Zdaniem Beaty Kwiatkowskiej w dobie powszechnej pracy hybrydowej i migracji zasobów do chmury tradycyjne metody ochrony, oparte na zabezpieczaniu firmowej sieci, przestały być wystarczające.

Najlepiej - jej zdaniem - sprawdzają się metody weryfikacji tożsamości pracownika oparte na kryptografii, takie jak specjalne klucze sprzętowe. Wyglądem i sposobem użycia przypominają one pendrive'y.

Jak wskazała ekspertka, kolejną nowoczesną metodą są tzw. passkeys, czyli klucze dostępu. Wykorzystują one mechanizmy biometryczne w telefonach lub komputerach, np. czytnik linii papilarnych czy rozpoznawanie twarzy, co eliminuje konieczność wpisywania i zapamiętywania haseł.

„Dziś pracownik łączy się z krytycznymi danymi z kawiarni, z domu czy z pociągu, często z prywatnych urządzeń. Dlatego obecnie, aby mówić o cyberodporności organizacji, należy przyjąć zasadę, że tożsamość użytkownika stała się nowym brzegiem sieci i kluczowym punktem ochrony” - podkreśliła ekspertka w komentarzu udzielonym PAP.

Zaznaczyła, że zdecydowana większość współczesnych wycieków danych nie jest wynikiem skomplikowanego przełamywania zabezpieczeń technicznych przez cyberprzestępcę. Do wycieków dochodzi najczęściej poprzez przejęcie poświadczeń pracownika, czyli loginu i hasła - oceniła. „Hakerzy rzadko muszą forsować cyfrowe bramy. Oni po prostu otwierają je kluczem, który nieświadomie wręczył im użytkownik, np. wpisując hasło na fałszywej stronie logowania, przygotowanej przez przestępców” – wyjaśniła Kwiatkowska.

W związku z tym najważniejszą praktyką, którą - jej zdaniem - powinna wdrożyć każda firma, jest silne uwierzytelnianie wieloskładnikowe (inaczej MFA, z ang. Multi-Factor Authentication - PAP). „Należy jednak pamiętać, że MFA ewoluuje” – podkreśliła ekspertka. Jak wskazała, popularne kody SMS czy przepisywanie cyfr z aplikacji nie są już uważane za najbezpieczniejsze formy zabezpieczeń.

„Wystarczy chwila nieuwagi lub stresu, by pracownik nieświadomie przepisał kod na podstawionej przez oszusta stronie i tym samym przekazał mu dostęp do konta” – zaznaczyła.

„Aby realnie ochronić firmę, należy wdrażać standardy odporne na phishing. Są one realizowane m.in. przez wspomniane klucze sprzętowe lub passkeys, które opierają się na silnej kryptografii” – wskazała ekspertka. Jak tłumaczyła, w tym modelu nawet jeśli pracownik kliknie w złośliwy link, proces logowania nie powiedzie się. Klucz kryptograficzny „rozpozna” bowiem, że domena jest fałszywa i nie przekaże przestępcy danych.

Jak podkreśliła Beata Kwiatkowska, inwestycja w ochronę tożsamości poprzez wdrożenie w firmie metod kryptograficznych „drastycznie redukuje ryzyko wycieku”, ponieważ zamyka najpopularniejszą drogę ataku.

Zastosowanie passkeys ma natomiast jeszcze jedną zaletę: eliminacja haseł upraszcza życie pracownikom - podkreśliła ekspertka. „Bezpieczeństwo staje się wtedy niemal niewidzialne dla użytkownika, a jednocześnie niemożliwe do sforsowania dla atakującego” – dodała.

W 2025 r. zespół CERT Polska zarejestrował blisko 260,8 tys. incydentów cyberbezpieczeństwa dotyczących osób fizycznych, firm i podmiotów publicznych, co stanowi wzrost o 152 proc. w stosunku do 2024 r. W minionym roku doszło do wycieku danych m.in. klientów sklepu babyhit.pl (dane ok. 600 tys. osób), klientów biura podróży Itaka (dane ok. 10 tys. osób), czy z portalu SuperGrosz.pl - podał CERT Polska w raporcie za ub.r.

Monika Blandyna Lewkowicz (PAP)

mbl/ mmu/