W świecie nowych technologii najgroźniejsze błędy zdarzają się czasem z zupełnie banalnych powodów. Choć cyberbezpieczeństwo pełne jest skomplikowanych systemów, algorytmów i protokołów, wciąż zdarza się, że o losach wielkich instytucji, firm czy nawet bezpieczeństwa państwa decyduje jedno nieprzemyślane hasło.
Ostatnio do sieci wrócił raport pokazujący, że hasłem do serwera obsługującego monitoring w paryskim Luwrze było po prostu „LOUVRE”. Trudno o bardziej wymowny przykład. I choć brzmi to jak żart, podobne przypadki wcale nie należą do rzadkości. Wielu użytkowników wciąż wybiera hasła przewidywalne, a logowanie do aplikacji bywa irytujące do tego stopnia, że łatwiej narzekać na konieczność wpisywania złożonych kombinacji niż myśleć o konsekwencjach ich braku.
Tymczasem te konsekwencje potrafią być bardzo realne. W 2021 roku amerykański Colonial Pipeline, jedna z największych sieci rurociągów paliwowych w kraju, został sparaliżowany po włamaniu dokonanym za pomocą przejętego hasła do starego konta VPN. Według szefostwa firmy nie było ono łatwe do odgadnięcia, ale brak dodatkowej weryfikacji otworzył przestępcom furtkę. Atak doprowadził do wstrzymania pracy instalacji, zakłóceń na rynku paliw i zapłacenia wielomilionowego okupu, który FBI odzyskiwało jeszcze wiele miesięcy później.
Osiem zer do wywołania wojny nuklearnej
Najbardziej symboliczny przykład pokazuje jednak, jak absurdalnie daleko potrafiło sięgać lekceważenie podstawowych zasad bezpieczeństwa. Jak ujawnił były oficer sił powietrznych Bruce Blair, przez ponad dekadę kod umożliwiający użycie amerykańskiej broni nuklearnej składał się z ośmiu zer. Amerykańskie dowództwo twierdziło, że bezpieczeństwo zapewnia tzw. „zasada dwóch osób”, czyli wymóg, by przy procedurze uruchamiania rakiet zawsze obecnych było dwóch przeszkolonych członków załogi. W teorii miało to uniemożliwiać jednej osobie samodzielne podjęcie decyzji o odpaleniu broni nuklearnej. W praktyce jednak ta zasada była często łamana. Załogi ustalały własne, wygodne dyżury, w których jedna osoba mogła na chwilę odejść lub spać, zostawiając drugą samotnie przy panelu z kodem. A ponieważ obowiązujący wówczas kod składał się z ośmiu zer, jeden człowiek, mając tak łatwy dostęp i brak realnej kontroli drugiej osoby, mógł teoretycznie uruchomić całą procedurę. Dopiero później procedury zaostrzono i wprowadzono system kodów wysyłanych z wyższych szczebli.
Szokujące wyznanie eksperta ds. energii jądrowej nastąpiło dekady po tym, jak uznano, że samo wpisanie ośmiu zer może być nieco nierozsądne, jeśli chodzi o rozpoczęcie wojny nuklearnej.
Słabe hasła potrafią jednak niszczyć nie tylko instytucje państwowe. W 2023 roku w Wielkiej Brytanii grupa hakerów Akira przejęła dane transportowej firmy KNP, blokując jej systemy i żądając okupu. Firma nie była w stanie zapłacić, dane przepadły, a działające od 158 lat przedsiębiorstwo upadło. Do dziś niewiele wiadomo o pracowniku, którego hasło okazało się furtką do ataku – jego nazwisko nigdy nie zostało mu ujawnione, być może po to, by uniknąć wskazywania winnego tragedii, która kosztowała pracę setki osób.
Wielkie konsekwencje miała również beztroska dotycząca kodów dostępu do skrzynek głosowych. Telefoniczne tajemnice celebrytów – od Hugh Granta po księcia Harry’ego – stały się łatwym łupem tabloidów, bo dziennikarze i wynajęci przez nich detektywi korzystali z tego, że wielu użytkowników nigdy nie zmienia domyślnych kodów do poczty głosowej. Wystarczyły kombinacje typu 1111, 1234 czy 4444, by odsłuchać prywatne wiadomości. Afera zakończyła się zamknięciem jednego z najsłynniejszych brytyjskich tabloidów i śledztwem w sprawie nadużyć w mediach.
O tym, że słabo zabezpieczone hasła potrafią splątać ścieżki kariery politycznej, przekonała się Kemi Badenoch, obecna liderka brytyjskiej opozycji. W 2018 roku przyznała, że lata wcześniej włamała się na stronę parlamentarzystki Harriet Harman, bo hasło umożliwiające edycję treści brzmiało… „Harriet Harman”. Badenoch określiła swój czyn jako głupi żart, ale sam fakt, że coś takiego było możliwe, mówi o ówczesnych standardach bezpieczeństwa więcej niż niejedna ekspertyza.
Z kolei błędy popełnione przy zabezpieczeniu brytyjskich rejestrów wyborców ujawniły, jak groźna może być rutyna. Między 2021 a 2022 rokiem hakerzy podszyli się pod legalnego użytkownika i zyskali dostęp do komputerów, na których znajdowały się dane milionów wyborców. Dochodzenie wykazało liczne zaniedbania: nieinstalowane aktualizacje, brak polityki wymuszającej silne hasła i aż 178 aktywnych kont z hasłami identycznymi lub bardzo podobnymi do tych, które pierwotnie nadali im administratorzy. Choć nie znaleziono dowodów na wykorzystanie danych, skala zaniedbań była na tyle duża, że urząd wyborczy został oficjalnie skarcony.
Choć opisywane zdarzenia rozgrywały się w różnych miejscach i dotyczyły zupełnie innych ludzi, wszystkie pokazują tę samą prawidłowość: czasem to nie technologia zawodzi, lecz człowiek. Najprostsze błędy — zbyt łatwe hasło, zaniedbana aktualizacja, rutynowa nieuwaga — potrafią otworzyć drogę do konsekwencji, których nikt nie przewidywał. W świecie, który coraz mocniej opiera się na cyfrowej infrastrukturze, to właśnie te drobne decyzje stają się pierwszą linią obrony. I jak widać, od ich jakości zależy znacznie więcej, niż mogłoby się wydawać.
