Zwei-Faktor-Authentifizierungshelden, Teil zwei

Kürzlich haben wir im ersten Teil des Artikels gesagt, dass wir überrascht waren, wie wenige Unternehmen das Fehlen einer Zwei-Faktor-Authentifizierung als ernsthafte Bedrohung für die Informationssicherheit betrachten.

Um die Gründe zu verstehen, haben wir vier Beschreibungen von Entscheidungsträgern zusammengestellt - zwei Direktoren und zwei Leiter von IT-Abteilungen, eine für ein großes und mittleres Unternehmen. Anhand dieser psychologischen Porträts werden wir versuchen, den Grund für die leichtfertige Haltung gegenüber dem Informationssicherheitsunternehmen zu verstehen.

Letztes Mal haben wir den Direktor der IT-Abteilung der FlyTech-Raffinerie untersucht , und heute ist es Zeit, seinen Kopf (und die beiden anderen Charaktere) kennenzulernen.

Konstantin

Firma

Ölraffinerie FlyTech, Teil der großen Ölfabrik FlyOil. Insgesamt arbeiten mehr als 3.000 Menschen in der Raffinerie, aber ungefähr tausend sind mit Computertechnologie verbunden. Dies sind sowohl Hilfseinheiten (Manager, Buchhaltung, Logistik, Verkaufsservice, Marketing) als auch Produktionsmitarbeiter, die über Terminals unter Microsoft Windows mit ICS arbeiten.

Berufsbezeichnung

Generaldirektor.

Wofür ist verantwortlich?

1. Für den reibungslosen Betrieb der gesamten Raffinerie.
2. Für die effektive Koordination von Einheiten - Finanzen, Handel, Industrie, Verkehr, Sicherheit und IT.
   Grob gesagt muss jeden Tag Öl über die Schiene und die Ölpipeline an die Raffinerie geliefert werden, Öl muss zu Benzin, Kerosin, Heizöl usw. verarbeitet werden. , Mitarbeiter sollten ein Gehalt erhalten, Computer sollten arbeiten und Mitarbeiter und Produktion bedienen. Für jede Funktion ist der Abteilungsleiter auf einmal verantwortlich - Konstantin.
3. Für Vorschläge an den Verwaltungsrat und die Manager der Holding zur strategischen Entwicklung des Werks.

Wofür ist nicht verantwortlich

1. Für die tägliche Arbeit der oben genannten Einheiten liegt die Verantwortung ihrer Leiter. Wenn es in der Fabrik zu einem Unfall kam, die Panzer nicht stahlen, das Geld nicht vom Kunden kam, wurde versucht, in das Netzwerk einzudringen - die Abteilungsleiter sollten sich mit all dem befassen, da sie über die erforderlichen Fähigkeiten, Informationen und Werkzeuge verfügen, um diese Probleme zu lösen.
2. Für die Arbeit des gesamten Betriebs.

Professionelle Weltanschauung

Von außen scheint die Raffinerie weit entfernt von den größten möglichen Unternehmen zu sein, und obwohl die Produktion ziemlich gefährlich ist, handelt es sich immer noch nicht um ein Kernkraftwerk. Aber wenn Sie von oben schauen, werden Sie sehen, dass die Raffinerie tatsächlich eine Stadt ist, mit ihren Büros, Fabriken innerhalb der Werke, Pipelines, Kantinen, Feuerwehrleuten, Wachen und Tausenden von Mitarbeitern.

Und wenn diese Stadt schlecht verwaltet und schlecht koordiniert ist, können die Folgen beliebig sein, bis zu einem Produktionsstopp oder sogar einem solchen Unfall, dass es nicht genug scheint. Und dies wird die Versorgung der gesamten Region mit Kraftstoff gefährden.

Daher arbeitet Konstantin jeden Tag viel Routine und nervös, um die Gesundheit des Unternehmens zu erhalten. Für diese Arbeit benötigt er so viele spezielle Kenntnisse und Fähigkeiten, dass er nicht die Kraft und Zeit hat, bestimmte Bereiche wie die Feinheiten der Finanzbuchhaltung oder die Implementierung von SOC zu verstehen. Das Maximum seines Wissens und seiner Erfahrung liegt in den Bereichen Produktion, Marketing und Transport. Und das ist normal - wie viele IT-Mitarbeiter kennen die Cracking- Technologie oder die Grundprinzipien der Ölraffinierung zumindest allgemein?

Von den Bedrohungen für die IT kennt Konstantin Viren und Ransomware (er weiß nicht genau, dass es sich bei Ransomware tatsächlich um dieselben Viren handelt, jedoch mit bestimmten Symptomen).

Er glaubt, dass die gesamte Verantwortung für die Verhinderung aller Bedrohungen bei Fedor liegt, da er über die entsprechende Ausbildung und Erfahrung verfügt. Er hat keine Lust oder Gelegenheit, sich eingehend mit dem Problem zu befassen. Alle Versuche, ihn über IT-Probleme zu informieren, führen dazu, dass er abgelehnt wird. Jeder, der ihm von IT-Bedrohungen erzählt, leitet ihn an Fedor weiter.

Wenn die "Vogelscheuche" in Konstantins Seele versunken ist, bittet er Fedor, ihm einen Bericht über die Wahrscheinlichkeit eines Risikos und seine möglichen Auswirkungen auf den Betrieb der Raffinerie zu geben, aber die Objektivitätsbewertung von Fedor wird natürlich nie überprüft.

Aktuelle Einstellung zu 2FA

1. Konstantin weiß, dass die Authentifizierung auf einem PC durchgeführt wird, Fedor ist an allen PCs beteiligt, was bedeutet, dass die gesamte Bewertung der Notwendigkeit der Implementierung von 2FA von Fedor stammen sollte.
2. Konstantin versteht nicht, dass sich 2FA auf jene Probleme bezieht, die formal in benachbarte Verantwortungsbereiche fallen, aber tatsächlich ist jede der Parteien der Ansicht, dass andere Dienste für den Diebstahl von Passwörtern verantwortlich sein sollten.
3. Konstantin versteht den für ihn unverständlichen Zusammenhang zwischen dem 2FA und den Bedrohungen, an die er versteht (an die er glaubt) - die Infektion mit Viren und Ransomware - nicht.

Nun begann sich die Hypothese über den Grund für das Fehlen einer Zwei-Faktor-Authentifizierung in der FlyTech-Raffinerie zu entwickeln. Vielleicht ist die Tatsache, dass Konstantin und Fedor 2F als gegenseitiges Anliegen betrachten und nicht erkennen, dass dies im Fall von Passwortdiebstahl oder Datenverlust zu einem häufigen Problem wird. Konstantin ist daher der Ansicht, dass Fedor keine IT-Probleme signalisiert und diese daher nicht existieren. Fedor ist jedoch der Ansicht, dass der Passwortschutz eher eine Verwaltungsaufgabe ist, und da Konstantin sich nicht darauf konzentriert, ist dieses Problem nicht schwerwiegend.
Um diese Hypothese zu bestätigen oder zu widerlegen, schauen wir uns zwei weitere Zeichen an.

Da wir in großen Unternehmen die Zwei-Faktor-Authentifizierung herausgefunden haben, ist es Zeit herauszufinden, wie sich die Dinge im Medium befinden. Dazu haben wir uns das Tradex-Transportunternehmen ausgedacht und dessen CEO (und gleichzeitig den Eigentümer) und den Leiter der IT-Abteilung beschrieben. Vielleicht fangen wir damit an.

Peter

Firma

Transportunternehmen "Tradex". Es führt Güterverkehr in Russland, der GUS, China und der Türkei durch. Es verfügt über eine eigene und angezogene Flotte von Waggons und Lastwagen sowie einen eigenen Lagerkomplex. Führt Außenhandelsaktivitäten (Außenwirtschaftsaktivitäten) durch und nimmt an elektronischen Ausschreibungen teil.

Berufsbezeichnung

IT-Leiter Er leitet ein Team von drei Personen, in dem ein Mitarbeiter über gute Kenntnisse in der Einrichtung von Netzwerkgeräten und -software verfügt und die anderen beiden Anfänger "enikeyshchiki" sind.

Wofür ist verantwortlich?

Für alles, was mit Computern zu tun hat. Gleichzeitig werden weder Arbeitsrichtlinien noch Prioritäten festgelegt. Daher kann die Wiederherstellung von Windows auf dem Computer eines Direktors wichtiger sein als die Abwehr eines DDoS-Angriffs auf die Website eines Unternehmens.

Gleichzeitig ist Peter zuversichtlich, dass die meisten Probleme durch die Tatsache ihres Auftretens gelöst werden können, und die Chefs werden andere Probleme philosophisch betrachten. Also:

• Daten aus CRM / 1C werden zerstört - schlecht, CRM / 1C funktioniert nicht eines Tages - tolerant;
• Der Director-PC funktioniert nicht - schlecht, der normale Manager-PC hat tagsüber nicht funktioniert - tolerant;
• Client-Bank funktioniert nicht - schlecht, E-Mail funktioniert nicht - tolerant.

Wofür ist nicht verantwortlich

Für Rechte und Richtlinien für den Zugriff auf Daten und Dienste. Der Abteilungsleiter soll dem Mitarbeiter per Remote-Setup VPN und RDP Zugriff auf den Desktop gewähren. Ob ein Mitarbeiter Daten „zusammenführen“ kann, ist für den Generaldirektor und den Abteilungsleiter bereits ein Problem.
Für eine erhöhte Bereitschaft für verschiedene Arten von Risiken. Tradex hat kein Geld, um Ersatz-Laptops zu kaufen, falls der Mitarbeiter plötzlich seine eigenen kaputt macht. Wenn es jetzt kaputt geht, werden wir uns überlegen, was wir damit machen sollen. Gleichzeitig werden natürlich die wahrscheinlichsten Risiken berücksichtigt - beispielsweise ein Backup-Office-Kommunikationskanal.

Professionelle Weltanschauung

"Es funktioniert - nicht anfassen." Es ist unwahrscheinlich, dass Petrs Direktor ihn für übermäßigen Eifer lobt, aber wenn er im Zuge der Verbesserung die Arbeitsdienste verdirbt (oder zumindest vorübergehend außer Betrieb setzt), wird Peter schuldig sein. Deshalb experimentiert Peter nicht gern. Jedes Mal, wenn er überlegt, ob er etwas Neues einführen soll, prüft er, ob das Fehlen dieser Möglichkeiten das Unternehmen wirklich mit Problemen bedroht, die ihm angelastet werden können. Und ob die Einführung zu den Problemen führen wird, in denen er beschuldigt wird.

Aktuelle Einstellung zu 2FA

Peter hat davon gehört, aber ich bin mir sicher, dass es nicht um ihre Firma geht. Die meisten Mitarbeiter sind in Sichtweite. Wenn jemand versucht, Daten mit dem Passwort eines anderen zusammenzuführen, lassen Sie dies den Sicherheitsrat oder den Direktor selbst tun. Wenn Peter an die Realität einer solchen Bedrohung glaubt, wird er es dem Regisseur auf jeden Fall sagen - um nicht extrem zu sein, wenn etwas passiert.

Wie Sie sehen, ist Peter für alle Probleme in der IT verantwortlich und noch mehr als sein Kollege Fedor aus dem ersten Teil. Da das durchschnittliche Unternehmen nicht groß ist, gibt es keinen dedizierten Sicherheitsdienst (zumindest in IT-Angelegenheiten kompetent). Peter kann sich nicht auf den Verantwortungsbereich eines anderen oder auf Serviceanweisungen beziehen.

Und schließlich stellen wir Ihnen den Leiter von Peter-Paul, Direktor und Inhaber von Tradex, vor.

Pavel

Firma

Transportunternehmen "Tradex". Es führt Güterverkehr in Russland, der GUS, China und der Türkei durch. Es verfügt über eine eigene und angezogene Flotte von Waggons und Lastwagen sowie einen eigenen Lagerkomplex. Führt Außenhandelsaktivitäten (Außenwirtschaftsaktivitäten) durch und nimmt an elektronischen Ausschreibungen teil.

Berufsbezeichnung

CEO und Eigentümer in einem.

Wofür ist verantwortlich?

Für alles. Es ist nur so, dass er einige Dinge versteht und sie vollständig kontrolliert und den Rest an die Darsteller delegiert. Die Tatsache, dass er nicht versteht, braucht der Regisseur das Fehlen von Problemen und eine rechtzeitige Reaktion auf die Änderungen. Das heißt, Pavel kennt das Wort „Kryptograf“ nicht, aber wenn alle PCs im Unternehmen plötzlich blockiert werden, wird er sich mit dem Leiter der IT-Abteilung befassen. Und wenn die Fahrer plötzlich in einen Binge geraten, wird er den Leiter der Transportabteilung fahren.

Wofür ist nicht verantwortlich

Wie bereits erwähnt, zur Kenntnis der Details bestimmter Prozesse.

Professionelle Weltanschauung

Dies ist Pauls Firma, deshalb möchte er glauben, dass er alle seine Prozesse vollständig kontrolliert. Er trifft sich regelmäßig mit Abteilungsleitern und sie informieren ihn ausführlich über den aktuellen Stand, über potenzielle Bedrohungen und neue Produkte (und hier geht es in erster Linie nicht um IT - zum Beispiel war Pavel sehr interessiert an den Auswirkungen der Implementierung des Plato-Systems auf das Einkommen).

Pavel nimmt gerne an verschiedenen Branchenkonferenzen teil, dies unterstreicht seinen Status und bietet die Möglichkeit, etwas wirklich Wichtiges zu lernen. Wenn sie dort etwas sagen, das ihn interessiert, aber aus dem Bereich, in dem er kein Spezialist ist, überträgt Pavel die Informationen an den Leiter der entsprechenden Abteilung, bittet sie, sie zu sortieren und ihm Bericht zu erstatten.

Aktuelle Einstellung zu 2FA

Pavel weiß nichts über 2FA. Auf Fachkonferenzen werden diese Themen nicht angesprochen, Peter erzählt ihm nichts darüber. Wenn er richtig über das potenzielle Risiko informiert worden wäre, hätte er verlangt, dass Peter versteht und darüber berichtet, wie kritisch und wahrscheinlich er in ihrem Unternehmen ist. Und wenn Peter sagt, dass sie kein 2FA benötigen, wird Pavel verlangen, dass die Sicherheit von Tradex ohne die Einführung dieser Technologie nicht beeinträchtigt wird. Und dann wird es für Pavel einfacher sein, 2FA zu implementieren, als Verantwortung zu übernehmen.

Schlussfolgerungen

Es sollte kluge Schlussfolgerungen darüber geben, warum vier kluge Köpfe, die aufrichtig um die Sicherheit ihrer Unternehmen besorgt sind, über die effektive und gut etablierte Zwei-Faktor-Authentifizierungstechnologie Bescheid wissen, diese jedoch nicht zu Hause implementieren. Trotz der Tatsache, dass die Einführung schwierig und nicht kosten- und zeitkritisch ist.

Die Schlussfolgerungen waren jedoch sehr einfach. Wir müssen mehr über die Gefahren von Passwörtern und die Vorteile von 2FA sprechen, nicht nur für IT-Mitarbeiter, sondern auch für CEOs - und die Anzahl der 2FA-Bereitstellungen wird erheblich zunehmen.

Nicht einverstanden? Ich werde gerne in den Kommentaren diskutieren!