Pozytywne efekty afery e-mailowej. Posłowie otrzymają klucze U2F do uwierzytelniania poczty

Grzegorz Osiecki, Tomasz Żółciak
7 lipca 2021, 06:57 Ten tekst przeczytasz w 3 minuty
Rząd chce pójść w stronę maksymalnego stopnia zabezpieczenia. / Shutterstock

Członkowie rządu i parlamentarzyści dostaną klucze U2F służące do weryfikacji przy logowaniu m.in. do poczty elektronicznej.

Specjalne klucze przypominają klasyczne pendrive’y, a ich cena to od kilkudziesięciu do kilkuset złotych. Posiadacz takiego sprzętu przy logowaniu się na swoją skrzynkę e-mailową czy serwisu internetowego wpierw podaje hasło na stronie, a następnie – w ramach drugiego etapu weryfikacji – musi wpiąć klucz U2F do komputera lub zbliżyć do smartfona. Klucz przeprowadza wszelkie operacje kryptograficzne sam, nie na naszym komputerze, dzięki czemu klucz praktycznie nie może zostać przejęty przez hakerów czy phisherów. Jeśli ktoś nie posiada klucza, to wówczas dwuetapowa weryfikacja odbywa się za pomocą SMS-a.
Rząd jednak chce pójść w stronę maksymalnego stopnia zabezpieczenia. Jak wynika z ustaleń DGP, jeszcze w tym miesiącu rząd ma wszcząć procedurę zakupową kluczy U2F. – Jeszcze rozważamy, czy będzie to zamówienie z wolnej ręki czy przetarg. Klucze dostaną wszyscy członkowie rządu, posłowie i senatorowie – mówi nam osoba z rządu.
– Klucz U2F to rozwiązanie, które pozwala w 100 proc. ochronić użytkownika przed atakiem phishingowym – potwierdza Piotr Konieczny, szef zespołu bezpieczeństwa Niebezpiecznik.pl. – Nawet jeśli atakującemu uda się przekonać użytkownika do wprowadzenia loginu i hasła na fałszywej stronie, a potem do użycia na niej klucza U2F, to nic złego się nie stanie – tłumaczy i wskazuje, że co prawda atakujący przechwyci odpowiedź z klucza użytkownika, ale nie będzie w stanie jej wykorzystać do logowania na prawdziwym koncie, ponieważ klucz korzysta z kryptografii asymetrycznej i operacji podpisu, którego elementem jest adres strony, na której ktoś klucza używa. Ekspert przypomina też, że klucz U2F to nie „święty Graal bezpieczeństwa” i wciąż kluczowa jest ochrona sprzętu przed złośliwym oprogramowaniem oraz wybór dostawcy usługi, który nie da się – np. poprzez infolinię – przekonać włamywaczowi, że jest nami, że zgubiliśmy klucz i prosimy o odblokowanie konta.
Przekonany do zalet takiego zabezpieczenia jest Cyprian Gutkowski z Fundacji Bezpieczna Cyberprzestrzeń. – Zdecydowanie to jeden z bezpieczniejszych sposobów logowania. Osoba chcąca się włamać do skrzynki e-mailowej musiałaby mieć drugi klucz. Nie odnotowano przypadku złamania tego typu zabezpieczeń – podkreśla.
Poseł Michał Gramatyka z Polski 2050 Szymona Hołowni przyznaje, że klucz U2F w pełni zabezpieczy dostęp do kont pocztowych. – Ale w przypadku poczty sejmowej to wystarczyłoby uwierzytelnienie dwuskładnikowe z potwierdzeniem za pomocą zwykłego SMS-a – twierdzi poseł. – Obawiam się, że przy codziennych obowiązkach często będą sytuacje, gdy ktoś taki klucz zgubi i utraci dostęp do poczty. Wydaje mi się, że na poczcie sejmowej nie ma aż tylu istotnych rzeczy, by je jakoś specjalnie zabezpieczać. Jest taka zasada w cyberbezpieczeństwie, że koszty zabezpieczenia nie powinny znacząco przekroczyć kosztów, które możemy ponieść w razie włamania – dodaje.
Z kolei posłanka PiS Anita Czerwińska zauważa, że rząd ma więcej danych na temat konieczności zabezpieczeń poczty. – W tej sprawie zdaję się na rząd, ma zdecydowanie więcej informacji na temat zagrożeń – mówi DGP.
Zmiana ma nastąpić także w warstwie wizerunkowej. Do tej pory rząd niechętnie w ogóle odnosił się do tematu kolejnych wycieków ze skrzynek e-mailowych ekipy rządzącej, a samo komentowanie tej sprawy oceniał wręcz jako podbijanie prorosyjskiej narracji. – Problem w tym, że my sami nie jesteśmy w stanie określić, co w tych przeciekach jest prawdziwe, a co nie, bo wielu z uczestników korespondencji tych e-maili zwyczajnie nie ma, bo regularnie czyści swoje skrzynki – przekonuje nasz rozmówca z obozu władzy. Z drugiej strony przyjęcie tej linii jest na rękę rządowi, bo pozwala omijać kłopotliwe pytania. Choć na serwisie Telegram nie widać jak dotąd żadnych sensacji, a raczej rządową kuchnię, to niektóre sformułowania dotyczące polityki informacyjnej są niezręczne i mogą być wykorzystane przez opozycję.
– Wydaje mi się, że to celowe działanie. Chodzi o to, by przeczekać największe zainteresowanie opinii publicznej, lepiej się przygotować i odpowiadać na pytania wtedy, gdy emocje opadną. To się jednak wiąże z ryzykiem popełnienia błędów, takich jak wyciszanie pytań dziennikarzy. Podejrzewam, że rząd mógł uznać, że jakakolwiek odpowiedź byłaby uznana za niewłaściwą czy niepełną. Wydaje się, że najwyższy czas przejść na konferencje w trybie stacjonarnym, bo to najlepsza forma komunikacji z mediami – komentuje dr Sergiusz Trzeciak, ekspert ds. komunikacji strategicznej z firmy Trzeciak|Chmal.
Nasz rozmówca z obozu rządzącego przyznaje, że wyciszanie dziennikarzy na zeszłotygodniowej konferencji w KPRM z udziałem Michała Dworczyka nie było najszczęśliwszym pomysłem. Zwłaszcza że sytuacja ta kontrastowała ze zorganizowaną kilka dni później konferencją Donalda Tuska, w trakcie której przez półtorej godziny odpowiadał na pytania dziennikarzy z różnych dziedzin.
– To rzeczywiście był błąd, niepotrzebnie tylko wywołaliśmy emocje. Tak już nie będzie, ponadto rozważamy, by przy okazji jednej z konferencji minister Dworczyk odpowiedział na wszystkie pytania w sprawie wycieku – twierdzi nasz rozmówca z kręgów rządowych i zaznacza, że jeszcze w lipcu wszystkie konferencje prasowe w KPRM będą się odbywać w trybie stacjonarnym. – Urzędy wracają powoli do normalnego funkcjonowania, to dlaczego ma tego nie zrobić kancelaria premiera. To przy okazji ostatecznie ukróci wszystkie podejrzenia o cenzurowanie dziennikarzy – twierdzi nasze źródło.
Źródło: Dziennik Gazeta Prawna

Zobacz więcej

Proszę czekać...