Некоторые организации рискуют потерять сертификаты Cyber Essentials из-за сложностей с внедрением многофакторной аутентификации, но решение существует. — computerweekly.com
С 27 апреля вступает в силу утвержденная правительством схема сертификации безопасности Cyber Essentials v3.3, и многофакторная аутентификация (MFA) впервые становится обязательным требованием, несоблюдение которого ведет к провалу. Если облачный сервис, используемый вашей организацией, предлагает MFA, а вы его не активировали, вы не пройдете сертификацию. Никаких исключений, частичных баллов или возможности исправить ситуацию в рамках цикла оценки. Это правильное решение. Я хочу заявить об этом четко, поскольку далее речь пойдет о проблеме с реализацией, а не с самой политикой. MFA — это самый эффективный контроль для защиты от атак, основанных на учетных данных, и схеме давно пора перестать мириться с его отсутствием. Национальный центр кибербезопасности (NCSC), входящий в состав GCHQ, который разработал Cyber Essentials, и сертификационная компания IASME приняли верное решение. Однако в ходе проведенных в этом году оценок я столкнулся с двумя организациями, которые столкнутся с препятствием 27 апреля, и не думаю, что они уникальны.
Железнодорожная компания не смогла внедрить MFA
Первая — железнодорожная компания на юго-востоке страны. Диспетчерские залы работают на общих терминалах, где персонал сменяет друг друга в условиях, требующих немедленного реагирования. Профсоюз транспортников выразил официальную обеспокоенность тем, что MFA вызовет задержки у клавиатуры, которые могут повлиять на движение поездов и, по их мнению, на безопасность маневров. Компания прислушалась и решила не активировать MFA в этих средах. Согласно версии v3.2, они прошли сертификацию, хотя соответствующие вопросы были отмечены как несоответствующие требованиям, но не критичные. Согласно Cyber Essentials v3.3 они провалят ее.
Благотворительная организация, управляемая волонтерами, сталкивается с препятствием MFA
Вторая — известная на национальном уровне благотворительная организация с сотнями магазинов на главных улицах. Магазины в основном укомплектованы волонтерами, многие из которых работают по несколько часов в неделю, а текучесть кадров высока. Стоимость и накладные расходы на регистрацию каждого волонтера в системе MFA с использованием личных телефонов, которых у них может не быть, и приложений-аутентификаторов, которые они не будут поддерживать, были сочтены непомерными. Поэтому MFA так и не был включен. Та же история: они прошли сертификацию по v3.2. По v3.3 они провалят ее. Ни одна из этих организаций не игнорирует безопасность. Обе приняли взвешенные решения, основанные на реальных условиях работы их сотрудников. Проблема не в том, что они не хотят соблюдать требования. Проблема в том, что стандартный набор методов MFA, включая SMS-коды, приложения-аутентификаторы на личных телефонах и push-уведомления, не подходит для общего терминала на шесть человек, который должен быть доступен за секунды, или для волонтерского состава, меняющегося еженедельно.
FIDO2 может предложить решения
Расстраивает то, что решение существует, и оно уже успешно применяется в здравоохранении, производстве и розничной торговле. Аутентификация FIDO2 через прикладывание NFC-бейджа позволяет сотруднику пройти аутентификацию менее чем за две секунды: приложить бейдж, ввести короткий PIN-код, сессия открыта. Это удовлетворяет требованию MFA, сочетая владение бейджем и знание PIN-кода. Это быстрее, чем вводить пароль. Что крайне важно, это соответствует требованиям, поскольку каждый бейдж регистрируется как уникальный FIDO2-учетный элемент этого человека, таким образом удовлетворяя требованию Cyber Essentials об уникальных учетных записях пользователей. Общие ключи или общие PIN-коды не сработают. Индивидуальные бейджи — сработают.
Необходимость в лучшем руководстве
Версия v3.3 явно признает аутентификаторы FIDO2 и passkeys в качестве допустимых методов MFA. Путь к соответствию ясен. Чего не хватает, так это информации для организаций, которых это коснется больше всего, о том, что этот путь существует. Этот пробел необходимо устранить. NCSC и IASME приняли верное политическое решение; без него схема стала бы слабее. Однако руководство по внедрению для сред с общими терминалами, посменной работой и высокой текучестью кадров скудно, а у этих организаций заканчивается время, чтобы найти свое решение. Многие из них имеют сертификат Cyber Essentials, поскольку он требуется для государственных контрактов или в их цепочках поставок; потеря сертификации влечет прямые коммерческие издержки. Решение не в том, чтобы смягчить требование. Решение в том, чтобы гарантировать, что никто не провалит сертификацию из-за отсутствия информации о том, как его выполнить. Джонатан Краузе — основатель и управляющий директор Forensic Control
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор –