Герои двухфакторной аутентификации, часть вторая


    Недавно в первой части статьи, мы рассказали, что были удивлены, как мало компаний считают отсутствие двухфакторной аутентификации серьезной угрозой информационной безопасности.

    Чтобы понять причины, мы составили четыре описания лиц принимающих решения — двух директоров и двух руководителей ИТ-отделов, по одному для крупной и средней компаний. С помощью этих психологических портретов мы и попытаемся понять причину легкомысленного отношения к ИБ компании.

    В прошлый раз мы рассмотрели директора ИТ-департамента НПЗ «ФлайТек», а сегодня пришла пора познакомиться с его руководителем (и остальными двумя персонажами).



    Константин


    Компания


    Нефтеперерабатывающий завод ФлайТек, часть крупного нефтяного холдинга ФлайОйл. Всего на НПЗ работает более 3 тыс. человек, но с вычислительной техникой связано около тысячи. Это как вспомогательные подразделения (управленцы, бухгалтерия, логистика, служба сбыта, маркетинг), так и производственники, работающие с АСУ ТП через терминалы на Microsoft Windows.

    Должность


    Генеральный директор.

    За что отвечает


    1. За бесперебойную работу НПЗ в целом.
    2. За эффективную координацию подразделений — финансового, коммерческого, производственного, транспортного, СБ и ИТ.
      Грубо говоря, каждый день на НПЗ должна поступать нефть по железной дороге и нефтепроводу, нефть должна перерабатываться в бензин, керосин, мазут и пр., все это должно складироваться, продаваться, транспортироваться с помощью привлеченного и собственного железнодорожного и автомобильного транспорта, территория должна охраняться, сотрудники должны получать зарплату, компьютеры должны работать и обслуживать сотрудников и производство. За каждую функцию по отдельности отвечает руководитель отдела, за все сразу — Константин.
    3. За предложения совету директоров и руководителям холдинга по стратегическому развитию завода.

    За что не отвечает


    1. За ежедневную работу вышеперечисленных подразделений — это обязанность их руководителей. Если на производстве авария, не пропарили цистерны, деньги от заказчика не пришли, произошла попытка взлома сети — со всем этим должны разбираться начальники департаментов, поскольку именно они обладают необходимыми навыками, информацией и инструментами для решения этих проблем.
    2. За работу всего холдинга.

    Профессиональное мировоззрение


    Со стороны кажется, что НПЗ — далеко не самое крупное из возможных предприятий, а производство хотя и достаточно опасное, но всё таки не АЭС. Но если посмотреть сверху, то будет видно, что НПЗ — это фактически город, со своими офисами, заводами внутри заводов, трубопроводами, столовыми, пожарными, охраной и тысячами сотрудников.

    И если этом городом плохо управлять, плохо координировать службы, то последствия могут быть любыми, вплоть до остановки производства, а то и такой аварии, что мало не покажется. А это поставит под угрозу обеспечение топливом целого региона.

    Поэтому у Константина каждый день много рутинной и нервной работы по поддержанию работоспособности предприятия. Для этой работы ему требуются такое количество специальных знаний и навыков, что не остается сил и времени разбираться в специфичных областях, таких как тонкости финансового учета или внедрения SOC. Максимум его знаний и опыта находится в области производства, сбыта и транспортировки. И это нормально — много ли ИТ-шников хотя бы в общих чертах знают технологию крекинга или базовые принципы нефтеперегонки?

    Из угроз в ИТ Константин знает вирусы и шифровальщики (он не настолько хорошо разбирается, чтобы знать, что шифровальщики фактически есть те же самые вирусы, но с определенной симптоматикой).

    Он считает, что вся ответственность на предотвращении всех угроз лежит на Федоре, поскольку тот имеет соответствующее образование и опыт. Глубоко вникать в проблему у него нет никакого желания, ни возможности. Все попытки рассказать ему о проблемах в ИТ вызывают у него отторжение. Всех, кто рассказывает ему об ИТ-угрозах, он переадресует к Федору.

    Если «пугалка» запала Константину в душу, то он просит Федора сделать для него доклад о вероятности возникновения риска и потенциальном его влиянии на работу НПЗ, но объективность оценки Федора, конечно же, никогда не проверяет.

    Текущее отношение к 2FA


    1. Константин знает, что аутентификация выполняется на ПК, всеми ПК занимается Федор, а значит вся оценка необходимости внедрения 2FA должна идти от Федора.
    2. Константин не понимает, что 2FA относится к тем проблемам, которые формально попадают в смежные зоны ответственности, но фактически каждая из сторон считает, что ответственность за кражу паролей должны нести другие службы.
    3. Константин не понимает связи между непонятным для него 2FA и понятными для него угрозами (в которые он верит) — заражение вирусами и вымогателями.

    Вот теперь у нас и начала вырисовываться гипотеза о причине отсутствия двухфакторной аутентификации на НПЗ «ФлайТек». Возможно дело в том, что Константин и Федор считают 2F заботой друг друга и не осознают, что в случае кражи пароля или слива данных это станет общей проблемой. В результате Константин считает, что раз Федор не сигнализирует о проблемах в ИТ, значит их нет. А Федор думает, что сохранность паролей скорее административная задача, и раз Константин не акцентирует на ней внимание, то эта проблема не является серьезной.
    Чтобы подтвердить или опровергнуть эту гипотезу, давайте посмотрим на еще на двух персонажей.

    Поскольку с двухфакторной аутентификацией в крупных корпорациях мы разобрались, то пришла пора выяснить как обстоит дела в средних. Для этого мы придумали транспортную компанию «Традекс» и описали её генерального директора (и одновременно владельца) и начальника ИТ-отдела. С него, пожалуй и начнем.



    Петр


    Компания


    Транспортная компания «Традэкс». Осуществляет грузовые перевозки по России, СНГ, Китаю и Турции. Обладает собственным и привлеченным парком вагонов и грузовиков, а также собственным складским комплексом. Осуществляет ВЭД (внешнеэкономическую деятельность), участвует в электронных торгах.

    Должность


    Начальник ИТ-отдела. Руководит командой из трех человек, где один сотрудник имеет достаточно неплохие знания в настройке сетевого оборудования и программного обеспечения, а двое других — начинающие «эникейщики».

    За что отвечает


    За все, что связано с компьютерами. При этом не прописаны ни политики работы, ни приоритеты. Таким образом, восстановление Windows на компьютере директора может оказаться более важным, нежели отражения DDoS атаки на сайт компании.

    При этом Петр уверен, что большинство пробоем можно решить по факту их возникновения, а к остальным проблемам начальство отнесется философски. То есть:
    • данные из CRM / 1C уничтожены — плохо, CRM / 1C один день не работает — терпимо;
    • ПК директора не работает — плохо, ПК рядового менеджера не работал в течение дня — терпимо;
    • не работает клиент-банк — плохо, не работает электронная почта — терпимо.

    За что не отвечает


    За права и политики доступа к данным и сервисам. Сказал начальник отдела дать доступ сотруднику к рабочему столу по удаленке — настроили VPN и RDP. Может ли сотрудник «слить» данные — это уже проблема генерального директора и начальника отдела.
    За повышенную готовность к различным типам рисков. У Традэкса нет денег покупать запасные ноутбуки на случай, если сотрудник вдруг разобьет свой. Вот если разобьет, то будем думать, что с этим делать. При этом, конечно же, наиболее вероятные риски учитываются — такие как резервный канал связи офиса.

    Профессиональное мировоззрение


    «Работает — не трогай». За излишнее рвение директор Петра вряд ли похвалит, а вот если тот в процессе улучшения испортит (или хотя бы на время приведет в нерабочее состояние) работающие сервисы, то Петр окажется виноватым. Поэтому Петр не любит экспериментов. Каждый раз обдумывая не внедрить ли что-то новое, он оценивает — действительно ли отсутствие этих возможностей грозит компании проблемами, в которых его могут обвинить. И не приведет ли внедрение к проблемам, в которых его обвинят.

    Текущее отношение к 2FA


    Петр про это слышал, но уверен, что это не про их компанию. Большинство сотрудников находятся на виду, а если кто-то и попытается слить данные с чужим паролем, то пусть этим займется СБ или сам директор. Хотя если Петр поверит в реальность такой угрозы, то директору расскажет обязательно — чтобы не оказаться крайним в случае чего.

    Как видите, Пётр отвечает за все проблемы в ИТ, причем даже больше, чем его коллега Фёдор из первой части. Потому что средняя компания — не крупная, тут нет выделенной службы безопасности (по крайней мере компетентной в вопросах ИТ). Пётр не может сослаться на чужую зону ответственности, или на служебные инструкции.

    И напоследок представляем вашему вниманию начальника Петра — Павла, директора и собственника Традэкса.



    Павел


    Компания


    Транспортная компания «Традэкс». Осуществляет грузовые перевозки по России, СНГ, Китаю и Турции. Обладает собственным и привлеченным парком вагонов и грузовиков, а также собственным складским комплексом. Осуществляет ВЭД (внешнеэкономическую деятельность), участвует в электронных торгах.

    Должность


    Генеральный директор и собственник в одном лице.

    За что отвечает


    За всё. Просто в некоторых вещах он разбирается и полностью их контролирует, а остальные делегирует исполнителям. В том, что он не разбирается, директору необходимо отсутствие проблем и своевременная реакция на происходящие изменения. То есть, Павел не знает слова «шифровальщик», но если все ПК в компании вдруг окажутся заблокированными, то он будет разбираться с начальником ИТ-отдела. А если водители неожиданно уйдут в запой, то он посадит за руль начальника транспортного отдела.

    За что не отвечает


    Как уже говорилось, за знание деталей определенных процессов.

    Профессиональное мировоззрение


    Это компания Павла, поэтому ему хочется верить, что он полностью контролирует все её процессы. Он периодически встречается с руководителями отделов и те подробно рассказывают ему о текущем состоянии, о потенциальных угрозах и новинках (и это касается ИТ далеко не в первую очередь — например, Павла очень интересовало влияние внедрения системы Платон на уровень доходов).

    Павел любит ходить на разнообразные отраслевые конференции, это подчеркивает статус и дает возможность узнать что-то действительно важное. Если там рассказывают что-то, что его заинтересовало, но из той области где он не является специалистом, то Павел передает информацию руководителю соответствующего отдела, просит разобраться и доложить ему.

    Текущее отношение к 2FA


    Павел про 2FA ничего не знает. На профильных конференциях эти вопросы не затрагиваются, Петр ему про это не рассказывает. Если бы ему грамотно рассказали про потенциальный риск, то он потребовал бы Петра разобраться и доложить о том, насколько он критичен и вероятен в их компании. И если Петр скажет, что 2FA им не нужен, то Павел потребует гарантировать, что без внедрения данной технологии безопасность Традэкса не пострадает. И тогда уже Павлу будет проще внедрить 2FA, чем брать на себя ответственность.

    Выводы


    Здесь должны быть умные выводы о причинах, почему четыре умных человека, искренне озабоченные в том числе и безопасностью своих компаний, знают об эффективной и хорошо зарекомендовавшей себя технологии двухфакторной аутентификации, но не внедряют её у себя. При том, что внедрение сложно и не критично по стоимости и временным затратам.

    Но выводы оказались весьма просты. Нужно больше рассказывать об опасности паролей и пользе 2FA, причем не только ИТ-шникам, но и генеральным директорам — и количество внедрений 2FA увеличится в разы.

    Не согласны? Буду рад подискутировать в комментариях!

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Что мешает внедрению 2FA?

    В чьем психологическом портрете вы узнали себя / руководителя / знакомого?

    Чей психологический портрет описан плохо («таких не бывает!»)?

    «Актив»
    48,00
    Компания
    Поделиться публикацией

    Комментарии 30

      0
      У каждой технологии есть цена. Если главный технолог не сможет выключить Главную Установку потому что он забыл токен дома и несколько цистерн чёрной жижи превратится в другую чёрную жижу меньшей ценности, то это цена 2FA (А вовсе не вина технолога, что «забыл токен»).
        0
        Ну таинственную «Главную Установку» включает не главный технолог (скорее уж, главный инженер). Более того, если мы говорим про НПЗ, то там большинство производств — непрерывные.
        Но если не придираться к словам, то в случае забывания токена дома, сотрудник может либо обратиться с сисадмину и тот выдаст новый, либо возьмет новый чистый токен и через консоль самообслуживания выпишет себе новый сертификат.
        В обоих случаях временные затраты — минут 20. Если сотрудник забудет пропуск (равная вероятность с забыванием токена), то временный он будет получать дольше.
        При этом для больших компаний в том числе из-за подобных ситуаций стоит внедрить систему управления сертификатами и токенами (типа Рутокен KeyBox)/
          0
          Моя мысль была в том, что 2FA — это метод осложнить доступ к системе. Осложняется он с благими намерениями, но факт, что осложняется. И чем более сложные устройства и процедуры доступа, тем медленее время реакции в аварийных ситуациях.
            +1
            На самом деле доступ упрощается!
            Вставить токен и ввести простой PIN-код на мой взгляд гораздо проще, чем вводить сложный пароль.
            И потом — ключи тоже усложняют доступ домой, но открытыми мы двери почему-то не оставляем…
              –2
              Вы не поверите, но есть моменты, когда лучше оставить дверь открытой, чем рисковать закрытой дверью.

              Насчёт «pin-кода» — это уже не двухфакторая авторизация. Двухфакторая — это пароль и токен. Если у вас pin вместо пароля, то это уже фигня на палочке (usb stick).
                0
                Это почему так? Именно двухфакторная — токен и пин-код нужны одновременно, по отдельности они бесполезны.
                Я работал на предприятии с доступом к компьютеру по USB-токену…
                Да, пин простой, типа 6 символов, но на ввод дается всего 5 попыток, после этого токен блокируется.
                  –4
                  … после чего выясняется, что этот токен уязвим к атакам на перезагрузку и 5 попыток превращается в миллион. Именно с помощью такой уязвимости ломали старые iphone'ы, которые «считали» попытки в софте. Как только попытка не проходило, устройство силком ребутили не давая времени отреагировать на неудачную попытку.

                  Их багфикс был в увеличении счётчика в защищённой области памяти до того, как проверить пин.
                    +2
                    В айфонах — без проблем, у них свой путь :-)
                    Они предпочитают казаться, а не быть.
                    А насчет аппаратного токена сильно сомневаюсь в уязвимости к такой атаке.
                      –2
                      А что делает аппаратный токен при мгновенном исчезновении питания или коротком замыкании по шине питания?
                        0
                        думаю, нужно спросить специалистов… да например, из той же компании «Актив»
                        подозреваю, что это организовано так:
                        — перед проверкой пароля счетчик в защищенной ячейке декрементируется
                        — если значение счетчика равно 0, то пароль не проверяется и токен блокируется
                        — если пароль введен корректный, то счетчик инкрементируется (или восстанавливает исходное значение)
                        и дальше уже не важно, какие там происходят сбросы питания, наводки и КЗ после ввода пароля…
                          –2
                          А они так делают? Тут рядом был хороший топик про выжигание на микрухах лишних дорожек для как раз таких вот мероприятий. И нужно для этого вполне разумное количество оборудования (условный НПЗ может быть достаточно лакомой целью для диверсии, чтобы оплатить несколько десятков килобаксов за взлом токена).
                            0
                            Именно так. Счетчик попыток декрементируется до проверки. От атак на извлечение ключа по побочным каналам защита тоже реализована
                    0

                    Ну-ну… Расскажите разработчикам стандарта Fido2, что пароль обязателен. Они как раз от него предложили избавиться.
                    С ним проблема в том, пароль передаётся на сервер, где может быть перехвачен.
                    А PIN- код проверяется исключительно локально.

                      0
                      Fido2 вообще не рассматривает атаку на токен как серьёзную. А зря. Если пароль к порносайтику/хабру там хранить можно, то если говорить про индустриальную защиту, то атака на спёртый токен, с последующим проникновением в сеть — это очевидный вектор.
                        0
                        Google выдала токены всем своим сотрудникам. За год ни одного инцидента ИБ не произошло. Пароль к порносайту, говорите…
                          0
                          Вы как раз подтверждаете мою точку зрения этой ссылкой. Цитата:
                          Аппаратные токены лишены этих недостатков. Чтобы войти в свой аккаунт с нового устройства, пользователь должен ввести пароль, а затем вставить в USB-порт токен и нажать кнопку на нем (для телефонов и планшетов продаются версии с поддержкой Bluetooth).

                          Т.е. пароль плюс токен. Если кто-то просто украл токен, то никакая атака на токен (даже успешная) не даст возможности получить доступ.
                          0
                          Чтобы провести атаку на спертый токен, нужны ресурсы: время и оборудование. Время означает возможность атакуемой стороны заблокировать доступ к аккаунту, либо перегенерировать ключи доступа, что сделает атаку на спертый токен бессмысленной. Плюс к тому, конкретное намерение. Целевая атака другими средствами будет едва ли не более успешной и дешевой
                            0
                            Человек в отпуске — пара недель на расковыривание токена. Вполне достаточно. В отсутствие пароля, почти идеальная стратегия для проникновения в сеть.

                            См выше ссылку на гугль, у которого как раз пароль плюс токен.
                              0
                              Никто не мешает владельцу ресурса совмещать пароль и токен. Это во-первых. Во-вторых, можно строить и другие предположения, типа отпуска. На время отпуска можно учетку блокировать, хранить токен в надежном месте и не раскидывать его. И так далее. Я понимаю, что сама идея может быть вам противна, имеете право
                    0
                    Мысль на самом деле верная. Любая аутентификация осложняет доступ к системе. Куда проще было бы вообще не заморачиваться и давать доступ кому угодно.
                    Намерения на самом деле не только благие, поскольку идентификация и аутентификация, в частности, служат цели определить, кто должен нести непосредственную ответственность за те или иные действия в системе.
                    Что касается сложности процедур. Вовсе не обязательно требовать от пользователя аутентификации в каждой прикладной системе. Так обычно поступают разработчики, которые не смотрят дальше разрабатываемой системы. А на самом деле существует достаточное количество способов однократной аутентификации. К примеру, при загрузке операционной системы или при открытии сеанса. Но это же надо работать, чтобы обеспечить такого рода интеграцию прикладной системы. Ну и велосипедов с костылями при реализации собственной парольной аутентификации наизобретать — какой разработчик от такого откажется? :)
                  0
                  Можно в качестве альтернативы потребовать от пользователей использовать сложные пароли…
                  Бесплатно, но доступ как бы тоже несколько усложняется.
                  Но в результате это кончится стикером с паролем, наклеенным на мониторы во всех отделах, кроме IT.
                    +2
                    И будут пароли, которые сложно запомнить, но легко украсть…
                    +1
                    Обычно такого рода полномочия резервируются во избежание подобных инцидентов. Кроме того, на таких производствах есть диспетчерские службы, которые и нужны для того, чтобы предотвращать инциденты и реагировать на них. Инженеры диспетчерских служб обычно уже «залогинены» в систему с нужным набором полномочий. Это позволяет реагировать с нужной скоростью.
                    Ну и не стоит забывать, что вниманию читателей представлено своего рода литературное произведение, автор которого имеет право на определенные вольности. И описывается не реальная какая-то система, а некоторые принципы или идеи. Поэтому «все персонажи и события вымышлены, а совпадения случайны». При проектировании реальных систем совершенно необходимо учитывать всевозможные риски сродни обозначенному. Потому что если кто-то сделает так, как написано у Жюля Верна, тот сам и виноват :)
                    0
                    Интересно, сколько раз внедрителям 2FA желали гореть в аду?
                      0
                      Неужели воткнуть токен настолько сложно?
                      Как вариант, можно использовать новую разработку с NFC. Просто кладёте карточку на считыватель.
                      Оффтопик: всем, кто внедрял что-то новое, регулярно желали гореть в аду. Вспомните, например, луддитов.
                        0
                        Ладно когда это токен, я, в целом, не против (сейчас он у нас ещё совмещён с пропуском, вообще удобно), но до абсурда же доходит — ездил я в офис заказчика недавно, так у них чтобы комп разблокировать надо ввести код, который тебе говорит робот голосом по телефону, типа капчи.
                        А ещё огромное количество сервисов под видом безопасности с 2FA вымогают номер телефона (привет, яндекс), что тоже любви не прибавляет. Мне вообще плевать на безопасность 99.9% моих аккаунтов, но нет, надо или набить полный телефон разнообразных приложений, или не пользоваться сервисами.
                          0
                          Так кто бы спорил, что все программные реализации двухфакторной аутентификации — зло.
                          Надо внедрять только аппаратные.
                        0
                        Ох, а сколько раз такое желали персонажам, которые велят пользователям для каждой учетки придумывать 16-символьные случайные пароли каждые пару месяцев :) Все мы там будем ;)
                        0
                        По поводу прецедентов…
                        На Payoneer постоянно воруют деньги со счетов. Не для кого это не новость. Шквалы воровства случаются с завидной регулярностью. Интернет забит сообщениями «Угнали деньги с Пионер!» Но у Payoneer 2FA нет и никто этим заниматься не собирается. Любые вопросы по внедрению 2FA игнорируются.
                        ЧТО НУЖНО СДЕЛАТЬ, ЧТОБЫ ЗАСТАВИТЬ PAYONEER ВНЕДРИТЬ 2FA?
                          0
                          Вероятно, не пользоваться им…
                          А работать с теми, кто прислушивается к требованиям клиентов.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое