Špatně. Aha, je asi zapnutý CapsLock, přehozený jazyk klávesnice nebo nezapnutý NumLock. Snad každého z nás už tohle někdy potkalo a to v tu nejnevhodnější dobu, kdy je třeba rychle odeslat e-mail, vyplnit údaje do patřičného dokumentu, apod. K tomu je třeba i pravidelně měnit hesla dle firemní politiky, což vede k jedinému – co nejjednodušší obměna znaků, kterou firemní politika dovolí. Proč máme tak často heslo měnit a proč má mít takovou délku, obsahovat číslice a speciální znaky? Prý bezpečnost. Je tohle ale to pravé zabezpečení?
Za nás v ATOS si dovolime tvrdit, že nikoliv. A dle zkušeností nejsme sami. Máme 21. století a to už za polovinou své druhé dekády. Existují nástroje, které nás bezpečně přihlásí, a není třeba krkolomných hmatů na klávesnici. Vícefaktorové ověřování – to je to, oč tu běží. V rámci ATOS můžeme nabídnout několik řešení, které zaštiťuje naše značka EVIDIAN.
Pokud si odmyslíme (ne)komfort při psaní „bezpečného“ hesla, heslo je něco, co VÍME. Můžeme ho tedy zapomenout, nebo ho může zjistit i někdo jiný (Existuje celá řada úspěšných pokusů, jak heslo od uživatele dostat – keyloggery, sociální inženýrství). V obou případech jde o bezpečnostní riziko a je tedy na vedení společnosti, jak ho pokud možno co nejvíce eliminuje. Snížit riziko lze např. nasazením SW Evidian Enterprise Single sign-on (E-SSO), nebo-li jednotné přihlášení uživatele. Nebavíme se zde jen o hlavním hesle do systému, ale také do dalších aplikací (CRM, účetnictví, firemní e-mail,..). Díky E-SSO jsou všechna hesla šifrovaně uložena v zabezpečeném programu. Ten nás navíc může do aplikací, ať už intranetových či webových, přihlašovat i zcela automaticky. E-SSO je běžně jako klient instalovaný v uživatelském počítači (dnes i Smartphone). Pokud není možné klienta instalovat (řada uživatelů nemá např. firemní stroj), nabízíme tzv. Web Access Manager (WAM), co umožní přístup do firemních webových aplikací přes zabezpečenou bránu (a opět stačí jen prvotní přihlášení). Tento princip využívají např. i některé banky pro své Internetové bankovnictví a následný automatický přístup k přidruženým zákaznickým službám. Uživatel přistupuje jen přes běžný webový prohlížeč. V kombinaci s dalšími metodami ověřování se jedná o optimální systém zabezpečení přístupu.
Vyšší zabezpečení je přitom možné přidáním dalšího faktoru, např. něčeho, co MÁME. Typicky čipová karta, USB klíčenka, RFID karta, etc. Rázem je zabezpečení mnohem silnější. Útočník se totiž musí k této věci dostat. Je tak vysoká pravděpodobnost, že o ztrátě již víme a nahlásili jsme ji. Zafungovaly tak bezpečnostní mechanismy (blokace na helpdesku, u správce systému), které útočníkovi znemožní přístup. Populární je i zadání jednorázového hesla jako druhotné autentizace. To může být i formou oskenování zašifrovaného QR kódu naší aplikací QREntry v mobilním telefonu. Po oskenování obdržíte kód, který zadáte do příslušeného formuláře, ať už pro přihlášení k pracovní stanici, nebo i webové stránce.
Třetím faktorem ověřování je něco, co JSME. Biometrické údaje spjaté s vlastním tělem. Pro obyčejné otisky prstů jsou k dostání čtečky integrované v celé řadě notebooků a samozřejmě se dají koupit externí (i integrované do klávesnice). Dále jsou čtečky otisků krevního řečiště v prstu. Jde o vyšší a přesnější formu zabezpečení (už žádné několikanásobné přikládání prstu), protože běžný otisk je možné v určitých případech podvrhnout. Profesionální čtečky sítnice a duhovky jsou opět primárně externí a to samé platí pro skeny obličejové masky. Pro každou z kategorií existuje na trhu několik zavedených dodavatelů samotných zařízení, se kterými ATOS celosvětově spolupracuje.
Dobře, máme tedy 3 možnosti, jak ověřit něčí totožnost. Vybereme vhodnou kombinaci zařízení, budeme mít tak vysoké zabezpečení, nadřízení nás pochválí... ne. I tady je ještě několik věcí, na které musíme při výběru myslet.
Určitě je třeba vybrat odborníky, kteří doporučí vhodné kombinace zabezpečení do našich podmínek a hlavně, umí je správně nasadit. Často se logický přístup kombinuje také s fyzickým. Karta s RFID slouží pro přístup a pohyb po budově nebo areálu, čip poté pro ověření uživatele na pracovní stanici, na tiskárně, etc. Do čipu karty je možné importovat také elektronický podpis pro snížení objemu papírových dokumentů obíhajících v naší organizaci. Pokud jsme ve větší společnosti, je nutné automatizovat co nejvíce procesů týkajících se oprávnění přístupů – tím se zabývá tzv. Identity and Access Management. Pro nasazení čipových karet je třeba mít tzv. Public Key Infrastrukturu, velký počet karet musíme řídit přes Card Management System. Důležitá je integrace EVIDIAN s dalšími systémy např. SIEM a reportovacími nástroji. U každého řešení je nutná servisní podpora a to i formou Security Operation Centra, které řeší vzniklé bezpečnostní incidenty.
Na to všechno, vás ale naši odborníci připraví.
Ondřej Fišer, EVIDIAN Product Manager Czech republic and Slovakia
ATOS IT Solutions and Services, s. r. o.
Psali jsme:
Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: PV
