Minister Cyfryzacji powiedział to publicznie. Ekspert ds. cyberbezpieczeństwa wytknął mu poważny błąd

10 marca przyjęto nową strategię Cyberbezpieczeństwa RP do 2029 roku. W związku z publikacją dokumentu, minister cyfryzacji Krzysztof Gawkowski wystosował publiczną rekomendację, w której doradzał obywatelom instalowanie programów antywirusowych na urządzeniach mobilnych. Pojawił się jeden problem – jego porada nie miała sensu. Przedstawiciel Krajowego Instytutu Cyberbezpieczeństwa opowiedział w rozmowie z naszym portalem, że takie zalecenia ignorują współczesną architekturę oprogramowania i mogą narażać użytkowników na dodatkowe ryzyko.

Aplikacje antywirusowe na smartfonach są nieskuteczne wobec dominujących obecnie ataków socjotechnicznych, takich jak phishing czy vishing
Mechanizm sandboxing (piaskownica) w systemach Android i iOS blokuje zewnętrznym skanerom wgląd w procesy innych aplikacji, czyniąc je techniczną wydmuszką
Instalacja oprogramowania zabezpieczającego z szerokimi uprawnieniami systemowymi drastycznie poszerza powierzchnię ataku na urządzenie

Socjotechnika eliminuje potrzebę łamania zabezpieczeń

Rekomendacja ministra Krzysztofa Gawkowskiego opiera się na paradygmacie bezpieczeństwa właściwym dla komputerów osobistych sprzed ponad dekady. Obecnie metody działania cyberprzestępców uległy diametralnej zmianie. Z danych gromadzonych przez KICB wynika, że głównym wektorem ataku na użytkowników smartfonów nie jest infekowanie plików systemowych, lecz manipulacja psychologiczna.

Ekspert z Krajowego Instytutu Cyberbezpieczeństwa podkreśla, że żadne oprogramowanie skanujące nie jest w stanie zablokować działań, które użytkownik autoryzuje dobrowolnie. Szczegółową weryfikację tej tezy przedstawia Piotr Kukla, który jednoznacznie ocenia zalecenia szefa resortu cyfryzacji i wskazuje na ryzyko budowania iluzji ochrony.

Reprezentant KICB tłumaczy mechanikę działania współczesnych oszustw, w których zewnętrzny skaner pozostaje całkowicie bezużyteczny:

– Problem z takim sformułowaniem polega na tym, że promuje ono fałszywe poczucie bezpieczeństwa, które w dzisiejszym ekosystemie zagrożeń jest niezwykle groźne. Według analiz KICB, współczesny krajobraz cyberzagrożeń drastycznie się zmienił. Po pierwsze, klasyczny antywirus jest niemal bezużyteczny w starciu z socjotechniką. Przykładowo, w kontekście oszustw na kody QR, przestępcy nie muszą już włamywać się do systemu za pomocą złośliwego kodu. Oni manipulują użytkownikiem, by ten sam podał dane karty lub zalogował się na fałszywej stronie. Antywirus nie powstrzyma człowieka przed dobrowolnym działaniem pod wpływem emocji.

Architektura mobilna blokuje działanie antywirusów
Drugim fundamentalnym błędem we wskazówkach ministra Krzysztofa Gawkowskiego jest ignorowanie specyfiki budowy nowoczesnych mobilnych systemów operacyjnych. Zarówno oprogramowanie Android rozwijane przez Google, jak i iOS tworzony przez Apple, funkcjonują na bazie ścisłej izolacji procesów. Architektura ta odgórnie uniemożliwia jednej aplikacji swobodny wgląd w pliki i pamięć operacyjną innych programów.

To środowisko izolowane, zdefiniowane w inżynierii oprogramowania jako sandboxing, stanowi natywną zaporę przed rozprzestrzenianiem się złośliwego kodu. Zewnętrzny program antywirusowy pobrany ze sklepu z aplikacjami działa w takiej samej zamkniętej “piaskownicy”, jak każdy inny zainstalowany program. Nie posiada on uprawnień pozwalających na głębokie analizowanie systemu, co z założenia pozbawia go możliwości wykrycia zaawansowanych anomalii.

Piotr Kukla z Krajowego Instytutu Cyberbezpieczeństwa zwraca uwagę nie tylko na techniczne ograniczenia skuteczności tego typu oprogramowania, ale przede wszystkim na realne ryzyko systemowe, które generuje jego instalacja:

– Po drugie, systemy mobilne (Android, iOS) mają zupełnie inną architekturę niż stare komputery PC. Mechanizm „piaskownicy” (sandboxing) sprawia, że aplikacje antywirusowe mają bardzo ograniczony wgląd w działanie innych programów. W efekcie ich skuteczność jest często iluzoryczna. Co więcej, instalowanie dodatkowych aplikacji z głębokimi uprawnieniami systemowymi paradoksalnie zwiększa tzw. „powierzchnię ataku” – sam program antywirusowy może stać się celem lub źródłem wycieku danych.

Wyszkoni nagle przerwała koncert. Doszło do nieprzewidzianych scen. Wszyscy stali, jak wryci
Czytaj dalej

Karol Nawrocki blokowany przez gdański PiS. Sprawa sprzed lat ujrzała światło dzienne
Czytaj dalej
Higiena cyfrowa zamiast magicznych rozwiązań
Skoro aplikacje antywirusowe nie stanowią skutecznej warstwy ochronnej na smartfonach, konieczna jest redefinicja dobrych praktyk wśród użytkowników. Specjaliści z Krajowego Instytutu Cyberbezpieczeństwa opierają strategię obronną na procedurach kryptograficznych dostarczanych bezpośrednio przez operatorów systemów. To rygorystyczna autoryzacja kodu przez wydawców oprogramowania blokuje dostęp dla cyberprzestępców na poziomie architektury.

Proces zabezpieczania sprzętu mobilnego musi bazować na eliminacji słabych punktów autoryzacji. Jedyną efektywną metodą zamykania luk (podatności typu zero-day) są natywne aktualizacje systemu operacyjnego oraz wdrożenie twardych kluczy zabezpieczeń lub zaawansowanej biometrii.

Wskazując właściwy kierunek działań dla właścicieli urządzeń mobilnych, Piotr Kukla precyzuje fundamentalne zasady, które w polityce KICB zastępują przestarzałe metody ochrony:

– Zamiast szukać „magicznej aplikacji”, która załatwi sprawę, przeciętny użytkownik powinien postawić na higienę cyfrową i mechanizmy wbudowane w systemy oraz aplikacje bankowe. W KICB definiujemy bezpieczeństwo informacji jako proces dbania o poufność, integralność i dostępność danych. Realna ochrona smartfona opiera się na: 

– Weryfikacji i ograniczonym zaufaniu – to najważniejsza linia obrony. Każdy link w SMS-ie, każdy kod QR na parkomacie czy telefon od „pracownika banku” powinien być traktowany z podejrzliwością. Edukacja w zakresie rozpoznawania phishingu i vishingu jest skuteczniejsza niż jakikolwiek skaner wirusów. 

– Uwierzytelnianiu dwuskładnikowym (2FA) – to absolutny fundament. Jak wielokrotnie podkreślamy w naszych materiałach, posiadanie hasła to dziś za mało. Drugi składnik (np. powiadomienie push w aplikacji bankowej lub klucz bezpieczeństwa) sprawia, że nawet jeśli oszust pozna nasze hasło, nasze pieniądze pozostaną bezpieczne. 

– Zasadzie „Oficjalnych Źródeł” – podstawową barierą techniczną jest pobieranie aplikacji wyłącznie z oficjalnych sklepów (Google Play, App Store) oraz regularne aktualizowanie systemu operacyjnego. To właśnie aktualizacje producenta, a nie zewnętrzny antywirus, łatają luki, przez które mogłyby przeniknąć realne zagrożenia.