Ochrana heslom pri prihlásení dnes už nestačí, tvrdí expert na kyberbezpečnosť

Vystúpili ste v novembri rámci FTRNW Conference, pred ktorou vás odpromovali s apelom na ľudí – ste si istí, že heslo, ktorým ste sa registrovali na konferenciu je dostatočne bezpečné? Aké sú teda najčastejšie chyby ľudí pri vymýšľaní hesiel?

Koncept prihlasovacieho mena a hesla je skoro taký starý ako práca počítačom. Nápady, ktoré však fungovali predtým, teraz už nefungujú. Niektoré portály nie sú dostatočne bezpečné, lebo organizácie, ktoré stoja za nimi neprijímajú na seba dostatočné bezpečnostné opatrenia. To je jeden z najčastejších problémov. Ľudia používajú jednoduché heslá dookola, lebo je to ľahké na zapamätanie. Preto sa vyvinul systém manažmentu hesiel, ktorý funguje už okolo desať rokov. Nie je to ťažké na používanie, stiahnete si aplikáciu a môžete do nej zadávať rôzne heslá. Sám tam mám heslá, ktoré sa skladajú z 20 znakov, čo je ťažko uhádnuť a každé heslo je tiež odlišné. Pre mňa je jediná úloha si zapamätať heslo do systému, a to je jedno.

Takže je to bezpečnejšie.

Áno, síce používam jednu emailovú adresu, ale prihlasovanie mám rôzne. Mám rôzne banky, stránky, spravodajské portály, ktoré navštevujem, na ktorých si musím vytvoriť profil. Takže keď mám jedno heslo na Google, iné už mám do banky.

Je tu teda otázka, prečo napríklad organizátori konferencií alebo iné portály sami neuvádzajú informáciu, aby sme si dali pozor na silu nášho hesla, aby sme boli dostatočne chránení?

Zlepšuje sa to a je viacero portálov, ktoré pri prihlasovaní zverejnia informáciu s tým, aby ste nepoužívali to isté heslo. Problém je však v tom, o čom som viedol aj debaty s viacerými bankami v USA, že žiadna z nich nevyzýva ľudí k tomu, aby si svoje heslo menili. Naopak v Izraeli, regulátor, ktorý stojí nad bankami, banky núti, aby si heslo menili každých 90 dní. Niekto môže argumentovať, že výzva na zmenu hesla je dobrá stratégia, ale keď ho i tak zmeníte na slabé heslo, nie je to vôbec nápomocné. Treba preto ľudí nútiť, aby si vymýšľali komplikované heslá. Preto je silné heslo, aj bez toho, aby sme ho často menili, ten lepší variant. Navyše, treba sa aj neskôr uistiť, že ste skutočne ten, kto by ste podľa prihlasovania mali byť. Takže do hry prichádza biometrika. Dá sa vďaka nej veľa vecí odčítať, či som ľavák alebo pravák, akou silou držím telefón, plynulosť a istá familiárnosť v tom, ako používam aplikácie… To sa dá len veľmi ťažko napodobniť. Keby ste vy teraz chytili môj telefón a začali ho ovládať, moja banka by mala hneď zistiť, že to nie som ja. Sú teda už v súčasnosti nástroje, ktoré idú ešte za ochranu heslom.

zdroj: FTRNW Conference

Realizovali sa viaceré výskumy, ktoré ukázali, že veľa ľudí nepoužíva žiadnu ochranu svojho telefónu zo spiaceho módu ako PIN či odomknutie vzorom alebo otlačkom. Prečo?

Je za tým viacero dôvodov. Telefón máme stále pri sebe, a preto sa cítime, že máme nad ním kontrolu. Niektorí sa o ne aj starajú, naopak iní ich zvyknú zabúdať v taxíku či autobuse. Ľudia chápu telefón ako istú extenziu – keď ho nemajú, sú mimo siete, nie sú na Facebooku, nemôžu sa venovať závislostiam, ktoré majú… Preto si hovoria, že keď ho majú stále pri sebe, nepotrebujú už ochranu navyše. Používať však na ochranu odtlačok prsta je úplne jednoduché a zároveň bezpečné.

Patríte k jedným z inovátorov v oblasti behaviorálnej biometriky. Ľudia zvyknú mať stereotypy, že sa obávajú o svoje osobné dáta, prečo majú obavy z biometriky, otlačkov prstov… Majú domnienku, že je to zlé, že je to časť z nich a nie iba obyčajné prázdne heslo. Je tento strach opodstatnený?

Kybernetickej bezpečnosti venujem skutočne dlho a pred rokmi, keď som pracoval v USA som chcel predstaviť technológiu odtlačkov prstov, aby zabezpečila na univerzitách bezpečnosť. Odmietnutie však prišlo zo strany fakulty, ktorá mala argument, že nechcú využívať odtlačky prstov, lebo ich využíva aj polícia! Myslím si, že psychologicky sa biometrika spája hlavne s policajnými aktivitami, aby rýchlo identifikovali potenciálnych kriminálnikov. Pričom tu máme internet a s ním informácie či fotografie, ktoré na ňom zdieľate… To sú veci, ktoré vedia korporácie, nie iba polícia. To sú veci, ktoré si mnohí neuvedomujú. Behaviorálna biometrika navyše nie je permanentná na rozdiel od odtlačku prsta. Ako používam počítač, ako silno stláčam klávesy… Mení sa to, vzťahuje sa na určité zariadenia či aplikácie. Keby som mal napríklad väčší či menší telefón, aj biometrika sa zmení, keďže priestor a metriky sú iné. Všetko sa teda musí sledovať.

zdroj: FTRNW Conference

Ktoré argumenty by ste použili, aby ste presvedčili našich starých rodičov prípadne rodičov, ktorí nie sú tak otvorení  technológii a je im ťažké vôbec vysvetliť, ako súčasná technológie pracujú.

Aj moji rodičia sú presne takí, nevyberajú si peniaze z bankomatu, ale radšej idú priamo do banky. 35 rokov pritom existujú bankomaty! Nikdy som to nechápal, až kým neprišli sociálne médiá. Ja som zástanca emailu, a keď chce niekto so mnou riešiť prácu pomocou „nových“ aplikácií, odkážem ho stále tam. Nemyslím si však, že je to taký problém a skôr by sme sa mali zameriavať na tú mladšiu generáciu. Opäť. zoberte si sociálne médiá a obrázky, ktoré tam dávate. Výskum v Nemecku sa vlani zaoberal tým, že zobral obrázky z týchto médií, rovnako z pornografických portálov a porovnával ich, aby identifikoval nahraté obrázky a prípadne našiel zhodu. Poukazoval tým aj na problém autorských práv, aby si ľudia boli vedomí, že ich fotky sa nahratím na internet bez potrebného zabezpečenia môžu ocitnúť hocikde.

Týka sa to iba internetu?

Nie, napríklad na letisku sú všade kamery, ktoré zbierajú dáta. Čo s nimi robia? Zase tú máme argument polície. Ale môže sa to aj zneužiť, napríklad v krajinách, kde je niekto natoľko pri moci, aby zistil, či mu niekto neškodí alebo ho niekto neohrozuje. Všetky technológie sa môžu nejakým spôsobom pokaziť. Je o tom aj debata fake news. Natočia nejakého CEO a následne mu zmenia to, čo povedal, čo tak môže ovplyvniť nielen spoločnosť, ale celý trh. Sú to veľmi nebezpečné nápady. Treba preto ľuďom, ktorým pracujú technológiou ukazovať, že sa dajú ľahko zneužiť. Je to aj otázka GDPR, vysvetliť aj organizáciám a vládam, kto tie dáta vlastne vlastní, ale to je tiež ešte na začiatku.

Veľa spoločností si myslí, aj pri súčasnom fokuse na GDPR, že sa ich ochrana dát až tak netýka, nie sú zaujímaví, aby ich niekto hackol a dáta zneužil. Je vôbec nejaká oblasť v spoločnosti, ktorá si môže povedať, že jej dáta sú bezpečné alebo bezpečnejšie než niekoho iného?

Aj pizza obchod má dáta… Na veľkosti nezáleží. Každá spoločnosť by si mala byť vedomá toho, že pracuje s dátami a následne k tomu tak pristupovať. Je to dôležité. Všetko môže byť ukradnuté a každý je vystavený riziku. Je to tiež vec istého vývoja. Pre menšie spoločnosti to môže byť potom koniec ich biznisu.

zdroj: FTRNW Conference

Na Slovensku sme mali problém, keď sa študentom podarilo hacknúť heslo nášho Národného bezpečnostného úradu, ktoré bolo skutočne jednoduché napriek inštitúcii, ktorá to je. Vy pochádzate z Izraela, ktorý je líder v kybernetickej bezpečnosti, pracujete aj s austrálskou firmou. Ktoré krajiny si držia prvenstvo v tejto oblasti?

Najprv, čo ste spomenuli. Nie je to prípad iba Slovenska. Napríklad v USA banka Capitol One ohrozila dáta pre to, lebo niekto z technických pracovníkov nespravil správnu konfiguráciu a nenastavil poriadne bezpečnosť. Je to ľudské. Môže sa to stať skutočne všade. A čo sa týka lídrov v tejto oblasti, tak určite k nim patrí USA či Izrael so svojimi startupmi, ktoré sú veľmi inovátorské. Viaceré aj európske spoločnosti sa stretávajú s izraelskými zástupcami, aby pochopili, že nemajú iba vyvíjať svoje bezpečnostné kapacity, ale je to aj o vytváraní celej kultúry ohľadom bezpečnosti. Žijeme však v zložitom svete a prvom rade sa na to musia zamerať vlády. Treba ľuďom vysvetliť, čo sa stane, ak to nebudú brať do úvahy. Kybernetická bezpečnosť však dlhé roky nebola prioritou, našťastie sa to však deje dnes. A to aj na národnej úrovni a hlavy štáty si to uvedomujú. K ďalším prioritám patrí umelá inteligencie a kvantové výpočty. Týmto trom veciam sa krajiny musia venovať, aby sme ako ľudstvo napredovali.

Na ktorých produktoch v súčasnosti pracujete?

Kybernetická bezpečnosť bola dlho doména, v ktorej ste mohli byť expertom, teraz má však už viacero podskupín. Obrázky, video, kamery… Ja sa hlavne venujem obrazovému materiálu a hľadám inovácie. Pozerám sa dopredu, kde sú medzery, čo chýba… Nikdy som nemal rád oblasť súkromnej sféry, ale v súčasnosti je to veľmi dôležité. Sledujem zariadenia a každé má v sebe veľa technológií. Napríklad, ako viem, že niekto niečo nedal do čipu alebo softvéru, ktorý som kúpil? Celý dodávateľský reťazec je veľmi komplikovaný. Venujem sa technológii, ktorá by ochránila všetko, čo je napojené na internet, no predtým sa s bezpečnosťou nespájala. Je tam ešte veľa nedostatkov.

Pred vyše rokom som mala rozhovor s ľudským kyborgom, Kevinom Warwickom, ktorý časti svojho tela prepojil s počítačom a ovládal ho na diaľku, a tiež si dal implementovať čip do ruky, vďaka ktorému otvára dvere bez potreby, aby mal nejakú kartičku. Aká je vaša predstava budúcnosti, budú tam takéto vymoženosti?

Roky sme sa rozprávali o istej konvergencii ľudského tela a bezpečnostných rizikách s tým spojenými. Prebieha napríklad výskum ohľadom kardiostimulátora. Doktor vie v ňom spraviť zmeny bez toho, aby ste prišli osobne a nechali si ho vybrať. Keď sa však kardiostimulátory navrhovali, neboli za tým tímy, ktoré by identifikovali, že tieto zariadenia môžu byť zneužité a ako. Vôbec nad bezpečnosťou neuvažovali. Je super vidieť ľudí, ktorí inovujú, robia naše životy jednoduchšími… Problém je však v tom, že inžinieri nie sú trénovaní na to, aby vyvíjali veci, ktoré sú aj bezpečné. Etika vo výrobe vo veľa oblastiach ešte chýba, ako pri vývoji softvéru, technológie sú niekedy lacné aj na vyrobenie. Keď sa na to však nemyslelo pri vývoji, pri používaní môžu nastať problém.

zdroj: FTRNW Conference

V čom napríklad?

Hovoríme opäť o biometrike. Kamera vás rozlíši a otvorí vám bez nejakého pinu – sú to všetko super nápady, ale sú skutočne bezpečné? Aj volenie by tak bolo skvelé nastaviť, ale teraz ešte našim systémom neveríme. Zlepšenie sluchu, zraku, implantáty… Všetko existuje, máme biologické technológie. Ale keď sa zapnú cez wifi, kto zabezpečí, že budú bezpečné? Dúfajme, že ľudia, ktorí s nimi pracujú nie sú takí nebezpeční, ale treba byť na to pripravení. Aj investori, aj trh. Nedávno sa zistilo, že viac ako 90 percent výkonných pracovníkov by zaplatili o asi 20 percent viac, ak by produkt vyhovoval bezpečnostným štandardom, ktoré boli už zapojené do jeho vývoja. To je obrovské zmeny, ktoré potrebujeme vidieť. Aby dizajnéri navrhovali veci, ktoré aj budú bezpečné.