Ověřovaní přístupů prostřednictvím více faktorů – multifaktorová autentizace (MFA) – je velmi efektivním nástrojem, jak odrazit až 98 % pokusů o neoprávněný přístup k uživatelským účtům, aplikacím a datům. V dnešní době je MFA podporováno výrobci všech hlavních podnikových softwarových produktů a poskytovateli cloudových služeb a bude také vyžadováno v rámci nového zákona o kybernetické bezpečnosti, vycházejícího z směrnice NIS2 (jako jediná alternativa k jinak velmi náročné správě hesel). Jaké výmluvy a důvody u zákazníků slýcháme na otázku proč MFA (zatím) nechtějí používat?
Mýtus č. 1 – Je to nepohodlné
Právě tak zní nejčastější výmluva proti používání MFA. Ano, multifaktorové ověřování skutečně vyžaduje jeden krok při přihlašování navíc. To sice může být vnímáno jako nepohodlné, v porovnání s navyklým přístupem prostřednictvím uživatelského jména a hesla. Nicméně, tento jediný krok navíc opravdu stojí za výrazně vyšší úroveň ochrany proti kybernetickým útokům typu phishingu nebo útokům na hesla, kterým uživatelé jinak velmi těžko odolávají.
Aby organizace vyvrátila mýtus o nepohodlí MFA, mělo by mít oddělení IT vždy k dispozici více scénářů ověřování – typicky prostřednictvím mobilní aplikace, SMS, hardwarového tokenu, FIDO2 klíčů, jednorázových kódů, čipové karty nebo biometrie. Všechny tyto možnosti MFA je dnes možné nasadit relativně snadno.
Mýtus č. 2 – Je to složité
Multifaktorové ověřování ve svém soukromém životě dnes používají prakticky všichni majitelé bankovních účtů. Opravdu je to pro miliony klientů bank složité? Scénáře vyžadující dodatečný hardware mohou být komplikovanější a náročnější (obzvlášť, když toto zařízení ztratíme nebo zapomeneme doma). Ověřování přes mobilní aplikaci nebo SMS je ale rychlé, každý ho zná ze své banky a jistě nejde o nic komplikovaného.
Mýtus č. 3 – MFA není vždy dostupné
Skutečně mohou nastat situace, kdy nebude k dispozici výchozí způsob vícefaktorového ověřování. Ať už jde o zmíněnou ztrátu zařízení nebo třeba nedostupnost mobilního signálu. Právě na takové situace ale musí být implementace MFA v rámci organizace připravena a poskytovat různé alternativy bezpečného přihlášení. Ty se mohou lišit i podle typů uživatelských účtů – některé metody MFA mohou být použity pouze pro kriticky důležité účty nebo činnosti, zatímco pro ostatní účty může být použit jiný způsob bezpečného přihlašování.
Pečlivé plánování a testování scénářů MFA a využití podmíněného přístupu pomohou úspěšné integraci bezpečnějšího přihlašování do organizace. Po pár týdnech už budou uživatelé požadavek na další faktor brát jako naprosto automatickou součást práce.
Mýtus č. 4 – Obáváme se o soukromí
Někteří lidé se obávají, že poskytnutí osobních údajů nezbytných pro ověření (například telefonního čísla pro zasílání ověřovacích kódů, otisku prstu atd.) může zvýšit riziko ohrožení jejich soukromí. Tento argument často slýcháme u organizací s nejasně definovanými pravidly pro BYOD (přines si vlastní zařízení, anglicky Bring Your Own Device).
Jelikož existuje řada různých metod ověřování při použití MFA, nemusí uživatelé nutně sdílet informace, které považují za citlivé. Jejich identitu lze ověřovat pouze pomocí něčeho, co vědí (heslo) a něčeho, co vlastní (mobilní zařízení). Opět se jedná o stejnou situaci jako při používání mobilního bankovnictví – ovšem s jasně definovanou zodpovědností, kontrolou a konkrétní pověřenou osobou, která používání MFA v rámci firmy řeší.
Při vyplňování osobních údajů v e-shopech a registraci do slevových programů o sobě lidé prozradí mnohem víc, než při jakémkoli způsobu MFA. Je to snad proto, že v takových případech něco sami chtějí, zatímco v případě nasazení MFA po nich naopak něco chce jejich organizace?
Mýtus č. 5 – Nemáme důvěru ve funkčnost MFA
Obáváte se, že ověřování přes MFA selže v té nejméně vhodné situaci? Ve skutečnosti jsou problémy s funkčností multifaktorového ověřování vzácné a zpravidla jsou způsobeny nekvalitní implementací a nedostatečným testováním v konkrétním prostředí. Samotná technologie MFA je totiž důkladně prověřená mnoha předními producenty podnikového softwaru.
Pravý důvod? Spíše nepořádek v účtech
Za výše uvedenými obavami a argumenty proti nasazení MFA se často skrývají i důvody, které firmy a organizace velmi nerady veřejně prezentují. Zpravidla jde o sdílení uživatelských účtů, respektive přihlašovacích údajů k nim – ať už z důvodu delegování úkolů, které by jinak mohl provést pouze odpovědný manažer, nebo pro úsporu nákladů na související licence podnikových systémů a aplikací. Také anomálie v procesech, kdy vlastník účtu současně není jediným, kdo za něj odpovídá, bohužel MFA ošetřit nemůže. Nejsou ale právě toto důvody, na které útočníci spoléhají a využívají je k nepozorovanému napáchání co největších škod?
Přestože MFA může znamenat určitou míru nepohodlí a komplikací, veškerá negativa jasně převáží přínosy vícefaktorového ověřování při ochraně účtů před kybernetickými hrozbami. I proto je požadavek na zavedení MFA součástí opatření v novém zákoně o kybernetické bezpečnosti pro důležité služby a aplikace.
Tam, kde již MFA používají, si odpovědní manažeři velmi rychle uvědomili, že jde o silný nástroj na ochranu digitálních identit a dat a nikoliv nepohodlné omezení uživatele v práci.
Jak vám můžeme pomoci?
Rádi vám pomůžeme zavést vícefaktorové ověřování do vašeho prostředí a dohlédneme na to, abyste se při ochraně svých dat a svého podnikání vyhnuli nejčastějším chybám. Obraťte se na nás a promluvíme si o tom.
Proč SoftwareOne?
- Jsme experty v oblasti organizační i technické bezpečnosti.
- Pomůžeme vám s procesní bezpečností a doporučíme nejvhodnější technologie pro zabezpečení vaší organizace.
- Naše portfolio zohledňuje Zákon o kybernetické bezpečnosti (ZoKB), NIS2, DORA, GDPR, ISO normy, cloudové služby a další.
- Víme, co se chystá – sledujeme legislativu a nejnovější trendy na poli bezpečnostních technologií.
- Dodáváme řešení, které pro vás bude dlouhodobě užitečné, ne pouze pro jednorázové splnění požadavků.
- Poskytujeme služby srozumitelnou formou a na míru vaší organizaci.
Objevte naše služby pro komplexní řešení kyberbezpečnosti.
NIS2 v ČR
Značné rozšíření povinných subjektů a samonahlašování.
NIS2 v ČR
Značné rozšíření povinných subjektů a samonahlašování.