Aby realnie ograniczyć ryzyko wycieku danych w firmie, trzeba wdrożyć uwierzytelnianie oparte na kryptografii – m.in. klucze sprzętowe i passkeys – oceniła dla PAP ekspertka cyberbezpieczeństwa Beata Kwiatkowska.
- Ekspertka wskazuje, że w erze pracy hybrydowej i chmury ochrona „brzegu sieci” przesuwa się na tożsamość użytkownika i sposób logowania.
- Najczęstszą przyczyną wycieków danych bywa przejęcie loginu i hasła, dlatego kluczowe jest silne MFA odporne na phishing, a nie kody SMS.
- Klucze sprzętowe i passkeys oparte na kryptografii mają blokować logowanie na fałszywych domenach, redukując ryzyko wycieku i upraszczając pracę bez haseł.
Praca hybrydowa i chmura: dlaczego tożsamość użytkownika stała się „brzegiem sieci”?
Zdaniem Beaty Kwiatkowskiej w dobie powszechnej pracy hybrydowej i migracji zasobów do chmury tradycyjne metody ochrony, oparte na zabezpieczaniu firmowej sieci, przestały być wystarczające.
Najlepiej – jej zdaniem – sprawdzają się metody weryfikacji tożsamości pracownika oparte na kryptografii, takie jak specjalne klucze sprzętowe. Wyglądem i sposobem użycia przypominają one pendrive’y.
Jak wskazała ekspertka, kolejną nowoczesną metodą są tzw. passkeys, czyli klucze dostępu. Wykorzystują one mechanizmy biometryczne w telefonach lub komputerach, np. czytnik linii papilarnych czy rozpoznawanie twarzy, co eliminuje konieczność wpisywania i zapamiętywania haseł.
„Dziś pracownik łączy się z krytycznymi danymi z kawiarni, z domu czy z pociągu, często z prywatnych urządzeń. Dlatego obecnie, aby mówić o cyberodporności organizacji, należy przyjąć zasadę, że tożsamość użytkownika stała się nowym brzegiem sieci i kluczowym punktem ochrony” – podkreśliła ekspertka w komentarzu udzielonym PAP.
Zaznaczyła, że zdecydowana większość współczesnych wycieków danych nie jest wynikiem skomplikowanego przełamywania zabezpieczeń technicznych przez cyberprzestępcę. Do wycieków dochodzi najczęściej poprzez przejęcie poświadczeń pracownika, czyli loginu i hasła – oceniła. „Hakerzy rzadko muszą forsować cyfrowe bramy. Oni po prostu otwierają je kluczem, który nieświadomie wręczył im użytkownik, np. wpisując hasło na fałszywej stronie logowania, przygotowanej przez przestępców” – wyjaśniła Kwiatkowska.
MFA i phishing: dlaczego kody SMS nie wystarczają?
W związku z tym najważniejszą praktyką, którą – jej zdaniem – powinna wdrożyć każda firma, jest silne uwierzytelnianie wieloskładnikowe (inaczej MFA, z ang. Multi-Factor Authentication – PAP). „Należy jednak pamiętać, że MFA ewoluuje” – podkreśliła ekspertka. Jak wskazała, popularne kody SMS czy przepisywanie cyfr z aplikacji nie są już uważane za najbezpieczniejsze formy zabezpieczeń.
„Wystarczy chwila nieuwagi lub stresu, by pracownik nieświadomie przepisał kod na podstawionej przez oszusta stronie i tym samym przekazał mu dostęp do konta” – zaznaczyła.
„Aby realnie ochronić firmę, należy wdrażać standardy odporne na phishing. Są one realizowane m.in. przez wspomniane klucze sprzętowe lub passkeys, które opierają się na silnej kryptografii” – wskazała ekspertka. Jak tłumaczyła, w tym modelu nawet jeśli pracownik kliknie w złośliwy link, proces logowania nie powiedzie się. Klucz kryptograficzny „rozpozna” bowiem, że domena jest fałszywa i nie przekaże przestępcy danych.
Jak podkreśliła Beata Kwiatkowska, inwestycja w ochronę tożsamości poprzez wdrożenie w firmie metod kryptograficznych „drastycznie redukuje ryzyko wycieku”, ponieważ zamyka najpopularniejszą drogę ataku.
Passkeys bez haseł: co zyskują pracownicy i organizacje?
Zastosowanie passkeys ma natomiast jeszcze jedną zaletę: eliminacja haseł upraszcza życie pracownikom – podkreśliła ekspertka. „Bezpieczeństwo staje się wtedy niemal niewidzialne dla użytkownika, a jednocześnie niemożliwe do sforsowania dla atakującego” – dodała.
W 2025 r. zespół CERT Polska zarejestrował blisko 260,8 tys. incydentów cyberbezpieczeństwa dotyczących osób fizycznych, firm i podmiotów publicznych, co stanowi wzrost o 152 proc. w stosunku do 2024 r. W minionym roku doszło do wycieku danych m.in. klientów sklepu babyhit.pl (dane ok. 600 tys. osób), klientów biura podróży Itaka (dane ok. 10 tys. osób), czy z portalu SuperGrosz.pl – podał CERT Polska w raporcie za ub.r.
Wyniki Biznes Fakty:
- Dla pracodawców: Inwestycja w kryptograficzne metody uwierzytelniania, takie jak klucze sprzętowe i passkeys, jest kluczowa dla ograniczenia ryzyka wycieku danych, zamykając najczęstszą drogę ataków poprzez przejęcie poświadczeń.
- Dla pracowników: Eliminacja potrzeby zapamiętywania i wpisywania haseł przy użyciu passkeys znacząco upraszcza codzienną pracę, jednocześnie zwiększając bezpieczeństwo dzięki kryptograficznym zabezpieczeniom odpornym na phishing.
Według danych portalu: www.pulshr.pl