NIS2: 5 najczęstszych mitów, dlaczego nie można wdrożyć MFA

Uwierzytelnianie Multi-factor authentication (MFA) jest bardzo skutecznym narzędziem pozwalającym odeprzeć do 98% prób uzyskania nieautoryzowanego dostępu do kont użytkowników, aplikacji i danych. Obecnie MFA jest wspierane przez wszystkich głównych producentów oprogramowania dla przedsiębiorstw i dostawców usług w chmurze, a także będzie wymagane na mocy nowej ustawy o cyberbezpieczeństwie, opartej na dyrektywie NIS2 (jako jedyna alternatywa dla bardzo uciążliwego zarządzania hasłami). Jakie wymówki i powody słyszymy od klientów na pytanie, dlaczego nie chcą (jeszcze) korzystać z MFA

Mit #1: To niewygodne!

Jest to najczęstsza wymówka przeciwko korzystaniu z MFA. Tak, uwierzytelnianie wieloskładnikowe wymaga jednego dodatkowego kroku podczas logowania. Może to być postrzegane jako niewygodne w porównaniu do zwykłego dostępu za pomocą nazwy użytkownika i hasła. Jednak ten jeden dodatkowy krok jest wart znacznie wyższego poziomu ochrony przed cyberatakami phishingowymi lub atakami na hasła, które w przeciwnym razie są bardzo trudne do odparcia przez użytkowników.

Aby obalić mit o niewygodzie MFA, dział IT powinien zawsze mieć wiele scenariuszy uwierzytelniania dostępnych dla organizacji - zazwyczaj za pośrednictwem aplikacji mobilnej, wiadomości SMS, tokena sprzętowego, kluczy FIDO2, kodów jednorazowych, karty inteligentnej lub danych biometrycznych. Wszystkie te opcje MFA są dziś stosunkowo łatwe do wdrożenia.

Mit #2: To zbyt skomplikowane!

Obecnie praktycznie wszyscy posiadacze kont bankowych korzystają z uwierzytelniania wieloskładnikowego w życiu prywatnym. Czy rzeczywiście jest to aż tak skomplikowane dla milionów klientów banków? Scenariusze wymagające dodatkowego sprzętu mogą być bardziej skomplikowane i wymagające (zwłaszcza gdy zgubimy lub zapomnimy tego urządzenia w domu). Jednak weryfikacja poprzez aplikację mobilną lub SMS jest szybka, każdy zna ją ze swojego banku i z pewnością nie jest skomplikowana.

Mit #3: Pomoc techniczna nie zawsze jest dostępna!

Rzeczywiście mogą wystąpić sytuacje, w których domyślna metoda uwierzytelniania wieloskładnikowego nie będzie dostępna. Niezależnie od tego, czy jest to utrata urządzenia, czy niedostępność sygnału mobilnego. Właśnie na takie sytuacje należy przygotować wdrożenie MFA w organizacji i zapewnić różne alternatywy bezpiecznego logowania. Mogą się one również różnić w zależności od typu konta użytkownika - niektóre metody MFA mogą być używane tylko w przypadku kont lub działań o znaczeniu krytycznym, podczas gdy inne konta mogą korzystać z innej bezpiecznej metody logowania.

Staranne planowanie i testowanie scenariuszy MFA oraz korzystanie z dostępu warunkowego pomoże z powodzeniem zintegrować bezpieczniejsze logowanie w organizacji. Po kilku tygodniach użytkownicy będą traktować prośbę o kolejny czynnik jako całkowicie automatyczną część pracy.

Mit #4: Obawiamy się o naszą prywatność!

Niektóre osoby obawiają się, że podanie danych osobowych niezbędnych do weryfikacji (takich jak numer telefonu do wysyłania kodów weryfikacyjnych, odcisk palca itp.) może zwiększyć ryzyko naruszenia ich prywatności. Często słyszymy ten argument w organizacjach z niejasno zdefiniowanymi zasadami BYOD (Bring Your Own Device).

Ponieważ istnieje kilka różnych metod uwierzytelniania podczas korzystania z MFA, użytkownicy niekoniecznie muszą udostępniać informacje, które uważają za wrażliwe. Ich tożsamość można zweryfikować tylko za pomocą czegoś, co znają (hasło) i czegoś, co posiadają (urządzenie mobilne). Ponownie, jest to ta sama sytuacja, co w przypadku korzystania z bankowości mobilnej - ale z jasno określoną odpowiedzialnością, kontrolą i konkretną upoważnioną osobą, która zajmuje się korzystaniem z MFA w firmie.

Wypełniając dane osobowe w sklepach internetowych i rejestrując się w programach rabatowych, ludzie ujawniają o sobie znacznie więcej niż w przypadku jakiejkolwiek metody MFA. Czy to dlatego, że w takich przypadkach sami czegoś chcą, podczas gdy w przypadku wdrożenia MFA, wręcz przeciwnie, ich organizacja chce czegoś od nich?

Mit nr 5: Nie mamy zaufania do funkcjonalności MFA!

Martwisz się, że uwierzytelnianie MFA zawiedzie w najmniej odpowiedniej sytuacji? Problemy z funkcjonalnością uwierzytelniania wieloskładnikowego są rzadkie i zazwyczaj wynikają ze słabej implementacji i niewystarczających testów w konkretnym środowisku. Sama technologia MFA została dokładnie przetestowana przez wielu wiodących producentów oprogramowania dla przedsiębiorstw.

Prawdziwy powód? Raczej bałagan w księgowości!

Za wyżej wymienionymi obawami i argumentami przeciwko wdrażaniu MFA kryją się często ukryte powody, których firmy i organizacje bardzo niechętnie przedstawiają publicznie. Z reguły wiąże się to z udostępnianiem kont użytkowników lub danych logowania do nich - albo w celu delegowania zadań, które w przeciwnym razie mogłyby być wykonywane tylko przez odpowiedzialnego menedżera, albo w celu zaoszczędzenia kosztów związanych z licencjami systemów i aplikacji korporacyjnych. Niestety, MFA nie jest w stanie wyeliminować anomalii w procesach, w których właściciel konta nie jest jednocześnie jedyną osobą za nie odpowiedzialną. Ale czy nie są to właśnie powody, na których atakujący polegają i których używają, aby wyrządzić jak najwięcej szkód niezauważenie?