Jak działa Wasz produkt i w czym tkwi innowacyjność Waszych rozwiązań zabezpieczeń przed cyberatakami?
Secfense to jeden produkt, a raczej technologia: User Access Security Broker. Nasze rozwiązanie ma funkcjonalności skoncentrowane wokół bezpieczeństwa użytkowników aplikacji i procesu bezpiecznego logowania. Przykład mogą stanowić mikroautoryzacje, czyli możliwość wymuszenia kolejnych etapów potwierdzenia tożsamości podczas dostępu do wyjątkowo wrażliwych danych. Co istotne, wszystkie te funkcjonalności znajdują się wewnątrz podstawowego rozwiązania – brokera bezpieczeństwa Secfense.
Dla naszych klientów najważniejszą zaletą jest bezinwazyjne wdrożenie produktu. Samo w sobie MFA, czyli wieloskładnikowe uwierzytelnianie nie jest dziś już żadnym przełomem. Współczesne MFA, takie jak oparta na standardzie FIDO biometria czy klucze U2F również wdrażane są już samodzielnie przez wiele firm. Ostatnio na przykład głośno było o wdrożeniu kluczy U2F dla klientów w jednym z polskich banków.
Będziecie szkolić się u Google, gratulacje! Co Waszym zdaniem zdecydowało o tym, że dostaliście się do programu?
Po pierwsze, cybersecurity to jedna z niewielu branż, która nie ucierpiała ze względu na ostatnie kryzysy. Przeciwnie, znaczenie cybersecurity rośnie z roku na rok. Dowodem na to jest wizyta szefa bezpieczeństwa Google w Europie i Polsce, założenie przez Google programu dla startupów z nastawieniem wyłącznie na cybersecurity (w poprzednich latach były to branże ogólne, pierwszy raz w tym roku pojawiła się właśnie cybersecurity). Zainteresowanie tym tematem rośnie i będzie tylko jeszcze większe.
Jeśli przyjrzymy się jakimkolwiek dziesięciu ostatnim większym atakom, to przekonamy się, że u ich podstaw zawsze leżą wykradzione hasła lub kliknięcie w fałszywy link czy zalogowania na fałszywej stronie. Dzięki naszej technologii można szybko i prosto wyeliminować ataki wykorzystujące phishing. Myślę, że właśnie ten aspekt zaważył na tym, że jako jedyna firma z Polski zakwalifikowaliśmy się do programu.
A oprócz tego uważam, że nasze rozwiązanie zostało dostrzeżone też dlatego, że jego działanie i wartość dla biznesu jest łatwa do wytłumaczenia i pokazania. Już po naszym “elevator pitch”, każdy specjalista ds. cybersecurity wiedział, jakie są jego zalety, i co wnosi w zakresie ochrony użytkownika.
Kto i kiedy założył Secfense?
Firmę założyłem wspólnie z Marcinem Szarym w 2018 roku, ale oboje od ponad piętnastu lat koncentrujemy się na rozwiązaniach cyberbezpieczeństwa dla firm, z naciskiem na bezpieczeństwo i zarządzanie tożsamością. Razem opracowaliśmy technologię User Access Security Broker, która pomaga organizacjom w odejściu od haseł i zastąpieniu ich bezhasłowym uwierzytelnianiem, opartym na podejściu Zero Trust.
Jak rozwijała się Wasza firma od momentu założenia w 2018 roku? To już prawie sześć lat działalności, pewnie sporo się w tym czasie zmieniło?
Secfense działa w branży cyberbezpieczeństwa od 2018 roku. Debiut rynkowy technologii mogli obserwować na żywo uczestnicy Finovate, jednej z najważniejszych konferencji poświęconych innowacyjnym technologiom w finansach. Niedługo później firma rozpoczęła współpracę z partnerami handlowymi i technologicznymi. Równocześnie intensywnie rozwijaliśmy swoje rozwiązanie, wprowadzając nowy standard uwierzytelniania internetowego znany również, jako FIDO2 / WebAuthn.
Napędem rozwoju Secfense było wymuszone przez pandemię przejście wielu firm na pracę zdalną, które zbudowało potrzebę jeszcze lepszego zabezpieczania dostępu pracowników do zasobów organizacji z dowolnego miejsca na świecie.
Technologię, dającą nadzieję na łatwe, szybkie i nieingerujące w infrastrukturę zabezpieczanie dostępu do zasobów i kont firmowych, zaczęły dostrzegać najbardziej narażone na ataki branże, m.in. bankowość i ubezpieczenia. 2021 rok zaowocował więc ważną współpracą z Bankiem BNP Paribas Polska.
Jak zamknięta ostatnio sumą 2 milionów dolarów runda z Tera VC, Presto Ventures i RKKVC zmienia Waszą firmę?
Ten krok zdecydowanie ułatwił nam położenie większego nacisku na realizację zagranicznej strategii rozwoju biznesu. Dostaliśmy możliwość współpracy z międzynarodowymi doradcami, mentorami oraz specjalistami, którzy pomagają nam w działaniach poza rodzimym rynkiem.
“80% włamań zaczyna się od przejęcia konta” – mówiliście w czasie EY Talk. Skąd wynika tak duży udział właśnie tego typu cyberataków?
Wektorów ataków jest całe mnóstwo, ale faktycznie 80% to ogromna liczba, w porównaniu do pozostałych 20%. Dlaczego jest tak duża? Bo stoi za nią czynnik ludzki. Wciąż najłatwiej oszukać jest człowieka, a dzięki chatGPT, midjourney i pojawiającym się jak grzyby po deszczu rozwiązaniach AI, będzie to jeszcze prostsze. Za kilka lat, a może nawet miesięcy, nie będziemy w stanie odróżnić zdjęć prawdziwych od tych wygenerowanych przez AI. Dlatego to 80% będzie wzrastać. Człowieka będzie coraz łatwiej oszukać, a maszynę coraz trudniej.
“Skan twarzy, odcisk palca, fizyczny klucz (…) to dzisiaj jedyne sposoby, które są w stanie skutecznie przeszkodzić cyberprzestępcom” – to kolejny cytat z Waszych wypowiedzi. Dlaczego mocne hasła to już za mało?
Pokażę to na przykładzie. Ktoś wymyśla sobie bardzo długie hasło. Powiedzmy “Li2oOjczyzn0M0ja7yJeste!JakZdrowie!” itd. Jeszcze kilka lat temu każdy szkoleniowiec by je pochwalił – długie, zawiera różne znaki, jest łatwe do zapamiętania. I nie byłoby nic w tym złego, gdyby nie fakt, że niezależnie od tego, jakie to hasło będzie, to i tak złodziej może je przejąć. Równie dobrze mogłoby to być “123456”. Dlatego od lat powtarzamy, jak mantrę: hasła są złe i musimy od nich odejść.
Oczywiście to odejście wcale nie jest takie łatwe, poprzez powiązanie z tożsamością użytkowników, bazami danych itp. Dlatego w Secfense pomagamy w tym pierwszym kroku, czyli zabezpieczeniu haseł silnym uwierzytelnianiem MFA, najlepiej z wyborem metody uwierzytelniania odpornej na phishing. I jeśli te hasła muszą w danej firmie pozostać (zawsze mamy nadzieję, że tymczasowo), to niech zostaną, ale niech ich rola będzie marginalna. Do tego stopnia, że wszyscy użytkownicy mogą w sumie ustawić sobie hasło “poniedziałek” albo “password”.
My sprawimy, że rola haseł przy silnym uwierzytelnianiu opartym np. na FIDO, będzie całkowicie zmarginalizowana, a przed atakami chronić będzie MFA. Hasło już od dawna nie jest dla przestępcy żadną barierą.
Czy rozwój narzędzi takich jak chat GPT rzeczywiście zwiększa ogólne zagrożenie cyberprzestępstwami?
Tak, to będzie nagminne. Jestem prawie pewien, że rozwiązania takie, jak ChatGPT są już używane przez cyberprzestępców. A już szczególnie przez takich, którzy nie mają zbyt rozwiniętych umiejętności technicznych. Dla nich to oszczędność pieniędzy i czasu. Atakujący nie muszą kupować lub pisać kodu złośliwego oprogramowania. Teraz przy pomocy inteligencji ChatGPT stworzą go sobie po prostu samodzielnie. Już dziś nawet 15-latek może włączyć ChatGPT i wesprzeć się AI w przygotowaniu kampanii phishingowej. I takie rzeczy już się dzieją.
I choć ChatGPT w założeniu nie powinien dawać odpowiedzi na pytania ze złymi intencjami, to już wiele razy udało się go oszukać. O ironio! Czy nie brzmi to komicznie, kiedy socjotechnika oszukuje sztuczną inteligencję? Może i tak, ale to jest fakt. Dobrze pokazuje to DAN, czyli skrypt rozmowy dla ChatGPT opracowany przez internautów w połowie grudnia zeszłego roku. Skrót pochodzi od słów „Do Anything Now” – „Zrób cokolwiek teraz” i odzwierciedla przeznaczenie skryptu: umożliwienie użytkownikowi wydania ChatGPT dowolnego polecenia, które zostanie wykonane przez chatbota, bez względu na istniejące zabezpieczenia i względy etyczne.
Na co powinny zwrócić uwagę firmy, których pracownicy chcą na co dzień używać generatorów typu chat GPT w swojej pracy? Jak zabezpieczyć się przed ewentualnymi zagrożeniami?
Skłamałbym, jeśli powiedziałbym że mam na to odpowiedź. Jesteśmy na początku ery. Ale na pewno każda firma powinna przykładać ogromną wagę do tego zagadnienia. Firmy nie powinny dopuszczać możliwości szerokiego użycia ChatGPT. W żadnym wypadku nie powinno się wklejać żadnych poufnych danych do ChatuGPT.
Obecnie jesteśmy na początku ery stosowania tej technologii i nie ma jednoznacznej odpowiedzi, jak zabezpieczyć się przed zagrożeniami. Firmy powinny więc uważnie śledzić ten temat i podejmować odpowiednie środki ostrożności.
Jakie są Waszym zdaniem trzy najważniejsze trendy w cyberbezpieczeństwie dla przedsiębiorstw MŚP w 2023 roku?
Trend pierwszy: Sztuczna inteligencja
Nie będę oryginalny, jeśli powiem że jest to AI. Jeśli jednak bym zrobił inaczej, to oznaczałoby, że nie jestem dobrze osadzony w rzeczywistości. Każdy, kto bagatelizuje rolę AI, zwyczajnie błądzi. Kiedy rozmawiam z osobami pochodzącymi z uśmieszkiem do tego, co w ostatnich miesiącach się dzieje, myślę sobie o Johnie Henrym, jednym z bohaterów folkloru amerykańskiego. Jego zadaniem było wbijanie stalowego wiertła w skałę, aby zrobić otwory na materiały wybuchowe, które następnie wysadzały skałę podczas budowy tunelu. Według legendy, wygrał on wyścig z maszyną tylko po to, by umrzeć po tym zwycięstwie z młotkiem w dłoni. Tak jest też dziś z pracownikami i specjalistami, których osoby wykorzystujące AI, pokonają w przedbiegach.
Jak to się ma do cyberbezpieczeństwa? Aspektów, w których AI będzie wykorzystywane są dziesiątki. Jeden podstawowy, o którym już wcześniej trochę wspominałem, to rola AI w jeszcze większym oszukiwaniu naszej świadomości. Szef Google w wywiadzie dla CBS ostrzega, aby społeczeństwo przygotowało się na skutki rozwoju AI. Ostrzegając przed konsekwencjami, Sundar Pichai powiedział, że skala problemów związanych z dezinformacją, fake newsami oraz „deep fejkami” będzie rosnąć. Dodał też, że mogą doprowadzić do wielu szkód. Nie tylko firmy, ale również całe społeczeństwo i rządy państw muszą przygotować się do tego, jak temu wyzwaniu sprostać. Cytując CEO Google “Społeczeństwo musi szybko wdrożyć regulacje, przepisy dotyczące karania nadużyć oraz porozumienia między narodami, aby uczynić AI bezpieczną dla świata”.
Trend drugi: Filizofia Zero Trust
Niezmiernie istotna jest i nadal będzie filozofia bezpieczeństwa Zero Trust, która zakłada kontrolę wszystkiego i wszystkich oraz maksymalne ograniczenie uprawnień użytkowników. Zgodnie z nią, każdy z nich, także ten działający wewnątrz organizacji, jest traktowany jako niezaufany i stanowiący zagrożenie dla sieci. Celem Zero Trust jest zapewnienie bezpieczeństwa poprzez zastosowanie wielu warstw zabezpieczeń, w tym uwierzytelniania, autoryzacji i szyfrowania danych.
Model zero trust jest szczególnie przydatny w czasach, gdy coraz więcej pracowników pracuje zdalnie i korzysta z różnych urządzeń, co zwiększa ryzyko wycieku danych i ataków. Ponadto, w dobie rosnącej liczby ataków hakerskich i zagrożeń cybernetycznych, przedsiębiorstwa coraz częściej szukają sposobów na zwiększenie swojej ochrony i bezpieczeństwa. Model zero trust jest uważany za jedno z najskuteczniejszych rozwiązań w tym zakresie.
Trend trzeci: Silne uwierzytelnianie
Będzie rosła też rola silnego uwierzytelniania. Co ważne, dla przeciętnego użytkownika będzie ona niezauważalna. Sami przecież nie zorientowaliśmy się, w którym momencie przestaliśmy logować się do wielu systemów hasłem, a zamiast niego, zaczęliśmy odblokowywać je, spoglądając w ekran lub przykładając palec do czytnika na telefonie. Ta transformacja będzie postępować. Coraz mniej aplikacji zabezpieczonych będzie hasłem, a coraz więcej biometrycznym uwierzytelnianiem. W Secfense planujemy odegrać istotną rolę w tej transformacji.
W porównaniu z 2022 rokiem, nie ma wyraźnej zmiany w trendach cyberbezpieczeństwa dla przedsiębiorstw MŚP, ale pojawiają się nowe wyzwania, takie jak rosnące zagrożenie cyberatakami hybrydowymi i potrzeba zabezpieczenia danych pracowników pracujących zdalnie.
