Przed atakiem – historia MediSoft i lekcja o bezpieczeństwie

Wszystko zaczęło się w 2018 roku, kiedy to moja mała firma MediSoft, specjalizująca się w oprogramowaniu medycznym, padła ofiarą nieoczekiwanego ataku hakerskiego. Przed tym incydentem, choć nasza infrastruktura była na poziomie średniowiecza, czuliśmy się bezpieczni. Prawdziwie zaskoczył nas fakt, jak łatwo można było „wskoczyć” do naszego systemu, korzystając z prostych metod. Wpadłem na pomysł, by wdrożyć dwuskładnikowe uwierzytelnianie, by wyjść naprzeciw rosnącym zagrożeniom. Nie miałem pojęcia, że ta decyzja wywoła lawinę problemów i emocji, które od tego czasu towarzyszą mi niemal codziennie.

Wybór broni – SMS czy autentykator?

Kiedy zaczęliśmy rozważać wdrożenie 2FA, od razu pojawiło się pytanie: co będzie lepsze? SMS-y, które wydawały się najprostszym i najtańszym rozwiązaniem, czy może autentykatory typu Google Authenticator albo Authy? Początkowo kusiła mnie opcja SMS, bo to przecież przecież najłatwiejsze w obsłudze i nie wymagało od nas dużych inwestycji. Jednak już po kilku dniach zaczęły się schody – opóźnienia, braki zasięgu, a co najgorsze, ryzyko przechwycenia kodu przez hakerów. W końcu stanęło na autentykatorach, choć i one miały swoje własne, nieprzewidziane pułapki.

Integracja – jak złożyć puzzle z przestarzałymi elementami?

Największym wyzwaniem okazała się integracja nowoczesnych rozwiązań z naszym staromodnym systemem. W firmie MediSoft używaliśmy własnych rozwiązań opartych na starszych protokołach, które z dnia na dzień nie chciały współpracować z FIDO2 czy WebAuthn, najnowszymi standardami. Pamiętam, jak Piotr, mój główny programista, siedział do późnych godzin, próbując „przeprogramować” API, by obsługiwało nowoczesne klucze sprzętowe YubiKey. Nie raz miałem ochotę rzucić tym wszystkim w kąt, ale wiedziałem, że bez tego nie wygramy z cyberprzestępcami.

Szkolenie i opór – jak przekonać ludzi do nowości?

Najwięcej emocji wzbudzał jednak opór pracowników. Anna, nasza specjalistka od obsługi klienta, od razu zaprotestowała: „Po co mi te dziwne kody, ja i tak wszystko zapominam”. Przekonywanie ich do nowego systemu przypominało walkę z wiatrakami. W końcu wymyśliłem, że zorganizujemy szkolenie, które nie będzie nudne jak wykład na uczelni, tylko pełne anegdot i praktycznych przykładów. W trakcie szkolenia opowiadałem, jak złodzieje mogą przechwycić kod z SMS-a, albo jak z pomocą klucza sprzętowego można zabezpieczyć dostęp do systemu nawet w najbardziej ekstremalnych warunkach. Efekt? Z dnia na dzień opór zaczął opadać, a ludzie zaczęli rozumieć, że bezpieczeństwo to nie tylko moda, ale konieczność.

Technologiczna ewolucja – od SMS do biometrii i kluczy sprzętowych

W ciągu tych pięciu lat technologia mocno się rozwinęła. W 2019 roku coraz częściej słyszeliśmy o FIDO2 i WebAuthn, które obiecywały rewolucję w uwierzytelnianiu. Wprowadziliśmy biometrię – odcisk palca i rozpoznawanie twarzy – co na początku wydawało się luksusem, a dziś stało się standardem. Klucze sprzętowe, takie jak YubiKey, które jeszcze kilka lat temu kosztowały ponad 200 zł, teraz można kupić za mniej niż 100 zł, co czyni je bardziej dostępnymi. Im bardziej zagrożenia rosły, tym bardziej branża stawała się świadoma, że bezpieczeństwo to nie jest opcja, lecz konieczność. Czy to nie fascynujące, jak technologia i świadomość razem ewoluowały?

Problemy, które nie zniknęły – o frustracji i wytrwałości

Oczywiście, nie wszystko poszło gładko. Zdarzały się błędy, które potrafiły sparaliżować pracę na cały dzień. Na przykład, kiedy YubiKey spadł mi na podłogę i przestał działać, albo kiedy użytkownicy zapomnieli hasła do autentykatorów i musieliśmy od nowa odblokowywać konta. Niektóre rozwiązania okazywały się droższe, niż się spodziewałem – na przykład, kiedy cena za usługę 2FA z SMS-ami podskoczyła z 1 zł do 3 zł za użytkownika miesięcznie. A jednak, mimo wszystko, wiedziałem, że to inwestycja w bezpieczeństwo, której nie można pominąć. Ile razy miałem ochotę się poddać? Wielokrotnie. Ale wtedy przypominałem sobie, że każda bariera to krok do lepszego zabezpieczenia dla naszych klientów.

– czy było warto?

Patrząc z perspektywy tych kilku lat, mogę śmiało powiedzieć, że tak. Wdrożenie 2FA nie tylko zabezpieczyło nas przed poważniejszymi atakami, ale też nauczyło nas pokory wobec technologii. Zyskałem głębsze zrozumienie, jak ważne jest ciągłe doskonalenie i dostosowywanie rozwiązań do realiów. Po drodze nauczyłem się, że technologia to nie tylko narzędzie, ale także ogromne wyzwanie i emocjonalna podróż. A najbardziej cieszy mnie fakt, że dziś nasi klienci mogą czuć się bezpieczniej – jak w zamku, którego bronią najnowsze technologie, a nie tylko zwykła klamka.