أبطال المصادقة اثنين عامل ، الجزء الثاني

في الآونة الأخيرة ، في الجزء الأول من المقال ، قلنا أننا فوجئنا بعدد قليل من الشركات التي تعتبر عدم وجود مصادقة ثنائية عامل تهديدًا خطيرًا لأمن المعلومات.

لفهم الأسباب ، قمنا بتجميع أربعة أوصاف لصناع القرار - اثنان من المديرين واثنين من رؤساء أقسام تكنولوجيا المعلومات ، واحد لشركة كبيرة ومتوسطة الحجم. باستخدام هذه الصور النفسية ، سنحاول فهم سبب الموقف التافه لشركة أمن المعلومات.

آخر مرة ، قمنا بفحص مدير قسم تكنولوجيا المعلومات في مصفاة FlyTech ، واليوم حان الوقت للتعرف على رأسه ( والشخصيتين الأخريين).

قنسطنطين

شركة

مصفاة النفط FlyTech ، جزء من النفط الذي يحمل FlyOil. في المجموع ، يعمل أكثر من 3 آلاف شخص في المصفاة ، ولكن حوالي ألف شخص مرتبطون بتكنولوجيا الكمبيوتر. هذه هي الوحدات المساعدة (المديرين ، مسك الدفاتر ، الخدمات اللوجستية ، خدمة المبيعات ، التسويق) ، وعمال الإنتاج الذين يعملون مع ICS من خلال الأجهزة الطرفية على Microsoft Windows.

المسمى الوظيفي

المدير التنفيذي

ما هو المسؤول عن

1. للتشغيل السلس للمصفاة ككل.
2. من أجل التنسيق الفعال للوحدات - المالية والتجارية والصناعية والنقل والأمن وتكنولوجيا المعلومات.
   بشكل تقريبي ، يجب أن يتم تزويد النفط يوميًا إلى المصفاة عن طريق السكك الحديدية وخط أنابيب النفط ، ويجب معالجة الزيت في البنزين والكيروسين وزيت الوقود ، وما إلى ذلك ، كل هذا يجب تخزينه وبيعه ونقله بمساعدة النقل بالسكك الحديدية والطرق البري الخاص بنا ، ويجب حماية الإقليم. يجب أن يحصل الموظفون على راتب ، ويجب أن تعمل أجهزة الكمبيوتر وتخدم الموظفين والإنتاج. لكل وظيفة على حدة ، يكون رئيس القسم مسؤولًا عن ذلك - كونستانتين.
3. للحصول على مقترحات لمجلس الإدارة ومديري القابضة بشأن التطوير الاستراتيجي للمصنع.

ما ليس مسؤولا عن

1. للعمل اليومي للوحدات المذكورة أعلاه هي مسؤولية قادتهم. إذا كان هناك حادث في موقع الإنتاج ، لم تكن الدبابات على البخار ، ولم تأتي الأموال من العميل ، فقد جرت محاولة لاقتحام الشبكة - يجب على رؤساء الإدارات التعامل مع كل هذا ، لأن لديهم المهارات والمعلومات والأدوات اللازمة لحل هذه المشاكل.
2. لعمل كامل القابضة.

النظرة المهنية للعالم

من الخارج يبدو أن المصفاة أبعد ما تكون عن أكبر الشركات الممكنة ، وعلى الرغم من أن الإنتاج خطير للغاية ، إلا أنه لا يزال ليس محطة للطاقة النووية. ولكن إذا نظرت من أعلاه ، فسوف نرى أن المصفاة هي في الواقع مدينة ، ولها مكاتبها ومصانعها داخل المصانع وخطوط الأنابيب والمقاصف ورجال الإطفاء والحراس وآلاف الموظفين.

وإذا كانت هذه المدينة تتم إدارتها بشكل سيء ، وخدمات سيئة التنسيق ، فإن العواقب يمكن أن تكون موجودة ، أو توقف الإنتاج ، أو حتى مثل هذا الحادث الذي لا يبدو كافيًا. وهذا سيعرض للخطر توفير الوقود للمنطقة بأسرها.

لذلك ، كونستانتين كل يوم الكثير من العمل الروتيني والعصبي للحفاظ على صحة المؤسسة. في هذا العمل ، يحتاج إلى الكثير من المعرفة والمهارات الخاصة بحيث لا يملك القوة والوقت لفهم مجالات محددة ، مثل تعقيدات المحاسبة المالية أو تنفيذ SOC. أقصى قدر من معرفته وخبرته في مجال الإنتاج والتسويق والنقل. وهذا أمر طبيعي - كم من العاملين في تكنولوجيا المعلومات يعرفون على الأقل بشكل عام تكنولوجيا تكسير أو المبادئ الأساسية لتكرير النفط؟

من بين التهديدات التي يواجهها IT ، يعرف Konstantin الفيروسات ورانسومواري (إنه ليس على دراية جيدة بمعرفة أن رانسومواري هي في الواقع نفس الفيروسات ، لكن مع بعض الأعراض).

وهو يعتقد أن المسؤولية الكاملة عن منع جميع التهديدات تقع على عاتق فيدور ، لأنه يتمتع بالتعليم والخبرة المناسبين. ليس لديه أي رغبة أو فرصة للتعمق في المشكلة. كل المحاولات لإخباره عن المشاكل في تكنولوجيا المعلومات تتسبب في رفضه. أي شخص يخبره عن تهديدات تكنولوجيا المعلومات ، فإنه يعيد توجيه إلى فيدور.

إذا غرق "الفزاعة" في روح كونستانتين ، فإنه يطلب من فيدور أن يقدم له تقريراً عن احتمال المخاطرة وتأثيره المحتمل على تشغيل المصفاة ، ولكن تقييم موضوعية فيدور ، بالطبع ، لا يتحقق أبدًا.

الموقف الحالي ل 2FA

1. يعرف قسطنطين أنه يتم إجراء المصادقة على جهاز كمبيوتر ، فيدور يشارك في جميع أجهزة الكمبيوتر ، مما يعني أن التقييم الكامل للحاجة إلى تنفيذ 2FA يجب أن يأتي من فيدور.
2. لا يفهم Konstantin أن 2FA يشير إلى تلك المشكلات التي تندرج رسميًا في المناطق المجاورة للمسؤولية ، ولكن في الحقيقة يعتقد كل طرف أن الخدمات الأخرى يجب أن تكون مسؤولة عن سرقة كلمات المرور.
3. لا يفهم كونستانتين العلاقة بين 2FA ، غير المفهومة له ، والتهديدات التي يفهمها (والتي يعتقد) - العدوى بالفيروسات والفدية.

الآن ، بدأت الفرضية حول سبب عدم وجود مصادقة ثنائية العامل في مصفاة FlyTech في الظهور. ربما تكون الحقيقة هي أن كونستانتين وفيدور يعتبران 2F مصدر قلق لبعضهما البعض ولا يدركان أنه في حالة سرقة كلمة المرور أو تسرب البيانات ، ستصبح هذه مشكلة شائعة. نتيجة لذلك ، يعتقد كونستانتين أنه نظرًا لأن Fedor لا يشير إلى مشاكل في تكنولوجيا المعلومات ، فإنها غير موجودة. لكن فيدور يعتقد أن حماية كلمة المرور هي مهمة إدارية ، ولأن كونستانتين لا يركز عليها ، فهذه المشكلة ليست خطيرة.
لتأكيد أو دحض هذه الفرضية ، دعونا ننظر إلى حرفين آخرين.

نظرًا لأننا توصلنا إلى مصادقة ثنائية في الشركات الكبيرة ، فقد حان الوقت لاكتشاف كيفية وجود الأشياء في الوسط. لهذا الغرض ، توصلنا إلى شركة النقل Tradex ووصفنا الرئيس التنفيذي (وفي الوقت نفسه المالك) ورئيس قسم تكنولوجيا المعلومات. ربما سنبدأ به.

بيتر

شركة

شركة النقل "تريدكس". وهي تنفذ نقل البضائع في روسيا ورابطة الدول المستقلة والصين وتركيا. لديها أسطولها الخاص وجذب من العربات والشاحنات ، وكذلك مجمع المستودعات الخاصة بها. ينفذ أنشطة التجارة الخارجية (النشاط الاقتصادي الأجنبي) ، يشارك في المزايدة الإلكترونية.

المسمى الوظيفي

رئيس قسم تكنولوجيا المعلومات يقود فريقًا من ثلاثة أشخاص ، حيث يتمتع أحد الموظفين بمعرفة جيدة في إعداد معدات وبرامج الشبكة ، والموظفون الآخران هما "enikeyshchiki".

ما هو المسؤول عن

لكل ما يتعلق بأجهزة الكمبيوتر. في الوقت نفسه ، لا يتم توضيح سياسات العمل أو الأولويات. وبالتالي ، قد تكون استعادة Windows على كمبيوتر أحد المديرين أكثر أهمية من صد هجوم DDoS على موقع الشركة على الويب.

في الوقت نفسه ، يثق بيتر في أن معظم المشكلات يمكن حلها من خلال حقيقة حدوثها ، وسوف ينظر الرؤساء فلسفياً في مشاكل أخرى. هذا هو:

• إتلاف البيانات من CRM / 1C - سيئة ، CRM / 1C لا يعمل يومًا واحدًا - متسامح ؛
• جهاز الكمبيوتر الخاص بالمدير لا يعمل - حيث أن جهاز الكمبيوتر الخاص بالمدير العادي لا يعمل أثناء اليوم - فهو متسامح
• عميل البنك لا يعمل - سيئة ، لا يعمل البريد الإلكتروني - متسامح.

ما ليس مسؤولا عن

للحقوق والسياسات للوصول إلى البيانات والخدمات. قال رئيس القسم لمنح الموظف حق الوصول إلى سطح المكتب عن طريق إعداد VPN و RDP. ما إذا كان يمكن للموظف "دمج" البيانات يمثل مشكلة بالفعل للمدير العام ورئيس القسم.
لزيادة الاستعداد لأنواع مختلفة من المخاطر. ليس لدى Tradex أي أموال لشراء أجهزة الكمبيوتر المحمولة الاحتياطية في حالة تعطل الموظف له فجأة. الآن ، إذا تحطمت ، فسنفكر فيما يجب القيام به. في الوقت نفسه ، بالطبع ، تؤخذ المخاطر الأكثر احتمالا في الاعتبار - مثل قناة اتصال مكتب النسخ الاحتياطي.

النظرة المهنية للعالم

"إنه يعمل - لا تلمس". من غير المرجح أن يمدحه مدير بيتر للحماسة المفرطة ، لكن إذا كان في عملية التحسين قام بتدمير خدمات العمل (أو على الأقل جعلها غير صالحة للعمل بشكل مؤقت) ، فسيكون بيتر مذنباً. لذلك ، بيتر لا يحب التجريب. في كل مرة يفكر في تقديم شيء جديد ، يقوم بتقييم ما إذا كان غياب هذه الفرص يهدد الشركة بالفعل بمشاكل يمكن إلقاء اللوم عليها. وما إذا كانت المقدمة ستؤدي إلى المشكلات التي يتهم بها.

الموقف الحالي ل 2FA

سمع بيتر بهذا ، لكنني متأكد من أن هذا لا يتعلق بصحبتهم. معظم الموظفين في مرأى من الجميع ، وإذا حاول شخص ما دمج البيانات بكلمة مرور شخص آخر ، فدع مجلس الأمن أو المدير نفسه يفعل ذلك. على الرغم من أن بيتر يؤمن بحقيقة مثل هذا التهديد ، فإنه سيخبر المدير بالتأكيد - حتى لا يكون متطرفًا إذا حدث شيء ما.

كما ترون ، بيتر هو المسؤول عن جميع المشاكل في تكنولوجيا المعلومات ، وأكثر من زميله فيدور من الجزء الأول. نظرًا لأن الشركة المتوسطة ليست كبيرة ، فلا توجد خدمة أمان مخصصة (على الأقل مختصة في مسائل تكنولوجيا المعلومات). لا يمكن لبيتر الرجوع إلى مجال مسؤولية شخص آخر ، أو إلى تعليمات الخدمة.

وأخيراً ، نقدم انتباهكم إلى رئيس بيتر بول ، مدير ومالك Tradex.

بافل

شركة

شركة النقل "تريدكس". وهي تنفذ نقل البضائع في روسيا ورابطة الدول المستقلة والصين وتركيا. لديها أسطولها الخاص وجذب من العربات والشاحنات ، وكذلك مجمع المستودعات الخاصة بها. ينفذ أنشطة التجارة الخارجية (النشاط الاقتصادي الأجنبي) ، يشارك في المزايدة الإلكترونية.

المسمى الوظيفي

الرئيس التنفيذي ومالك جميع دخلت واحدة.

ما هو المسؤول عن

لكل شيء إنه يفهم بعض الأشياء ويتحكم فيها تمامًا ، ويفوض الباقي لفناني الأداء. حقيقة أنه لا يفهم ، يحتاج المخرج إلى غياب المشاكل وردود الفعل في الوقت المناسب على التغييرات. أي أن بافل لا يعرف كلمة "cryptographer" ، ولكن إذا تم حظر جميع أجهزة الكمبيوتر في الشركة فجأة ، فسيتعامل مع رئيس قسم تكنولوجيا المعلومات. وإذا دخل السائقون فجأة في حفلة ، فسيقود رئيس قسم النقل.

ما ليس مسؤولا عن

كما سبق ذكره ، لمعرفة تفاصيل بعض العمليات.

النظرة المهنية للعالم

هذه شركة بولس ، لذا فهو يريد أن يعتقد أنه يتحكم بالكامل في جميع عملياتها. يلتقي دوريا برؤساء الأقسام ويخبرونه بالتفصيل عن الحالة الراهنة والتهديدات المحتملة والمنتجات الجديدة (وهذا لا يتعلق بتكنولوجيا المعلومات في المقام الأول - على سبيل المثال ، كان بافل مهتمًا جدًا بتأثير تطبيق نظام أفلاطون على الدخل).

يحب بافيل حضور العديد من المؤتمرات الصناعية ، وهذا يؤكد وضعه ويوفر فرصة لتعلم شيء مهم حقًا. إذا قالوا هناك شيئًا يثير اهتمامه ، ولكن من تلك المنطقة التي ليس فيها أخصائيًا ، فإن بافيل ينقل المعلومات إلى رئيس القسم المقابل ، ويطلب تصنيفها وتقديم تقرير إليه.

الموقف الحالي ل 2FA

بافيل لا يعرف شيئا عن 2FA. في المؤتمرات المتخصصة ، لم يتم تناول هذه القضايا ؛ بيتر لا يخبره عن هذا. إذا كان قد تم إخباره بشكل صحيح عن المخاطر المحتملة ، فسيطلب من بيتر أن يفهم ويبلغ عن مدى أهميته ومرجحيته في شركته. وإذا قال بيتر أنهم لا يحتاجون إلى 2FA ، فإن بافل ستطالب بضمان أنه بدون إدخال هذه التكنولوجيا ، لن تتأثر سلامة Tradex. وبعد ذلك سيكون من الأسهل على بافل تطبيق 2FA بدلاً من تحمل المسؤولية.

الاستنتاجات

يجب أن تكون هناك استنتاجات ذكية حول الأسباب التي تجعل أربعة أشخاص أذكياء ، مهتمين بإخلاص بأمان شركاتهم ، يعرفون تقنية المصادقة الفعالة والراسخة المكونة من عاملين ، ولكن لا يقوموا بتنفيذها في المنزل. على الرغم من أن المقدمة صعبة وليست حاسمة من حيث التكلفة والوقت.

لكن النتائج كانت بسيطة جدا. نحتاج إلى التحدث أكثر حول مخاطر كلمات المرور وفوائد 2FA ، ليس فقط لموظفي تكنولوجيا المعلومات ، ولكن أيضًا لكبار المديرين التنفيذيين - وسيزيد عدد عمليات نشر 2FA بشكل كبير.

لا توافق؟ سأكون سعيدا لمناقشة في التعليقات!