Z pohledu vedení IT v organizaci jsou požadavky na lepší zabezpečení IT nepříjemné. Málokdy jsou totiž doprovázeny zvýšením rozpočtu. Pro náklady na bezpečnost je tedy nutné vytvořit prostor úsporami jiných nákladů na IT, což po předchozích vlnách škrtů není snadné. Vedení IT tedy hledá především finančně nenáročná řešení.

Samozřejmě, že systémově správnou reakcí na požadavek zvýšit bezpečnost IT je provedení důkladné analýzy rizik, následné vypracování bezpečnostního programu a až pak jeho rozpracování do podoby konkrétních projektů, které budou řešit zjištěné bezpečnostní mezery. Problém je, že už samotná komplexní analýza rizik je náročné cvičení, a to jak časově, tak nákladově. Od šéfa ICT se očekává, že alespoň dílčí pokrok zajistí okamžitě. Ideální okamžitou reakcí na požadavek zvýšit zabezpečení dat a systémů může být posílení autentizace. Prakticky jedinou představitelnou výjimkou jsou organizace, kde mají implementované pokročilé autentizační řešení. Všude jinde je totiž jisté, že na autentizaci dříve nebo později (spíš dříve) přijde řada.

Velkou výhodou autentizace jako prvního kroku ke zvýšení celkové bezpečnosti dat a systémů je, že pokud se podaří vybrat vhodné autentizační řešení, pak tento krok nepředurčuje další kroky ke zvýšení celkové IT bezpečnosti. Jinými slovy, jde o autonomní krok, jímž, lidově řešeno, nelze nic pokazit. Naproti tomu další opatření, například šifrování dat, musí mít podobu spíš programu než diskrétního projektu. Má dalekosáhlé důsledky: mimo jiné si vynutí změny v architektuře IT a vyvolá omezení pro uživatele. V souvislosti s tím vším je samozřejmě nákladnější a časově náročnější.

Běžná autentizace nestačí

Autentizace není v podnikových IT nic nového. Běžně používané metody a postupy, které mají zajistit soulad mezi virtuální a fyzickou identitou uživatele, však tváří v tvář dramatickému nárůstu IT rizik prostě nestačí. Nároky na spolehlivost a přesnost autentizace jsou dnes diametrálně vyšší, než byly ještě v nedávné minulosti. Důvody jsou zřejmé: data (všeho druhu) představují čím dál větší hodnotu, má je v organizacích k dispozici čím dál širší okruh uživatelů a v čím dál dostupnější podobě. Jsou tedy čím dál lákavějším terčem.

Co se jejich hodnoty týče, firmy v mnoha oborech tvrdí, že právě zákaznická data jsou tím vůbec nejcennějším aktivem, které mají. Ponechme pro účely tohoto článku stranou otázky typu, proč se k datům nechovají jako k jiným aktivům, například proč o nich neúčtují. Tato data jsou, například díky moderním nástrojům, jako jsou datové sklady nebo aplikace pro reporting, dostupná v bezprostředně využitelné podobě. Také to je důvodem, proč jsou čím dál lákavějším terčem: zatímco dřív by úspěšný útok přinesl efekt v podobě získání surových dat, dnes by mohl přímo pomoci k reálné konkurenční výhodě.

Změny organizace práce v moderních firmách vedou k tomu, že roste okruh pracovníků, kteří mají – pro účely své práce musí mít – k dispozici bohaté informace a hluboké znalosti, které jdou napříč organizací. Omezit tyto tzv. znalostní pracovníky (knowledge workers) v přístupu k datům je většinou nemyslitelné. Je tedy nutné rozšířit perimetr ochrany a zahrnout celý široký okruh uživatelů, kteří disponují pro organizaci citlivými daty.

Uvedené argumenty pro posílení spolehlivosti a přesnosti autentizace se týkají dat. Totéž však platí i pro systémy – už jen proto, že, jak se dá jednoduše odvodit z výše uvedených důvodů, roste okruh uživatelů, kteří zapisují do klíčových systémů. Je tedy zřejmé, že nároky na zabezpečení přístupu k datům a systémům dramaticky rostou – ale je běžné, že organizace zůstávají u tradičních autentizačních postupů. Typická organizace i dnes spoléhá na jednoduchou autentizaci pomocí hesla.

Silnější heslo nepomůže…

Autentizace založená na heslech může být teoreticky velmi silná. Bohužel je málo odolná vůči selhání lidského faktoru. Uživatelé se často chovají nezodpovědně a v rozporu nejen s firemní politikou, ale i se zdravým selským rozumem, si hesla poznamenávají na papír a nechávají válet na stole, píší si je na monitor nebo na klávesnici a podobně. Koncem ledna 2013 vydalo americké Ministerstvo pro národní bezpečnost varovný report, v němž popisuje drastické příklady nezodpovědného chování uživatelů i IT manažerů. Z oblasti autentizace stojí za zmínku rozšířené ponechávání přednastavených hesel, používání hesel snadno odhalitelných slovníkovými útoky (hesla typu „password“, „123456“ a podobně) nebo právě zmíněný zlozvyk poznamenávat si hesla na nechráněné prostředky.

Částečným vylepšením této autentizační metody jsou různé heslové politiky. Ty mohou stanovit povinnou minimální složitost hesla (délka, různé druhy znaků apod.) a předepsat povinné periodické změny hesla, přičemž nové heslo nesmí být pouhou odvozeninou toho minulého. Tímto způsobem lze autentizaci významně posílit, ale odpovědí na nezodpovědné chování uživatelů ani přísná heslová politika není: žádné řešení přece nedokáže zabránit uživateli, aby si heslo nenapsal na monitor…

Potřeba posílit autentizaci vedla k rozvoji dalších autentizačních postupů. Za v podstatě dospělou technologii lze považovat snímání otisků prstů. V souvislosti s otisky prstů však stojí za zmínku dva faktory. Jednak jde primárně o řešení vhodné k zabezpečení přístupu ke koncovým zařízením a dále je použitelnost této metody pro různé uživatele různá. Většina dosahuje přijatelné úspěšnosti přihlášení, zatímco existuje skupina uživatelů (odhadem pět procent), pro něž tato metoda běžně selhává.

Otisky prstů jsou tradiční biometrickou autentizační metodou, ale objevují se nové a nové metody. Pro zabezpečení přístupu k datům a systémům by jednou mohla být využitelná například analýza rytmu psaní na klávesnici – a nabízejí se další charakteristiky, u nichž je předpoklad, že budou unikátní pro daného uživatele. Pro jednoduché zvýšení síly autentizace jsou však tyto metody v současné době nepoužitelné. Standardem pro posílení autentizace za účelem zabezpečení přístupu k datům a systémům je dnes dvoufaktorová autentizace. Jde o souhrnný pojem, který se dá vztáhnout na celou řadu různých autentizačních řešení. V některých státech a některých odvětvích je přesto právě dvoufaktorová autentizace přímo vyžadována ze strany regulátora, nebo dokonce legislativou.

...jednorázové heslo je řešením

Za optimální kompromis mezi sílou autentizace a negativy, které s autentizací souvisejí, je možné považovat autentizaci založenou na kombinaci obvyklého autentizačního procesu (heslo) a jednorázového hesla pro ověření konkrétního vzdáleného přístupu. Příkladem odvětví, kde je toto řešení běžně využíváno, je bankovnictví. Potvrzování transakcí pomocí jednorázového hesla zaslaného na mobilní telefon uživatele je zdaleka nejčastější metodou.

Ideálním provedením autentizace s jednorázovým heslem je čistě softwarové řešení, kdy jako generátor hesel slouží mobilní telefon uživatele. Ten musí být pro tyto účely vybaven aplikací, která jednorázová hesla generuje. V ideálním případě přitom nepotřebuje internetové připojení. Toto řešení je odpovědí na požadavek, že každé úspěšné řešení musí být uživatelsky přívětivé. Jinak uživatelé udělají všechno, aby ho nemuseli používat – a pokud musí (což je případ popisované varianty dvoufaktorové autentizace), jsou z toho frustrovaní. Velkou výhodou z tohoto pohledu je, že uživatel se nemusí starat o další hardware (a firma do něj nemusí investovat). Místo toho využívá svůj smartphone, který má beztak stále v dosahu.

Petr Šnajdr Autor působí jako pre-sales engineer ve společnosti Eset.