę wpisują się m.in. fałszywe sklepy internetowe czy oszustwa inwestycyjne. Jednak najbardziej rozpowszechnionym rodzajem oszustw komputerowych (i zarazem przynoszącym najszybsze cyberprzestępcom efekty) są ciągle próby wyłudzania poufnych danych, np. loginu i hasła do poczty, strony banku, portalu społecznościowego czy innej usługi online (ang. phishing).
Do danych z tego raportu nawiązała podczas wystąpienia na konferencji KIKE Beata Kwiatkowska, Business Development Oofficer w polskiej firmie Secfense, specjalizująca się w rozwiązaniach z zakresu ochrony tożsamości cyfrowej.
– To przerażające statystyki, które potwierdzają, że cyberprzestępcy wcale nie muszą się włamywać od systemów organizacji, oni się tam najczęściej po prostu logują, wykorzystując wcześniej wykradzione hasła – mówiła Beata Kwiatkowska.
Jak podkreśliła, dziś cyberprzestępcy zarabiają głównie na phishingu i atakach z wykorzystaniem inżynierii społecznej, kradzieży i sprzedaży danych osobowych oraz ransomware (szyfrowanie danych w celu uzyskania okupu). Czy można w jakiś sposób ograniczyć to ryzyko?
Jednym ze sposobów jest wieloskładnikowe uwierzytelnianie, czyli MFA (ang. Multi-Factor Authentication). Prawda jest taka, że systemy bezpieczeństwa oparte tylko o nazwę użytkownika i ‒ nawet najbardziej skomplikowane hasła ‒ są bardzo łatwe do złamania, co na konferencji KIKE zademonstrował Bartosz Cieszewski, Solutions Architect w Secfense. Natomiast MFA (uwierzytelnianie wieloskładnikowe) dodaje kolejną warstwę zabezpieczenia, która jest niezależna od hasła. Nawet jeśli atakujący pozna login i hasło, to nie będzie mógł się zalogować bez drugiego składnika.
– Metody przy zabezpieczeniach MFA mogą się różnić i dlatego należy pamiętać, że przez to zapewniają różny poziom bezpieczeństwa. Niektóre z nich można łatwo ominąć – uczulał Bartosz Cieszewski.
I jak podkreślał, dziś tylko MFA oparte o kryptografię może uczynić organizację odporną na phishing. Właśnie z tego powodu coraz większe znaczenie zyskują rozwiązania bazujące na kryptografii asymetrycznej, takie jak passkeys, które łączą wysoki poziom bezpieczeństwa z wygodą użytkownika.
Dobrym przykładem takiego podejścia jest projekt wdrożony wspólnie przez Secfense i BNP Paribas Bank Polska, w którym organizacja zdecydowała się na stopniowe odejście od haseł w wybranym obszarze infrastruktury.
– Zaletą passkeys (kluczy dostępu) jest wygoda, bowiem urządzeniem uwierzytelniającym może być smartfon czy laptop. Co istotne, passkeys pozwalają zrezygnować z używania loginów i haseł – mówił Bartosz Cieszewski.
Aby utworzyć passkey trzeba wybrać odpowiednią opcję w aplikacji lub serwisie, którą chcemy zabezpieczyć. Robimy to podczas zakładania konta lub wtedy, kiedy zdecydujemy się podnieść poziom jego zabezpieczenia.
Passkey, to tak naprawdę unikalna para kluczy, gdzie ten prywatny zapisywany jest bezpiecznie w przestrzeni należącej do użytkownika, a publiczny pozostaje w aplikacji lub serwisie, w którym użytkownik będzie się uwierzytelniać. W momencie wyboru logowania kluczem dostępu, to właśnie ten serwis wyśle krótką, losową wiadomość, którą następnie nasz „uwierzytelniacz” podpisze kluczem prywatnym i odeśle z powrotem. Klucz publiczny ma taką właściwość, że może jednoznacznie zweryfikować ten podpis i tym samym potwierdzić tożsamość logującego. Co ważne ‒ cały ten proces dzieje się w tle, a działania wykonują algorytmy. Aktywność użytkownika ogranicza się jedynie do odblokowania klucza prywatnego poprzez biometrię (lub inny sposób), który wykorzystujemy codziennie do odblokowania telefonu lub komputera.
Na konferencji KIKE Beata Kwiatkowska wskazywała, że zarówno rozporządzenie DORA (Digital Operational Resilience Act), jak i NIS2 (unijna dyrektywa dotycząca bezpieczeństwa sieci i informacji) w sposób dość jednoznaczny wskazują na konieczność wdrożenia silnych mechanizmów uwierzytelniania ‒ takich jak MFA ‒ jako podstawowego środka zarządzania ryzykiem w cyberbezpieczeństwie.
Podczas panelu dyskusyjnego „Cyberbezpieczeństwo czy biurokracja. „Jak nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa zmieni branżę telekomunikacyjną”, który się odbył na konferencji KIKE, Kinga Pawłowska-Nojszewska, radca prawny z Kancelarii Prawnej Media, zwróciła uwagę, że choć nie znamy jeszcze finalnej wersji tego aktu prawnego, który gruncie polskim ma implementować dyrektywę NIS2, przedsiębiorstwa już dziś powinny zacząć wdrażać dobre praktyki w zakresie cyberhigieny. Do takich na pewno należy uwierzytelnianie MFA.
Warto zaznaczyć, że MFA w nowoczesnym wydaniu, opartym o passkeys i standardy FIDO2, nie tylko spełnia wymagania regulatorów, ale także upraszcza codzienną obsługę i znacząco ogranicza ryzyko związane z błędami ludzkimi. Organizacje, które wdrażają te rozwiązania już teraz, budują odporność operacyjną zgodną z DORA i NIS2, a przy tym przygotowują się na wejście w życie krajowych przepisów – bez konieczności nerwowego reagowania na zmiany legislacyjne.
W 2024 roku Advatech nawiązał partnerstwo z Secfense, osiągajac status certyfikowanego partnera. Secfense umożliwi klientom Advatech łatwą integrację MFA we wszystkich aplikacjach internetowych i VPN dla wszystkich użytkowników. Jeśli Twoja organizacja rozważa wprowadzenie silnego uwierzytelniania i chce uniknąć kosztownych zmian w aplikacjach, skontaktuj się z ekspertami Secfense i Advatech.
Śledź również social media Secfense aby zobaczyć wystąpienie z EIC 2025 w Berlinie 6-9 maja, na którym firma zaprezentuje jak wdrożyć passkeys w dużej organizacji. 
