Budowanie świadomości na temat cyberbezpieczeństwa – Rola edukacji w popularyzacji szyfrowania
Szyfrowanie to forma kryptografii polegająca na zakodowaniu danych (np. plików, baz danych czy tekstów) w taki sposób, aby stały się nieczytelne dla nieuprawnionego odbiorcy. Informacje tekstowe napisane w zrozumiałym języku, są przekształcane na język zakodowany, w wyniku czego powstaje tekst niezrozumiały, czyli „zaszyfrowany”. Operacja szyfrowania jest odwracalna, ponieważ używając określonych operacji matematycznych, można szyfrogram zmienić w pierwotne dane, czytelne dla człowieka. Ta operacja zwana jest odszyfrowaniem.
Zazwyczaj pierwsze skojarzenie z szyfrowaniem to Enigma, która była jedną z najpopularniejszych i najważniejszych szyfrujących elektromechanicznych maszyn rotorowych, a została wynaleziona przez niemieckiego inżyniera Arthur’a Scherbius’a pod koniec I Wojny Światowej. Największą popularność zyskały jednak dzięki swoim zastosowaniom militarnym. Podczas II Wojny Światowej były używane powszechnie przez Niemcy, będąc głównym narzędziem wykorzystywanym do szyfrowania i deszyfrowania strategicznej komunikacji.
Szyfrowano już w czasach starożytnych, np. stosując szyfr Cezara, który zwany jest też szyfrem przesuwającym i jest to jedna z najprostszych technik szyfrowania, w której każda litera tekstu jawnego (niezaszyfrowanego) zastępowana jest inną, oddaloną od niej o stałą liczbę pozycji w alfabecie, literą. Nazwa pochodzi od Juliusza Cezara, który prawdopodobnie używał tej techniki do komunikacji.
A co ma szyfrowanie do IT?
W czasach eksplozji zastosowań IT szyfrowanie nabrało znaczenia i zrozumienia, a w szczególności w ostatnich kilkunastu latach, głównie z powodu popularyzacji sieci bezprzewodowych i smartfonów z dostępem do Internetu i jednoczesnym wzrostem cyberprzestępczości.
Do samego cyberbezpieczeństwa w XX wieku podchodzono z dużą dozą ignorancji. Dane przechowywane i przesyłane były w sposób jawny, zazwyczaj bez jakichkolwiek zabezpieczeń. Loginy i hasła do systemów przechowywane i przesyłane były w formie niezaszyfrowanej, a więc dostępnej i zrozumiałej dla osób, które nie powinny mieć do nich dostępu.
Nawet dziś pliki na serwerach i na zwykłych komputerach nierzadko nie są zabezpieczane. Pliki przesyłane przez chmurę za pośrednictwem WeTransfer czy Google Drive są zazwyczaj przesyłane w formie jawnej.
Pamiętajmy także, że wysyłając maila, nigdy nie wiemy, na jaki serwer pocztowy on trafi. Nie wiemy kto, ma jaki dostęp do skrzynki pocztowej. Mimo to, że sama komunikacja między serwerami jest zabezpieczona, to jednak wiadomości pocztowe i załączniki przechowywane są w formie jawnej na serwerze.
Kosztowności, biżuterie i pieniądze trzymamy w sejfach, schowkach, natomiast danych, które są walutą XXI wieku, najczęściej nie chronimy. Przestępca kradnący wartościowe materialne rzeczy pokonać musi drzwi, okna, zamki, mury i fizycznie być w miejscu przestępstwa, zaś cyberkryminalista może działać anonimowo z drugiego krańca świata, opalając się na tropikalnej plaży, popijając kolorowe drinki. Cyberprzestępstw nie widać, ale mają miejsce i dlatego są takie niebezpieczne.
Dlaczego dane są łakomym kąskiem?
Dane Twojej karty kredytowej, loginy i hasła do systemów bankowych mogą posłużyć do kradzieży środków finansowych. Dane logowania do serwisów społecznościowych i czatów mogą służyć do przejęcia Twojej tożsamości, publikacji w Twoim imieniu postów, albo podszycia się pod Ciebie w rozmowie na komunikatorze i np. poproszenie kogoś o przelew czy zrobienie czegoś nierozsądnego w kwestii finansowej.
Dokumenty takie jak zeznania podatkowe, umowy, wyniki badań medycznych, korespondencja czy nawet zdjęcia mogą być użyte w sposób niosący szkody finansowe, wizerunkowe czy być podstawą szantażu.
Dane firmowe jeszcze bardziej cenne
Dane dotyczące kontraktów, ofert, umów, sprawozdania finansowe, dane osobowe pracowników, dane klientów, wyniki prac badawczo rozwojowych, dokumentacja techniczna, plany infrastruktury krytycznej – wszystko to jest łakomym kąskiem dla konkurencji, służb wywiadowczych innych państw czy wręcz terrorystów.
Kradzież przez przestępców ofert czy umów może spowodować przegrywanie postępowań zakupowych czy przetargowych, odejście klientów, spadek przychodów. Kradzież sprawozdań finansowych może mieć wpływ na manipulacje np. kursami akcji. Kradzież dokumentacji technicznej to wielu przypadkach utrata przewagi konkurencyjnej i nakładów poniesionych na badania i rozwój.
Wyciek danych osobowych czy dotyczących klientów może spowodować ich odejście, narazić organizację na procesy sądowe, nałożenie kar finansowych przez regulatorów, czy wręcz narazić na odpowiedzialność karną.
Szyfrowanie ostateczną metodą
Szyfrowanie jest „ostatnią linią obrony” przed hakerami. Nawet jeśli uda im się pozyskać dane do logowania do systemu, przedrzeć przez zaporę sieciową, jeśli będą mieli dostęp do danych zaszyfrowanych, zazwyczaj będą one dla nich nieprzydatne.
Ale pamiętajmy, że szyfrowanie szyfrowaniu nie jest równe, oprócz siły algorytmów szyfrujących i haseł, najważniejszą kwestią pozostaje to, kto ma dostęp do kluczy deszyfrujących, ale to już temat na kolejny artykuł.
Edukacja a szyfrowanie
Najważniejszą sprawą jest zrozumienie, jakie konsekwencje może przynieść dla nas osobiście, jak i w obszarze zawodowym ujawnienie danych. W jaki sposób ktoś o złych intencjach może je wykorzystać. W jaki sposób może je wykorzystać konkurencja, obcy wywiad czy przestępcy. Co może się stać, gdy zostaną one ujawnione nawet przez przypadek i nieumyślne działanie nasze, czy pracowników danej organizacji. Świadomość cyberzagrożeń to podstawa w edukacji w tym obszarze. Stwierdzenie „mnie to nie dotyczy, nie mam ważnych danych” w każdym przypadku nie jest prawdą. To jedynie oznaka ignorancji. A ignorancja może drogo kosztować.