Эпидемия утечки данных не замедляется. И, несмотря на то, что такого рода угрозы существуют десятилетиями, многие организации по-прежнему плохо разбираются в том, как их предотвратить, хотя методы аутентификации, включая использование паролей, являются одной из основных причин утечек.
Фактически, в отчете о расследованиях утечек данных Verizon 2022 было установлено, что 82 процента утечек могут быть связаны с человеческим фактором кибербезопасности – главными из них являются украденные учетные данные и фишинговые атаки. Итак, если проблема в том, что субъекты угрозы получают несанкционированный доступ к данным, почему организации не используют более надежные подходы к аутентификации для предотвращения киберпреступлений? На мой взгляд, есть три основные причины, по которым организации не спешат внедрять новые методы аутентификации, а также решения этих проблем:
1. Руководители сопротивляются переменам
Это общая тема, когда речь заходит о добавлении новой технологии. Иногда руководителям организаций трудно изменить то, как все делалось всегда, что мешает им действовать до того, как произойдет утечка. Многие организации также придерживаются мнения, что “если это работает так долго, не стоит чинить то, что не сломано”.
Чтобы преодолеть эту проблему, ответ таков — не меняться, по крайней мере, фундаментально. Многие крупные организации в настоящее время имеют по крайней мере три системы идентификации и управления доступом (IAM) и сотни приложений. Добавление еще одного уровня в их технологический стек для управления аутентификацией только увеличивает воспринимаемую сложность для групп безопасности. Фактически, недавний опрос показал, что 70 процентов ИТ-специалистов ошеломлены сложностью своих систем аутентификации, поэтому понятно, что они не решились бы добавить еще одну систему.
Вместо того, чтобы копировать и заменять существующие системы IAM, которые приносят пользу во многих отношениях, выходящих за рамки аутентификации, организации могут дополнить их набором инструментов, расширяющих их встроенные возможности, многие из которых часто имеют критические недостатки, такие как отсутствие защиты от фишинга. Аутентификация на основе сертификатов (CBA) является примером технологии, которая может укрепить существующие инвестиции и обеспечить расширенную аутентификацию, которая может не только улучшить аутентификацию в рамках одной системы, но также может охватывать несколько систем IAM, помогая организациям применять более целостный, систематический подход к аутентификации.
2. Это негативно скажется на эффективности организации
Часто существует тенденция придавать чрезмерное значение решению проблемы, особенно когда ставки высоки. В сфере кибербезопасности это может проявляться в виде набора процессов, которые не совсем благоприятны для рабочей силы. Для доступа к тому, что нужно пользователю, требуется слишком много сложных шагов, и производительность может снизиться. Более того, исследования показали, что сотрудники найдут “обходные пути”, если безопасность предприятия слишком сложна, что делает организации особенно уязвимыми.
Хотя безопасность действительно сложна, она не обязательно должна быть препятствием. Новые современные методы, такие как аутентификация без пароля, призваны облегчить пользователям (и ИТ-командам) выполнение их работы. Решение без пароля не только устраняет зависимость от паролей, которые легко скомпрометировать, но и прагматично устраняет трения с пользователями — беспроигрышный вариант для всех. Это должно быть тем типом изменений, которые руководители могут принять во внимание — решения в области безопасности, которые не только лучше защищают организации, но и облегчают нагрузку ИТ-команд и сотрудников. Вот почему, согласно недавнему исследованию IDG, две трети организаций планируют внедрить решение без пароля в ближайшие 24 месяца.
3. Обновление обходится слишком дорого
Предполагаемая цена более надежного метода аутентификации может заставить руководителей отказаться, но недавние достижения добавили больше возможностей без затрат на оборудование. Например, теперь в Windows 11 — модуль доверенной платформы (TPM) — и в iPhone, iPad и Mac — безопасный анклав – бесплатно встроены улучшенные модули безопасности. Эти дополнительные опции позволяют службе безопасности максимально повысить безопасность аутентификации по всем направлениям, сохраняя при этом надежные аппаратные средства аутентификации, такие как PIV-карты и USB-ключи (например, YubiKey), для ключевых руководителей и отделов, которым требуется высочайший уровень безопасности.
Кроме того, затраты на обновление, если таковые имеются, должны быть сбалансированы с затратами на снижение стоимости взлома или сбоя в работе. IBM Security сообщает, что средняя стоимость утечки данных в США составляет почти 10 миллионов долларов — самый высокий показатель в мире. Кроме того, в том же отчете говорится, что 83 процента опрошенных компаний сталкивались со взломом более одного раза. С этой точки зрения обновление методов аутентификации кажется намного менее дорогостоящим.
Однако решения о покупке технологий чаще оцениваются в рамках более узкой сферы внимания. Покупка должна быть самостоятельной и обеспечивать четкую и поддающуюся количественной оценке отдачу от инвестиций. Для продвинутых форм аутентификации, особенно облачных платформ, которые объединяют подходы к аутентификации в единое интегрированное решение, установите эти флажки. Например, используя единую панель управления для всех методов аутентификации и учетных данных, организации могут снизить общие затраты по сравнению с разрозненным подходом, требующим уникальных процессов и надзора. Они также могут обеспечить экономию благодаря улучшенному внедрению и отслеживанию использования учетных данных, устойчивых к фишингу, а также снизить нагрузку на службу поддержки при выполнении общих требований, таких как сброс пароля, когда вы делаете это унифицированным образом. Результатом является не только меньшее окно подверженности риску, но и экономия материалов, которая компенсирует — часто в течение нескольких месяцев — первоначальные затраты на инвестиции плюс лучшее признание пользователей.
Переход на более надежные методы аутентификации не обязательно должен произойти полностью в одночасье. Для начала организациям следует подумать о внедрении на рынке технологических решений для аутентификации, которые устраняют эти три препятствия на пути совершенствования аутентификации — и которые могут быть выполнены относительно быстро, чтобы избежать утечки данных, например, современной аутентификации без пароля. Кроме того, при правильном технологическом решении для аутентификации каждой группе конечных пользователей может быть подобран нужный уровень аутентификации (от встроенного в аппаратное обеспечение до внешних аутентификаторов) и внедрен последовательно. Это позволяет команде безопасности выполнять обновление в управляемые этапы.
Руководители служб безопасности никогда не могут быть слишком осторожны, когда речь заходит о защите конфиденциальных данных, поэтому устранение одной из основных первопричин проблемы утечки данных — аутентификации — значительно повысит уровень кибербезопасности организации сейчас и в долгосрочной перспективе при одновременном снижении затрат.