Žijeme ve světě absolutní digitalizace. Bez ohledu na obor, přechod do virtuálního světa je jedním z hlavních témat. Ale kde je vývoj, tam je i nebezpečí. V rychle se rozvíjejícím digitálním světě čelí organizace stále většímu množství kybernetických útoků, které mohou ohrozit kritické systémy, citlivá data a celkové fungování organizace.
Nejslabší bod zabezpečení? Zaměstnanec!
Je smutnou pravdou, že velké procento útoků je způsobeno prolomením nebo krádeží přihlašovacích údajů samotných zaměstnanců. Právě přes jejich účty (nebo účty administrátorů) mohou útočníci nejjednodušeji proniknout do systémů organizace a ovládnout je.
Mezi nejčastější způsoby prolomení uživatelských účtů patří:
- Příliš slabé a snadno odhadnutelné heslo
Zcizení hesla, které je používáno ve více účtech/systémech, včetně soukromých - Připojení se přes veřejné, nezabezpečené WiFi sítě (odposlechnutí hesla)
- Nechtěné přeposlání hesla útočníkovi (phishing, podvodný telefonát apod.)
- Záměrné předání přihlašovacích údajů (úplatek, snaha poškodit organizaci)
Bez ohledu na způsob, výsledkem je průnik do vnitřního perimetru organizace a zašifrování, odposlechnutí či zcizení dat.
Politika silných (strašidelných) hesel
Organizace, které si uvědomují tato rizika často přistupují k systémovým opatřením. Nejčastějším je zavedení povinných silných hesel, což se jeví jako nejsnazší a správná cesta. Z pohledu koncového uživatele je to však nejhorší a nejméně oblíbené řešení.
Koncový uživatel je nucen vytvářet, pamatovat si a periodicky obměňovat hesla do všech systémů organizace. To vede nutně k nejrůznějšímu obcházení těchto pravidel – psaní hesel na papírky, ukládání do veřejně dostupných souborů, nebo vymýšlení jednoduchých variací na původní silné heslo. Výsledkem je stejné ohrožení, jako v případě hesel slabých.
Politika silných hesel vede koncového uživatele vždy k obcházení pravidel a snaze se tomuto procesu vyhnout.
Multifaktorová autentizace jako správné řešení
Způsob, jak zabránit těmto typům útoků je přitom dávno známý – náhrada hesel nástroji pro bezpečnou, multifaktorovou autentizaci (MFA).Ta pokrývá všechny běžné operace, se kterými se zaměstnanci setkávají při svých běžných činnostech – typicky přihlášení do firemních systémů, počítačů nebo administrátorských rozhraní. Lze ji však využít i pro autorizaci elektronického podpisu či interních mikroplateb a ovládání kancelářských přístrojů.
Multifaktorová autentizace je kombinací minimálně dvou na sobě nezávislých metod identifikace, bez kterých není povolen přístup k datům. Typicky HW čipové karty a PINu či pomocí autorizační mobilní aplikace, propojené s interním systémem. Tuto autentizaci používá zaměstnanec napříč všemi pracovními procesy v rámci jednotného mechanismu bez použití slabých hesel.
Až donedávna se MFA řešilo pouze přidáním druhého faktoru a náhradou hesla PINem (nebo potvrzením požadavku pomocí kódu v SMS apod.). V posledních letech se rozšiřuje tzv. passwordless přihlašování pomocí mobilního telefonu.
Zde je využit jako HW prostředek smartphone s mobilní aplikací ProID a celý proces autentizace se odehrává uvnitř telefonu. Ze samotného zařízení se neodesílá žádný nezašifrovaný údaj, který by šel odposlechnout. Passwordless přihlašování je nejbezpečnějším a zároveň uživatelsky nejpřívětivějším způsobem ověření.
Pokrytí celé denní rutiny zaměstnance jedním nástrojem
Základní prioritou organizace by měla být snaha o pokrytí celé denní rutiny zaměstnance jedním nástrojem. Pouze tento přístup skutečně ochrání organizaci a zároveň přinutí koncové uživatele tyto mechanismy využívat.
Denní rutinou se myslí každodenní pracovní scénáře, kdy se zaměstnanec potřebuje přihlásit do svého počítače, do firemní pošty, do systémů pro práci s daty, spisové služby, ERP apod. A zároveň se při práci z domova či služební cesty se přihlásí do VPN či si odemkne dveře od kanceláře, přivolá výtah či provede platbu ve firemním bistru. Všechny tyto akce je přitom možné jediným nástrojem.
