Nejslabší bod zabezpečení? Zaměstnanec!

Je smutnou pravdou, že velké procento útoků je způsobeno pro­lo­me­ním nebo krádeží přihlašovacích údajů samotných zaměstnanců. Právě přes jejich účty (nebo účty administrátorů) mohou útočníci nejjednodušeji proniknout do systémů organizace a ovládnout je.

Mezi nejčastější způsoby prolomení uživatelských účtů patří:

• Příliš slabé a snadno odhadnutelné heslo
• Zcizení hesla, které je používáno ve více účtech/systémech, včetně soukromých
• Připojení se přes veřejné, nezabezpečené WiFi sítě (odposlechnutí hesla)
• Nechtěné přeposlání hesla útočníkovi (phishing, podvodný telefonát apod.)
• Záměrné předání přihlašovacích údajů (úplatek, snaha poškodit organizaci)

Bez ohledu na způsob, výsledkem je průnik do vnitřního perimetru organizace a zašifrování, odposlechnutí či zcizení dat.

Politika silných (strašidelných) hesel

Organizace, které si uvědomují tato rizika často přistupují k sys­té­mo­vým opatřením. Nejčastějším je zavedení povinných silných he­sel, což se jeví jako nejsnazší a správná cesta. Z pohledu koncového uživatele je to však nejhorší a nejméně oblíbené řešení.

Koncový uživatel je nucen vytvářet, pamatovat si a periodicky obměňovat hesla do všech systémů organizace. To vede nutně k nejrůznějšímu obcházení těchto pravidel - psaní hesel na papírky, ukládání do veřejně dostupných souborů, nebo vymýšlení jednoduchých variací na původní silné heslo. Výsledkem je stejné ohrožení, jako v případě hesel slabých.

Multifaktorová autentizace jako správné řešení

Způsob, jak zabránit těmto typům útoků je přitom dávno známý - náhrada hesel nástroji pro bezpečnou, multifaktorovou autentizaci (MFA).Ta pokrývá všechny běžné operace, se kterými se zaměstnanci setkávají při svých běžných činnostech – typicky přihlášení do firemních systémů, počítačů nebo administrátorských rozhraní. Lze ji však využít i pro autorizaci elektronického podpisu či interních mikroplateb a ovládání kancelářských přístrojů.

Multifaktorová autentizace je kombinací minimálně dvou na sobě nezávislých metod identifikace, bez kterých není povolen přístup k datům. Typicky HW čipové karty a PINu či pomocí autorizační mobilní aplikace, propojené s interním systémem. Tuto autentizaci používá zaměstnanec napříč všemi pracovními procesy v rámci jednotného mechanismu bez použití slabých hesel.

Až donedávna se MFA řešilo pouze přidáním druhého faktoru a náhradou hesla PINem (nebo potvrzením požadavku pomocí kódu v SMS apod.). V posledních letech se rozšiřuje tzv. passwordless přihlašování pomocí mobilního telefonu.

Zde je využit jako HW prostředek smartphone s mobilní aplikací ProID a celý proces autentizace se odehrává uvnitř telefonu. Ze samotného zařízení se neodesílá žádný nezašifrovaný údaj, který by šel odposlechnout. Passwordless přihlašování je nejbezpečnějším a zároveň uživatelsky nejpřívětivějším způsobem ověření.

Pokrytí celé denní rutiny zaměstnance jedním nástrojem

Základní prioritou organizace by měla být snaha o pokrytí celé denní rutiny zaměstnance jedním nástrojem. Pouze tento přístup skutečně ochrání organizaci a zároveň přinutí koncové uživatele tyto mechanismy využívat.

Denní rutinou se myslí každodenní pracovní scénáře, kdy se zaměstnanec potřebuje přihlásit do svého počítače, do firemní pošty, do systémů pro práci s daty, spisové služby, ERP apod. A zároveň se při práci z domova či služební cesty se přihlásí do VPN či si odemkne dveře od kanceláře, přivolá výtah či provede platbu ve firemním bistru. Všechny tyto akce je přitom možné jediným nástrojem.