Stredne veľké podniky a firmy z niektorých odvetví sa mylne domnievajú, že kybernetický útok ich obíde, pretože nie sú pre kriminálnikov zaujímavé. Podľa prieskumu Verizon Data Breach bolo však až 78 percent útokov zameraných na široké spektrum cieľov a útočníkom nezáležalo na tom, či je dotknutá spoločnosť finančne atraktívnou potenciálnou obeťou.

Z prieskumu CSID zase vyplynulo, že až 76 percent útokov bolo zapríčinených slabými alebo ukradnutými prihlasovacími údajmi. Slabé heslá teda predstavujú významné riziko pre zabezpečenie dátovej infraštruktúry. Ani viacvrstvová antivírusová ochrana nedokáže spoločnosť ochrániť pred zamestnancami, ktorí v práci používajú slabé heslá.

Aj v strednej Európe bola antivírusová spoločnosť ESET svedkom toho, ako dokázal týmto spôsobom jediný firemný zamestnanec poškodiť meno svojho zamestnávateľa a otvoriť dvere útočníkom k citlivým firemným údajom. Podobným útokom mohlo byť pritom jednoducho zabránené, ak by obeť používala dvojfaktorovú autentifikáciu.

Túto technológiu na bezpečné prihlasovanie začali využívať aj spoločnosti ako Microsoft, Google, Facebook a Apple. Je však nutné podotknúť, že v niektorých prípadoch dvojfaktorovú autentifikáciu zaviedli až po tom, čo došlo k prienikom do ich služieb.

Čo je dvojfaktorová autentifikácia

Dvojfaktorová autentifikácia pri prihlasovaní do systému používa dve elementy – niečo, čo používateľ vie a niečo, čo používateľ má. Keď sa tieto elementy použijú spoločne, poskytujú oveľa vyššiu bezpečnosť pre prístup k dátam.

 

V prípade spoločností ako Google a Facebook ide buď o autentifikáciu formou SMS alebo vďaka mobilnej aplikácii, ktorá generuje kódy. Funguje to tak, že po zadaní prvého faktora – hesla – ešte pridáte ďalší faktor – kód zaslaný formou SMS alebo vygenerovaný aplikáciou. Tieto služby často bývajú bezplatné, ale musíte si ich sami aktivovať. Väčšinou ich nájdete v sekciách Bezpečnosť alebo Súkromie.

Obzvlášť vhodné je túto pridanú bezpečnostnú vrstvu aktivovať, ak máte v cloude citlivé súkromné dáta. S dvojfaktorovou autentifikáciou je oveľa zložitejšie dostať sa k vašim údajom. Faktom je, že s podobnou ochranou ste pre kyberkriminálnikov menej zaujímaví. Cena útoku na vás sa im totiž výrazne predražuje.

Zabezpečenie kritických firemných aplikácií

Učebnicovým príkladom útoku, ktorému sa dá vďaka dvojfaktorovej autentifikácii predísť, je príklad prihlasovania sa zamestnanca k firemným údajom z domáceho počítača. Zamestnancov počítač môže byť infikovaný a heslo do Outlook Web Access (OWA) môže byť odchytené a následne zneužité útočníkom.

ESET preto prišiel minulý rok na trh s novým riešením poskytujúcim bezpečnú dvojfaktorovú autentifikáciu s názvom ESET Secure Authentication. Aktuálne poskytuje firmám bezpečnejší prístup ich zamestnancov k citlivým údajom. Napríklad pri vstupe do VPN alebo OWA používateľ vloží svoje prihlasovacie údaje v podobe prihlasovacieho mena a hesla. To je to, čo používateľ vie. ESET Secure Authentication predstavuje to, čo používateľ má. Tým je mobilný telefón, na ktorom je nainštalovaná aplikácia, ktorá používateľovi vygeneruje jednorazové heslo. To musí zamestnanec pri vstupe do VPN alebo OWA použiť v ďalšom kroku.

Až potom sa dostane do systému alebo k e-mailom. Aj pri infikovaní počítača a odchytení jednorazového hesla útočníkom je preto systém chránený. Výhodou jednorazových hesiel je, že sú náhodne generované a nedajú sa predvídať, ani znova použiť. Firmy sa nemusia obávať ani prípadov, kedy by bol zamestnancovi ukradnutý nezaheslovaný mobil, vďaka ktorému má prístup k jednorazovým heslám. Aplikácia ESET Secure Authentication je totiž chránená PINom. Dvojfaktorová autentifikácia teda predstavuje efektívny spôsob, ako u zamestnancov vynucovať používanie komplexných hesiel bez toho, aby ich obmedzovali v práci.

Využitiu dvojfaktorovej autentifikácie pri ochrane firemných údajov sa bude 28. októbra venovať konferencia ESET Security Days. Viac informácií nájdete na webe www.esetsecuritydays.sk.