James Bond – wraz z całą organizacją MI6, do której należy – pokazuje, że o ile świetnie zna się na zabijaniu, niekoniecznie czuje się biegły w kwestiach… cyberbezpieczeństwa. Jak bardzo źle jest jednak faktycznie z najbardziej znanym bohaterem szpiegowskiej sagi, jeśli chodzi o komputerową higienę?

Agent 007 znany jest z tego, że potrafi wyjść cało z praktycznie każdej opresji. Zwiedził cały świat, od Las Vegas po Krym. I mimo tego, że chyba nikt nie może mierzyć się z nim w kwestii zawartości CV i zdobytego doświadczenia, okazuje się, że w kwestiach cyfrowych – może i bardziej przyziemnych – takich jak podstawy cyberbezpieczeństwa, sprawy mogą wyglądać nieco inaczej. Poniżej prezentujemy listę zdarzeń i sytuacji, w których James Bond mógłby nieco popracować nad znajomością Internetowego elementarza.

Niski poziom bezpieczeństwa używanych haseł

W jednym z filmów James Bond, musząc ustanowić hasło dostępu, decyduje się wybrać na nie imię swojej koleżanki, z którą łączą go nieco bliższe relacje – Vesper. Niestety, agent 007 nie popisuje się tutaj zbyt dużą wiedzą na temat cyberbezpieczeństwa. Zamiast łatwego do odgadnięcia imienia, i to osoby ze swojego otoczenia, powinien był użyć silnego, niepowtarzalnego hasła.

Silne hasło to takie, które jest jak najtrudniejsze do odgadnięcia i odwzorowania. Powinno zawierać kombinację dużych i małych liter, cyfr i symboli specjalnych. Powinno także nie zawierać w sobie realnie istniejących słów, wyrażeń lub łatwych do odgadnięcia informacji, takich jak daty urodzin, rocznic czy właśnie imion! Niepowtarzalne hasło to takie, którego po prostu nie użyto nigdzie indziej. Ma to na celu ograniczenie dostępu, jaki haker może uzyskać łamiąc pojedyncze hasło – jeśli każda usługa jest zabezpieczona innym hasłem, czas wymagany na przeprowadzenie ataku hakerskiego ulega znacznemu wydłużeniu.

Niestety, korzystając wyłącznie z silnych i niepowtarzalnych haseł łatwo jest się w nich pogubić. Z tego względu warto rozważyć korzystanie z menedżera haseł, który może przechowywać je za nas. Jak pokazują jednak filmy o agencie 007, James Bond nie zawraca sobie głowy taki trywializmami.

Wycieki danych

Dysk twardy przechowywany w Stambule

Inną sytuacją, która ukazuje kiepskie praktyki związane z bezpieczeństwem cybernetycznym w MI6, jest moment, w którym nieznany przestępca wykrada dysk twardy mający zawierać tożsamość każdego zaangażowanego w rozpracowywanie organizacji terrorystycznych agenta NATO na całym świecie.

Już sam pomysł stworzenia takiego nośnika danych jest bez dwóch zdań najsłabszym ogniwem zabezpieczeń organizacji. A jak powszechnie wiadomo, cyberzabezpieczenia są tak silne, jak silne jest ich najsłabsze ogniwo. Co więcej, transfer tak wrażliwych plików powinien zawsze odbywać się za pomocą zaszyfrowanego tunelu, jaki tworzy na przykład #1 VPN, aby uniemożliwić ich przechwycenie. Dlatego więc dziwić powinien fakt, iż tak ważny dysk znajduje się w kryjówce w Stambule, do której MI6 ewidentnie nie ma łatwego dostępu, a do tego chroni ją niewystarczająco liczny personel – zaledwie kilku agentów. Taka ochrona kluczowych aktywów to wręcz proszenie się o wyciek danych, do którego z resztą ostatecznie dochodzi.

Źle zabezpieczone tajne informacje

Następny wyciek danych, który ma miejsce w sadze filmów o agencie 007, to kradzież informacji odnośnie projektu o pseudonimie Herkules – broni biologicznej złożonej z nanobotów, które mają zabijać tylko określone osoby na podstawie rozpoznawania ich DNA. Problemy zaczynają się w momencie, w którym autor projektu kopiuje tajne pliki na pamięć flash i… połyka ją. Następnie napastnicy pochodzący z innej organizacji włamują się do laboratorium rzeczonego naukowca, z którego wykradają nanoboty i porywają samego badacza. Voilà, kolejny wyciek danych w niechlubnym dorobku MI6.

I tutaj natrafiamy na podstawowy problem w tym kontekście – jak to się stało, że taki gigant, jak MI6, który ma zapewnić bezpieczeństwo całego Państwa, nie potrafi nawet dobrze zadbać o bezpieczeństwo swoich własnych danych?

By zapobiec tego typu sytuacjom w rzeczywistym świecie, regularnie przeprowadzane są specjalne audyty lub raporty, ukierunkowane tylko i wyłącznie na kwestie związane z cyberbezpieczeństwem, by zawczasu identyfikować wszelkie luki w ochronie danych – w tym i te potencjalne. Takie audyty pozwalają weryfikować stan bezpieczeństwa całej organizacji oraz pomagają ocenić skuteczność stosowanych polityk bezpieczeństwa. I choć najczęściej korzystają one nawet z różnego rodzaju testów penetracyjnych czy nawet całych symulacji cyberataków, w przypadku dysku ze Stambułu, prawdopodobnie wystarczyłoby jedno z pierwszych pytań z podstawowego kwestionariusza takiego audytu.

Atak cyberterrorystyczny na MI6

Inną sytuacją, która stawia pod znakiem zapytania znajomość abecadła cyberbezpieczeństwa wśród agentów MI6, jest moment, w którym haker przeprowadza atak i usiłuje uzyskać dostęp do skradzionego dysku, który ma być częścią komputera osobistego M. W obliczu tego zagrożenia, chcąc ochronić dane przed wpadnięciem w niepowołane ręce, bohaterowie filmu próbują pospiesznie wyłączyć urządzenie będące celem ataku. Złoczyńcy ubiegają ich jednak i wysadzają w powietrze cały budynek.

Dopiero przeprowadzone później śledztwo rzuca więcej światła na całą sprawę – hakerzy włamali się do systemów kontrolujących cały kompleks, po czym samodzielnie zablokowali stworzone z myślą o takich sytuacjach protokoły bezpieczeństwa, a następnie wypełnili budynek gazem. Zanim jednak do tego doszło, udało im się przejąć pliki M, wliczając w to jej kalendarz i specjalne kody, za pomocą których mogli odszyfrować skradziony dysk.

By to wszystko miało jednak miejsce, zarówno urządzenie należące do M, jak i cały system komputerowy MI6, musiały znajdować się w tej samej sieci. Ewidentnie oznacza to, że agencja wywiadowcza ma problemy z segmentacją sieci. To kolejna kwestia związana z cyberbezpieczeństwem, na której zaniedbywanie nie może sobie dziś pozwolić żadna prywatna firma, a co dopiero organizacja, której najważniejszym – i jedynym – zadaniem jest ochrona bezpieczeństwa całego państwa!

ABC cyberbezpieczeństwa trudniejsze od uzyskania licencji na zabijanie?

Na podstawie tych kliku niechlubnych momentów łatwo dojść do wniosku, że łatwiej jest zabijać ludzi niż dbać o bezpieczeństwo swoich danych i urządzeń.

Oczywiście, filmy o Jamesie Bondzie to tylko kinowa fikcja, więc tego typu rzeczy należy traktować z przymrużeniem oka i ewentualnych problemów szukać nie w postaci agenta 007, ale raczej w opieszałości lub po prostu w cybernetycznej niewiedzy scenarzystów. I choć niesławny monolog Q w Skyfall podczas hakowania komputera Silvy zdaje się potwierdzać to drugie, nie można odmówić im pomysłowości, z jaką wplatają skomplikowane meandry współczesnego, cybernetycznego życia w filmową rzeczywistość.

artykuł sponsorowany