Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Przyszłość uwierzytelniania i wybory technologiczne

15 wrzesień 2023

Przyszłość uwierzytelniania i wybory technologiczne
Tomasz Kowalski

Tomasz Kowalski

W rozmowie z redakcją “Security Magazine” współzałożyciel i CEO Secfense, Tomasz Kowalski, dzieli się swoimi spostrzeżeniami na temat obecnych regulacji unijnych, trendów w zarządzaniu tożsamościami cyfrowymi w Polsce oraz kluczowych praktyk w zakresie zarządzania dostępem. Podkreśla też znaczenie elastyczności w wyborze technologii oraz przewiduje przyszłość uwierzytelniania bezhasłowego.

Jakie są obecnie największe wyzwania w zakresie cyberbezpieczeństwa, z którymi muszą mierzyć się przedsiębiorstwa?

Tomasz Kowalski: Przedsiębiorstwa w Europie mierzą się teraz z nowymi regulacjami unijnymi mającymi na celu zwiększenie poziomu cyberbezpieczeństwa państw członkowskich.

Mówię o rozporządzeniu DORA, które dotyczy sektora finansowego, oraz dyrektywie NIS 2, obejmującej swoim zasięgiem podmioty kluczowe dla funkcjonowania państw, w tym energetykę, transport, opiekę zdrowotną, administrację publiczną, produkcję, bankowość czy zarządzanie usługami ICT.

Czasu na wdrożenie wytycznych dotyczących bezpieczeństwa cybernetycznego jest już niewiele. Warto pamiętać, że za wdrożenie przepisów DORA i NIS 2 odpowiedzialny jest zarząd przedsiębiorstwa. Przed firmami zatem sporo pracy, zwłaszcza że wymogi unijne obejmują szeroki zakres działań – od audytu, po wdrożenie odpowiednich rozwiązań, aż po szkolenia pracowników i podnoszenie ich świadomości.

A jakie trendy w zakresie zarządzania tożsamościami cyfrowymi w Polsce Pan obserwuje?

T.K.: Z dużym zaciekawieniem obserwuję działania dużych instytucji, takich jak banki czy telekomy, których celem jest wyróżnienie się na rynku. To jest trudny sektor, który zwykle konkuruje ceną. Natomiast od niedawna organizacje te postawiły na inne wartości pozwalające im przyciągać do siebie nowych klientów. Wartości takie jak bezpieczeństwo. Media szeroko komentowały wdrożenie przez ING kluczy U2F. To było na pewno kosztowne przedsięwzięcie, bo klucze te są fizycznymi urządzeniami, niemniej zwróciło uwagę mediów i zostało entuzjastycznie przyjęte przez rynek.

W mojej ocenie trend wyróżniania się na tle konkurencji właśnie poprzez podnoszenie bezpieczeństwa konsumentów będzie się nasilać. Świadomość społeczna dotycząca zagrożeń rośnie. Ludzie chcą chronić swoje dane i pieniądze, dlatego na pewno chętniej wybiorą dostawcę usług, który zapewni im wyższy poziom bezpieczeństwa. Nie wykluczam, że niedługo któryś z telekomów zaoferuje swoim klientom zabezpieczenie wszystkich kanałów dostępu do danych uwierzytelnianiem odpornym na phishing. To byłaby zmiana na skalę nie tylko polską, ale i światową.

Jakie praktyki związane z zarządzaniem dostępem do danych uważa Pan za kluczowe dla ochrony przedsiębiorstw przed cyberatakami?

T.K.: Firmy bez wątpienia powinny wykorzystywać uwierzytelnianie odporne na phishing. To oznacza odchodzenie od wciąż popularnych SMS-ów i aplikacji i wdrażanie w ich miejsce FIDO, czyli standardu uwierzytelniania online zastępującego hasła, oraz passkeys, czyli kluczy uniwersalnych. Stare metody 2FA dają tylko fałszywe poczucie bezpieczeństwa. W rzeczywistości średnio zaawansowany intruz jest w stanie rozpracować SMS 2FA za pomocą kilku tutoriali dostępnych na YouTube. Nie mówię tego po to, aby kogokolwiek straszyć. Właśnie nagrywamy webinar z ekspertem cyberbezpieczeństwa Mateuszem Chrobokiem, w którym pokazujemy, jak w 15 minut złamać uwierzytelnianie dwuskładnikowe oparte na SMS-ach. To jest nie tylko możliwe, ale i dość proste do przeprowadzenia.

Całe szczęście tego typu 2FA można szybko zastąpić odpornym na phishing uwierzytelnianiem wieloskładnikowym opartym na biometrii i kryptografii, czyli FIDO. Podczas webinaru również wyjaśniamy, jak to zrobić. W naszych social mediach będziemy informować w najbliższych tygodniach, gdzie można zobaczyć ten materiał.

Jakie rekomendacje mógłby dać Pan firmom, które dopiero zaczynają myśleć o wdrożeniu skomplikowanych systemów zarządzania tożsamościami?

T.K.: Dziś najważniejsza jest elastyczność, stąd firmy powinny szukać takich rozwiązań, które nie zwiążą im rąk. Dostawcy często wprowadzają ograniczenia i blokady, które nie pozwalają w pełni wykorzystać potencjału technologii, którą wdrażają.

Ważne jest zatem wybieranie takich narzędzi, które są wszechstronne i elastyczne, czyli działają i ze starszymi aplikacjami, i z mobilnymi oraz webowymi. Które można szybko i w łatwy sposób modyfikować i rozbudowywać – czyli na bieżąco dostosowywać je do wciąż zmieniających się potrzeb przedsiębiorstwa.

Jakie są najczęstsze błędy, które firmy popełniają w zakresie zarządzania dostępem i jak można ich unikać?

T.K.: Problemem jest to, że przedsiębiorstwa nie poświęcają wystarczająco dużo czasu na znalezienie optymalnych rozwiązań. Na przykład, na rynku narzędzi zapewniających silne uwierzytelnianie są także takie, które pozwalają na kompleksowe wzmocnienie uwierzytelniania w całej firmie – dla wszystkich pracowników i klientów. Są też takie, które pokrywają ten temat tylko częściowo. Brak dokładnego researchu sprawia, że firmy połowicznie rozwiązują swoje problemy lub wybierają technologie, które nie zapewniają najwyższego poziomu ochrony.

Czy Secfense IdP jest odpowiedzią na rosnące potrzeby firm w zakresie zarządzania tożsamościami w złożonych środowiskach IT?

T.K.: Tak, przede wszystkim dlatego że wiele dużych firm korzysta dziś z kilku różnych narzędzi IAM, chociażby ze względu na ich dopasowanie do aplikacji używanych przez pracowników. Np. Microsoft Entra ID (dawniej Azure AD) lepiej integruje się z usługami Microsoft, OneLogin ma silną integrację z Amazon Web Services (AWS) itd.

Migracja tożsamości między poszczególnymi systemami IAM jest jednak problematyczna. Zwykle wiąże się z chaosem organizacyjnym, przeciążeniem działu helpdesk oraz dodatkowymi kosztami. Kosztowne jest też utrzymywanie różnych rozwiązań IAM. Zwłaszcza jeśli dodanie do nich potrzebnej firmie funkcji, np. dostępu warunkowego opartego na ryzyku, wiąże się z zakupem wyższego pakietu, oferującego także wiele funkcjonalności, z których przedsiębiorstwo wcale nie będzie korzystać.

Secfense Identity Provider pozwala rozwiązać ten problem, bo działa jak przełącznik między różnymi systemami IAM i daje firmie pełną kontrolę nad tożsamością. Dzięki niemu to organizacja decyduje, którzy użytkownicy różnych aplikacji są uwierzytelniania w np. Entra ID, a którzy w Okta czy OneLogin. Firma może dowolnie konfigurować ustawienia tożsamości tak, aby przynosiły korzyści biznesowe, oraz samodzielnie decydować, z jakiej usługi IAM będą korzystać poszczególne aplikacje.

Co więcej, Secfense IdP pozwala korzystać z najlepszych funkcjonalności bezpieczeństwa, takich jak dostęp warunkowy, mechanizm wykrywania botów czy biometria behawioralna, bez konieczności modyfikacji dotychczas stosowanych pakietów usług. Umożliwia też wprowadzenie w organizacji uwierzytelniania bezhasłowego opartego na standardzie FIDO.

Idąc dalej zapytam, jaka jest, Pana zdaniem, przyszłość uwierzytelniania bezhasłowego i jakie korzyści może przynieść ono przedsiębiorstwom?

T.K.: Myślę, że od tego nie ma odwrotu, jednak adopcja uwierzytelniania bezhasłowego zajmie więcej czasu, niż pierwotnie przypuszczaliśmy. Tak bywa z nowymi technologiami.

Spójrzmy na sztuczną inteligencję. Jeszcze kilka miesięcy temu baliśmy się, że za chwilę zabierze nam wszystkim pracę. Teraz mało kto tak myśli. AI jest, rozwija się sprawnie, pomaga w różnych zadaniach, ale nie powinniśmy być raczej zmartwieni tym, że za 5 lat zastąpi nas kolejna wersja chata GPT.

Podobnie z passwordless. Kiedy w 2017 pojawił się U2F, a później FIDO, wróżyliśmy w Secfense, że koniec haseł jest bliski. Dziś modyfikujemy nasze prognozy. Wciąż uważamy, że hasła w internecie muszą odejść, z roku na rok są bowiem coraz mniej skuteczne i coraz bardziej uciążliwe. Zmiana ta jednak nie nastąpi od razu. Natomiast nie mam wątpliwości, że firmy, które jako pierwsze przejdą na passwrodless, bardzo szybko będą czerpać z tego korzyści. Nie będą musiały się bowiem zajmować ciągłą walką z cyberprzestępcami, z phishingiem. Dzięki temu zyskają czas i zasoby na inne zadania. Dodatkowo wyróżnią się w oczach klientów, co może okazać się dużą przewagą konkurencyjną.

Jakie są plany rozwoju Secfense w kontekście IdP i jakie nowe funkcjonalności można spodziewać się w najbliższej przyszłości?

T.K.: Rozwiązanie, które oferujemy, czyli broker Secfense, to niewidzialna warstwa między użytkownikiem i aplikacją. Jest to naturalne miejsce dla wzmocnienia bezpieczeństwa, stąd właśnie tu wstawiamy silne i odporne na phishing bezhasłowe uwierzytelnianie.

Jednak jest to również punkt, w którym z powodzeniem można wstawić inne funkcjonalności, dziś na stałe wpisane w przeróżne aplikacje czy infrastrukturę firmy. Docelowo Secfense będzie więc dostarczał różne funkcjonalności z różnych obszarów bezpieczeństwa, wykraczające poza uwierzytelnianie i tożsamość, ale zawsze łatwe do wdrożenia, elastyczne i ułatwiające działanie firmy w coraz bardziej skomplikowanym technologicznie świecie.

Życzę sukcesów i dziękuję za rozmowę.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności