Kolejne rządy wprowadzają uwierzytelnianie wieloskładnikowe

Secfense o tym jak kolejne rządy wprowadzają uwierzytelnianie wieloskładnikowe

Liczba rządów, które wprowadzają uwierzytelnianie wieloskładnikowe (MFA) w celu ochrony poufnych danych, szybko rośnie.

Kolejne rządy wprowadzają uwierzytelnianie wieloskładnikowe

Amerykański serwis Login.gov, brytyjska aplikacja National Health Services Login, czeski rejestr DNS czy szwedzki system edukacyjny eduID. To tylko kilka z wielu aplikacji rządowych z całego świata, które są obecnie chronione przez uwierzytelnianie wieloskładnikowe (MFA). Przywódcy państw, w tym prezydent Stanów Zjednoczonych Joe Biden, wzywają do wdrożenia silnego uwierzytelniania. Czy ten krok ma szanse ochronić instytucje rządowe przed cyberprzestępcami?

Zauważalnie rośnie popularność MFA, czyli wykorzystywania dodatkowego komponentu podczas logowania do aplikacji (np. kodów jednorazowych, kluczy kryptograficznych U2F\FIDO2 lub innych form dodatkowego uwierzytelnienia). Szybka cyfryzacja i cyfrowa transformacja codziennego życia tylko poprawiają sytuację cyberprzestępców, którzy znajdują coraz to lepsze i szybsze sposoby na złamanie lub wykradzenie haseł.

Transformacja cyfrowa

Kupujemy online częściej niż kiedykolwiek, a liczba transakcji w internecie z roku na rok rośnie. Przedsiębiorstwa inwestują w technologie chmurowe, firmy przenoszą się do wirtualnego świata. To stymuluje zuchwałość cyberprzestępców, co z kolei skłania rządy do wprowadzenia surowszych i silniejszych przepisów dotyczących cyberbezpieczeństwa.

Dziś potrzeba ochrony przed cyberatakami nie jest nadmierną ostrożnością, a po prostu zwykłą koniecznością.

Secfense opisuje jak kolejne rządy wprowadzają uwierzytelnianie wieloskładnikowe
Secfense opisuje jak kolejne rządy wprowadzają uwierzytelnianie wieloskładnikowe

Potwierdzanie tożsamości w MFA

Uwierzytelnianie wieloskładnikowe gwarantuje, że osoba siedząca po drugiej stronie monitora jest tym, za kogo się podaje. Wdrażając MFA, organizacje zabezpieczają swoje dane, aby żaden cyberprzestępca nie miał do nich dostępu używając skradzionych danych uwierzytelniających. Giganci technologiczni wiedzieli o tym od lat, teraz organizacje publiczne i prywatne podążają śladami wczesnych użytkowników wielkich technologii.

Globalne przyjęcie uwierzytelniania wieloskładnikowego

Korporacja Google od 2017 r. uchroniła 85 000 pracowników przed phishingiem. Niedawna deklaracja, że MFA to „must have”, pochodzi od Marka Risher’a, starszego dyrektora ds. zarządzania produktami w Google. 6 maja 2021 r. poinformował media, że posiadacze kont Google będą zmuszeni do korzystania z uwierzytelniania wieloskładnikowego, jeśli nadal będą chcieli korzystać z usług firmy.

– Sieci firmowe nie są już bezpiecznymi zamkami, do których osoby postronne nie mają dostępu. Wręcz przeciwnie – rosnąca liczba aplikacji chmurowych i praca zdalna sprawia, że każdą osobę, która pojawia się w naszej sieci, trzeba traktować jako intruza. Takie podejście nazywa się modelem bezpieczeństwa zero trust wyjaśnia Marcin Szary, CTO i współzałożyciel Secfense. – Kluczem do skutecznej ochrony danych jest upewnienie się, że wiemy, kim jest osoba siedząca po drugiej stronie ekranu. Bez tej pewności żadne środki bezpieczeństwa nie są skuteczne. – dodaje Szary.

Badanie Google wykazało, że samo dodanie pomocniczego numeru telefonu do konta zapobiega prawie 100% atakom zautomatyzowanych botów, 99% masowym atakom phishingowym i 66% atakom ukierunkowanym.

Wyzwania związane z wdrożeniem MFA

Dlaczego więc MFA – uważany przez ekspertów za jedną z najskuteczniejszych metod ochrony użytkownika przed kradzieżą tożsamości – wciąż jest wykorzystywany tylko w wybranych aplikacjach, a nie w całej organizacji?

Głównym problemem powszechnego stosowania MFA w organizacjach i instytucjach publicznych jest złożoność i koszty wdrożenia. Wdrożenie uwierzytelniania wieloskładnikowego w całej organizacji zwykle wymaga dużego kapitału i czasu. Dużą przeszkodą są również wysoce niejednorodne środowiska IT, do których trudno jest dopasować odpowiednie narzędzia.

– Jednym z podejść do implementacji usługi MFA jest podejście znane jako user access security broker. Broker bezpieczeństwa po prostu dodaje MFA między aplikacją a użytkownikiem. Jest umieszczony jako warstwa pośrednicząca, która wtapia się w aplikację, dając pełną kontrolę nie tylko nad procesem uwierzytelniania, ale nad całą sesją użytkownika. Co ważne, takie działanie nie wymaga żadnych zmian w kodzie chronionych aplikacji. Broker uwalnia od uzależnienia od dostawcy (vendor lock-in) i umożliwia organizacjom korzystanie z dowolnej metody MFA, w tym najnowszych i najbezpieczniejszych standardów uwierzytelniania, takich jak FIDO2 – mówi Marcin Szary, współzałożyciel i CTO w Secfense.

Przywódcy państw narzucają użycie MFA

W związku z tym, że MFA jest metodą skutecznie chroniącą organizacje przed phishingiem i kradzieżą poświadczeń, jej zastosowaniem zainteresowały się rządy wielu krajów na całym świecie.

12 maja 2021 r. w świecie cyberbezpieczeństwa pojawiła się wielka wiadomość – prezydent Joe Biden podpisał dekret wykonawczy mający na celu poprawę cyberbezpieczeństwa kraju. Nakaz wezwał do wdrożenia uwierzytelniania dwuskładnikowego (2FA) dla całego rządu w ciągu 180 dni. Z kolei na wrześniowym Authenticate Virtual Summit użytkownicy, eksperci i dostawcy z całego świata pokazali wiele studiów przypadków pokazujących, jak silne uwierzytelnianie pomaga w zabezpieczaniu tożsamości online. Uczestnicy, w tym przedstawiciele brytyjskiej National Health Service (NHS), amerykańskiego login.gov i Internal Revenue Service (IRS), zgodzili się, że uwierzytelnianie i ochrona tożsamości cyfrowych jest najwyższym priorytetem dziś i w przyszłości.

– Kiedy mówimy o bezpieczeństwie zero trust, mamy na myśli architekturę, w której ludziom i ich urządzeniom nie „ufa się” tylko dlatego, że znajdują się w sieci organizacji – mówi Marcin Szary. – Trzeba pamiętać, że duża liczba ataków odbywa się z wnętrza sieci organizacji. Fakt, że coraz więcej rządów dba o globalne przyjęcie uwierzytelniania wieloskładnikowego, nie jest zaskoczeniem, a raczej naturalnym trendem lub po prostu koniecznością.

Secfense donosi - przywódcy państw narzucają korzystanie z MFA
Secfense donosi – przywódcy państw narzucają korzystanie z MFA

Uwierzytelnianie FIDO2

Rok 2021 pokazał, że sposób, w jaki rządy światowe myślą o MFA, zasadniczo się zmienia. Szybko rośnie rola FIDO2, globalnego, otwartego standardu uwierzytelniania, opracowanego przez konsorcjum FIDO, a następnie zatwierdzonego przez W3C (World Wide Web Consortium).

– Uwierzytelnianie FIDO2 nie jest już kolejną opcją uwierzytelniania – kontynuuje Marcin Szary z Secfense. – Staje się preferowanym wyborem wielu instytucji rządowych, a także organizacji prywatnych.

Wdrożenie FIDO2

Jak to wygląda w praktyce? Na przykład rządowa organizacja Canadian Digital Service wdrożyła sprzętowe klucze bezpieczeństwa, które obsługują wszystkie metody oparte na FIDO2. Proces uwierzytelniania z FIDO2 jest bardzo prosty – podczas logowania m.in. na swój adres e-mail należy podać hasło i dodatkowo uwierzytelnić się wkładając klucz zabezpieczający do portu USB i naciskając przycisk. W przypadku CZ.NIC, czeskiego rejestru DNS, również akredytowanego przez krajowego dostawcę tożsamości cyfrowej oraz przez eIDAS mojeID, 800 000 użytkowników może logować się do usług rządowych opartych na FIDO2 od września 2021 roku. wdrożony w portalu edukacyjnym eduID z obsługą uwierzytelniania z wykorzystaniem protokołu Universal Second Factor FIDO (U2F).

– W USA amerykański serwis Login.gov bazuje na standardzie FIDO2, a w Wielkiej Brytanii aplikacja National Health Services Login korzysta z uwierzytelniania biometrycznego – dodaje Marcin Szary. – Podobne praktyki stosuje rząd Korei Południowej – drugi komponent, rozpoznawanie odcisków palców dla 14 milionów użytkowników – Tajlandia z kolei ma specjalną stronę internetową, która pomaga organizacjom skonfigurować uwierzytelnianie wieloskładnikowe przy użyciu technologii FIDO.

Ruch rządów w kierunku MFA

Ogólnie rzecz biorąc, dążenie rządów do implementacji MFA w celu zapewnienia skalowalnej i opłacalnej formy silnego uwierzytelniania jest całkowicie zrozumiałe. Rządy i organizacje publiczne są zmuszone przez ciągłe ataki, a także rosnącą presję publiczną do przyspieszenie działań – zwłaszcza w czasach pandemii. Rządy muszą podejmować sprawne kroki, które zapewnią ochronę wrażliwych danych przy wykorzystaniu najlepszych możliwych narzędzi.

Miejmy nadzieję, że urzędnicy publiczni i decydenci wezmą pod uwagę globalne przyjęcie MFA i zabezpieczą za pomocą silnego uwierzytelniania nie tylko garść aplikacji, ale całą infrastrukturę rządową. Tylko takie, globalne podejście i wprowadzenie modelu bezpieczeństwa zero trust ma szansę rozwiązać problemy związane z kradzieżą tożsamości i wyciekiem danych.

Czytaj więcej

Referencje

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.