Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

MFA

Data publikacji: 20-12-2019 Autor: Michał Jaworski
We wrześniu 2019 r. Prezes Urzędu Ochrony Danych Osobowych ogłosił decyzję o nałożeniu kary pieniężnej w wysokości ponad dwóch milionów ośmiuset tysięcy złotych. W zawierającym nieco ponad 1000 słów fragmencie uzasadnienia aż szesnaście razy pojawia się słowo „uwierzytelnienie”. 
 
Nie będę dalej cytował decyzji Urzędu, jednak warto wyszukać w niej fragmenty, których zrozumienie informatykowi nie powinno sprawić problemów. Polecam również zwrócić uwagę na okoliczność łagodzącą, która została wzięta pod uwagę i wpłynęła na obniżenie kary (sic!) – nie stwierdzono, aby osoby, których dane mogły trafić w niepowołane ręce, doznały szkody majątkowej. Nikt nie utracił ani grosza! Skąd zatem aż taka kara?
 
Zacznijmy od próby zrozumienia, czego obawiamy się najbardziej. Utrata danych przydarzyła się niemal każdemu – plik został skasowany, danych na dysku nie można było odczytać, a backup został ostatnio zrobiony w 1998 r. w dodatku na /dev/null. Wielu z nas musiało też przeżyć utratę urządzenia, które zostało ukradzione, zniszczone, zepsuło się. Każde z takich wydarzeń miało smutne konsekwencje, zmuszało do dodatkowych działań, zarwania nocy, pozbawiło wyników pracy z ostatnich godzin czy tygodni. Niekiedy było odwracalne, ale wymagało wysiłku. Co jednak istotniejsze, gdzieś w podświadomości wiedzieliśmy, że ten arkusz z wynikami sprzedaży może mieć znaczenie jeszcze tylko dla kilku, kilkudziesięciu osób na świecie, licząc w tym złych ludzi czyhających na nasze dane. Mentalnie ograniczaliśmy stratę, godziliśmy się z nią. Pliki robocze, zdjęcia, raporty… 
 
Bardziej boimy się utraty cyfrowej tożsamości i konsekwencji z tym związanych. Typ, który zwinął nam dowód osobisty, żeby go użyć, przynajmniej w teorii musi być do nas trochę podobny. Kartę kredytową można szybko zastrzec. Kradzież tożsamości cyfrowej jest natomiast utratą naszego całego ja funkcjonującego w sieci. Nie ma straty częściowej. Stąd ten strach. To także zostało podkreślone w decyzji PUODO. Sednem zdarzenia była w tym przypadku strata, a nie konkretne szkody finansowe. Niezależnie od tego, co uważamy za najważniejsze w cyberbezpieczeństwie, ochrona tożsamości plasuje się niezwykle wysoko na liście priorytetów, a gdyby się komuś zapomniało, to przeprowadzono pokazowe korepetycje, które pokazały, że kara może być dotkliwa.
 
Co ma z tym wspólnego proces uwierzytelniania? Badania Microsoftu z sierpnia 2019 r. pokazały, że wieloskładnikowe uwierzytelnienie może zablokować 99,9% zautomatyzowanych ataków. Musimy przy tym pamiętać, że ci sami użytkownicy – tak bardzo obawiający się o swoją tożsamość w sieci – nie przestrzegają podstawowych zasad cyfrowej higieny nawet przy wyborze, modyfikacji i pielęgnacji haseł. Wszelkie opowieści o podnoszeniu świadomości pracowników, szkoleniach, czytaniu zaleceń, wprowadzaniu odpowiednich zasad to nierzadko bajki. Ludzie szukają najprostszych rozwiązań i nie chcą zapamiętywać zbyt wielu danych. Dlatego MFA, czyli wieloskładnikowy proces uwierzytelniania, jest jednym ze sposobów na eliminację w systemach bezpieczeństwa IT błędów najsłabszego ogniwa – człowieka.
 
Z drugiej strony jak już zaczniemy wszystkim wysyłać jednorazowe kody, dzwonić, żeby wbili PIN lub zeskanowali sobie twarz, to pokornie będą to znosić, ale zadowolenia nie uzyskamy. Każdy, kto po 14 września 2019 r. próbował dostać się do swojego konta bankowego lub zainicjować jakąkolwiek płatność, wie, o czym mówię. Dlatego też, jeśli pierwszym krokiem do podniesienia poziomu bezpieczeństwa jest wprowadzenie MFA, to drugim będą inteligentne systemy dobierające sposób uwierzytelnienia do danej sytuacji. I one powinny czasami wymuszać dodatkowe działania, gdy zauważą coś niepokojącego. Ze względu na osobę, urządzenie, lokalizację lub na uruchamianą aplikację. Wyobraźmy sobie dzień pracy magazyniera Mariana, który jak co rano w dni powszednie o 7:05 loguje się do stacjonarnego komputera na terenie zakładu i uruchamia system magazynowy. W tej sytuacji dorzucenie Marianowi MFA to wręcz szykana. Kiedy jednak Marian próbuje zalogować się do systemu z lotniska w Chinach, w samym środku polskiej nocy, to aktywacja MFA staje się obowiązkiem. 
 
Systemy analizy behawioralnej mają ogromną przyszłość IT (a w zasadzie to już teraźniejszość). Dlatego pamiętajmy, że nie tylko 2FA, ale MFA, a potem najlepiej, jeśli przepisy nie wymagają inaczej, warunkowe uwierzytelnienie. Te dwa miliony osiemset fistaszków czy morelek powinny dać do myślenia…
 
Autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Pracuje od ponad dwudziestu lat w polskim oddziale firmy Microsoft.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"