Slabé, či silné? Heslá sú kľúčom do mnohých firemných sietí, k citlivým dátam i k osobným údajom. A predsa, stále sú jedným z najkritickejších faktorov úniku dát. Ich najslabším článkom je práve človek. A prečo nefunguje ani prísna bezpečnostná politika?
Prieskumy hovoria jasne, heslá typu janka123, jožko321, 123456, ... a podobne ani po rokoch edukácie nevymizli. A nedala by som ruku do ohňa ani za to, že preslávené „nbusr123“ ešte niekto, možno len tak z recesie, stále nepoužíva. Národný bezpečnostný úrad to však isto nie je. To by bola vážne trúfalá recesia. A aký zmysel pre humor, pardon, pre heslá, majú vaši zamestnanci?
Najkritickejšie je, keď práve na týchto heslách stojí bezpečnosť firmy. Zamestnanci, ktorí majú „svojprávie v heslotvorbe“ si často neuvedomujú, aké dôsledky môže mať práve ich slabé heslo do firemnej siete na celú spoločnosť. Najmä teraz, v časoch GDPR, kedy ochrana osobných údajov nadobúda úplné inú hodnotovú úroveň a môže mať, ak nie cenu zlata, tak niekoľkých desiatok miliónov eur. Preto niektoré spoločnosti nenechávajú nič na náhodu a nútia zamestnancov poskladať si heslá s jasne stanovenými pravidlami diktujúcimi minimálny počet znakov, veľkých, malých písmen, čísiel i špeciálnych znakov. Bezpečnostné politiky mnohých firiem dokonca nútia svojich zamestnancov meniť si heslá s jasne určenou periodicitou. Napríklad každé dva - tri mesiace. A tak vznikajú, a nie sú ničím výnimočné, zlepšováky (heslá nalepené na post it papierikoch alebo zospodu na firemných notebookoch). Každý zamestnanec eliminuje riziko zabudnutia rôznymi spôsobmi a je až prekvapivé, aké sú tieto naoko náhodné spôsoby, čo do kreativity, v konečnom dôsledku jednotné.
Pripomeňme si pár štatistických údajov, ktoré sa zhodujú v tvrdení, že jedným z najkritickejších bezpečnostných faktorov vo firmách je človek. „Ľudská chyba – najčastejší faktor únikov dát,” uvádza Cost of Data Breach Study: Global Analysis Ponemon Institute. Podľa Verizon’s 2017 Data Breach Investigations Report (10. edícia) až „81% hackerských útokov vedúcich k úniku dát využilo ukradnuté alebo slabé heslá.“ Tak čo s tým?
Ani samotné banky neriskujú silu a pravdepodobnosť úniku hesiel svojich vlastných klientov. Nútia ich používať čítačky, SMS notifikácie – dvojfaktorovú autentifikáciu, aby ochránili peniaze svojich klientov pred nepovolanými osobami, ktoré sa dostali k ich prihlasovacím údajom rôznymi metódami, z ktorých mnohé možno považovať za naozaj precízne prepracované.
Dvojité overovanie alias dvojfaktorová autentifikácia je už rokmi overený bezpečnostný prvok, ktorý výrazne eliminuje ľudskú chybu ako príčinu nepovolaného nabúrania sa do firemnej siete z dôvodu uniknutého slabého či silného hesla. Preto sa jeho funkcionalita neustále vyvíja, aby minimálne zaťažoval používateľa, no zároveň si plnil svoju bezpečnostnú podstatu. Konkrétne, ESET Secure Authentication je riešením, ktoré jednoduchosťou možno prirovnať k antivírusovému riešeniu „nainštaluješ a neriešiš“.
Ako teda ESET Secure Authentication funguje? Každý používateľ prihlasujúci sa do firemnej siete použije najskôr prvý faktor ochrany, svoje heslo. Následne sa dostáva na rad druhý faktor autentifikácie. Ten je variabilný podľa preferencií samotnej firemnej politiky. Najjednoduchším spôsobom je použitie zariadenia, ktoré zamestnanec už má (smartfón alebo inteligentné hodinky), prípadne môže využiť aj firemný token alebo iný hardware, ktorý potvrdí jeho identitu.
V prípade využitia smartfónu alebo inteligentných hodiniek príde používateľovi prostredníctvom aplikácie ESET Secure Authentication notifikácia, ktorú jednoduchým kliknutím potvrdí, čo následne umožní jeho prístup do firemnej siete. Vďaka technológii Push Autentication alebo Push upozornenia už nie je potrebné prepisovať unikátne jednorazové kódy do počítača. No v prípade, že to vaša firemná politika vyžaduje, je stále dostupná aj táto menej sofistikovanejšia forma.
Aplikáciu ESET Secure Authentication získa používateľ automaticky implementáciou tohto riešenia prostredníctvom notifikačnej SMS od spoločnosti ESET alebo si ju jednoducho stiahne prostredníctvom Google Play, App Store alebo Windows Store (podľa operačného systému zariadenia).
Dvojfaktorovou autentifikáciou od ESET nevznikajú žiadne ďalšie náklady na nový hardvér a dáta, vrátane osobných údajov, zostávajú v bezpečí. A čo na to samotné európske nariadenie GDPR? Odpoveď nájdete v príručkách vydaných agentúrou EÚ European Network and Information Security Agency (ENISA): „Dvojfaktorová autentifikácia by prednostne mala byť určená na prístup k systémom, ktoré spracúvajú osobné údaje.“
Viac článkov k téme:
Prečo sa v súvislosti s GDPR spomína šifrovanie?
Strácate sa v šifrovaní? Pozrite si zoznam bodov, ktoré hľadať v správnom riešení
Šifrovanie vo firme: Začíname s ESET Endpoint Encryption (VIDEO)