Ako ochrániť vaše citlivé dáta

Slabé heslá, neaktualizované bezpečnostné riešenia, pripojenie sa na nezabezpečené siete - to všetko sú faktory, ktoré môžu viesť ku krádeži identít. Hackeri tak môžu získať aj vaše osobné a citlivé informácie, ktoré môžu ľahko zneužiť. Prevencia možného kyberútoku môže byť jednoduchá a finančne nenáročná. Stačí správne nastaviť procesy. Navyše, ochrana zariadení a softvéru nie je dôležitá len v kontexte firiem. Je to práve správanie jednotlivcov v digitálnom priestore, ktoré má vysoký dopad na ochranu firemných údajov. Jedným zo základných riešení je využitie viacfaktorového overovania (MFA), o ktorom sme sa porozprávali s Marekom Cisárom zo spoločnosti Excalibur

Marek na podujatí priblížil princíp fungovania technológie multifaktorovej autentifikácie, vysvetlil historický vývoj až do súčasnosti, pripravil si pre hostí krátku anketu a prešiel živými ukážkami nastavovania MFA. Útočníkom ide predovšetkým o to dostať sa k senzitívnym informáciám a nejakým spôsobom ich speňažiť. 

Prečo je zabezpečenie dát dôležité?

Naše dáta sú chránené prístupovými údajmi, na ktoré sa neustále útočí organizovanými skupinami. 

  • Dôležité systémy čelia každú sekundu až 1 000 útokom mierených na heslá

  • V 99,9% prípadoch kompromitovaných účtov tieto nemali vyžadovanú MFA (viacfaktorové overovanie)

  • 62% používateľov si ukladá heslá v nechránenej podobe ako napr. poznámky, excelové súbory, atď.

  • 55% používateľov si heslá ukladá v nechránenej podobe do mobilných zariadení

  • 40% používateľov považuje SMS ako dobrý a bezpečný druhý faktor pri prihlasovaní. 

  • 22% používateľov pokladá používanie MFA za komplikované a zdĺhavé

Ako dokáže viacfaktorové overovanie pomôcť?

  • MFA dokáže zabrániť až 99,9% automatizovaných útokov

  • Údaje zo 47 000 organizácií po celom svete hovoria, že 57% z nich má nasadenú MFA

  • 95% zamestnancov využíva MFA v podobe mobilnej aplikácie

  • Iba 4% zamestnancov využívajú dedikovaný hardvérový prostriedok a menej ako 1% využíva biometriu 

Celosvetovo sú veľké firmy (nad 10 000 zamestnancov) v nasadzovaní MFA relatívne pokročilé - dosahujú takmer 90%. Akonáhle ale sledujeme menšie firmy, nasadzovanie MFA postupne klesá. Pri firmách do 100 zamestnancov rádovo len 8-9% z nich používa MFA. Malé firmy často nemajú svoje IT oddelenie, ani technické zázemie, a využívajú väčšinou predplatené služby veľkých dodávateľov. 

Aký je rozdiel medzi dojfaktorovým a viacfaktorovým overovaním? 

Dvojfaktorové overovanie používa k heslu zväčša jednoduchý doplnok, napríklad PIN kód, jednorazový kód generovaný aplikáciou, hardvérový doplnok, kalkulačku na generovanie jednorazových kódov, mobilnú aplikáciu alebo ďalšie. 

Pri MFA existuje presná definícia, čo treba spĺňať, v podstate ide o tri body: 

  1. musí zohľadniť niečo, čo je pre mňa unikátne - napríklad biometria, IP adresa - čiže faktor, ktorý sa vzťahuje iba na mňa a je pre mňa špecifický;

  2. musí zahŕňať niečo, čo vlastním - napríklad token, mobilná aplikácia, čítačka;

  3. všetky prvky musia byť chránené ďalším faktorom, ktorý poznám iba ja - napríklad PIN kód, fráza, heslo a pod. 

Silné MFA prichádzajú aj s ďalšími faktormi, napríklad dodatočné overenie (overí ma kolega alebo zákazník). 

Hlavnými komponentmi MFA sú 1. systém kam sa idem prihlásiť; 2. server MFA; autentifikačný prostriedok; 4. manažér používateľských účtov (identity provider). 

Historický vývoj MFA

Vývoj siaha až do roku 6000 p.n.l. v Egypte, používali kľúče s dreveným mechanizmom na zabezpečenie, bol to predchodca doteraz používaných zámkov a kľúčov, čo sa postupne vyvíjalo až do podoby štandardného zámku a kľúča. V roku 1985 si Kenneth Weiss nechal patentovať prvé zariadenie na generovanie OTP (one time passcode) kódov, ktoré si ale nenašlo žiadne praktické využitie. V roku 1996 si AT&T nechalo patentovať autorizačno-alertovací systém. V priebehu 21. storočia sa dvojfaktorové overovanie postupne vyvíja a mení v prospech MFA. 

Tak, ako sa zvyšuje komplexita útokov na naše siete, tak sa musíme prispôsobovať aj my, a používať komplexnejšie formy zabezpečenia. Treba mať v prvom rade zavedený proces, mať vo firme nastavený a zadefinovaný princíp, rovnako tak zamestnanci musia byť informovaní a preškolení.   

Podujatie bolo organizované SAPIE pod hlavičkou Ligy za digitálny rast, v spolupráci so spoločnosťou Excalibur. Excalibur pôsobí ako slovenský cybersecurity vendor od roku 2016, s tímami v Poprade, Košiciach a Bratislave s cieľom podporovať komunitu v aplikovaní dobrých skúseností spojených s MFA a PAM na Slovensku, ale aj širšom regióne strednej a východnej Európy. Pracuje s uznávanými slovenskými i medzinárodnými partnermi.

Partnerom podujatia bolo aj Hopero a podujatie sa uskutočnili s grantovou podporou Center for International Private Enterprise (CIPE).

Previous
Previous

Veronika Krajčovičova o dôležitosti ochrany dát

Next
Next

Martin Lohnert o monitorovaní sieti