Héros de l'authentification à deux facteurs, deuxième partie

Récemment, dans la première partie de l'article , nous avons dit que nous étions surpris du peu d'entreprises qui considèrent le manque d'authentification à deux facteurs comme une menace sérieuse pour la sécurité de l'information.

Pour comprendre les raisons, nous avons compilé quatre descriptions de décideurs - deux directeurs et deux chefs de services informatiques, l'un pour une grande et moyenne entreprise. À l'aide de ces portraits psychologiques, nous essaierons de comprendre la raison de l'attitude frivole envers l'entreprise de sécurité de l'information.

La dernière fois, nous avons examiné le directeur du département informatique de la raffinerie FlyTech , et aujourd'hui il est temps de se familiariser avec sa tête (et les deux autres personnages).

Konstantin

Compagnie

Raffinerie de pétrole FlyTech, qui fait partie de la grande holding pétrolière FlyOil. Au total, plus de 3 000 personnes travaillent à la raffinerie, mais environ 1 000 sont connectées à la technologie informatique. Il s'agit à la fois d'unités auxiliaires (managers, tenue de livres, logistique, service commercial, marketing) et de travailleurs de production travaillant avec ICS via des terminaux sous Microsoft Windows.

Titre du poste

PDG

Qu'est-ce qui est responsable de

1. Pour le bon fonctionnement de la raffinerie dans son ensemble.
2. Pour une coordination efficace des unités - financière, commerciale, industrielle, transport, sécurité et informatique.
   En gros, le pétrole doit être fourni chaque jour à la raffinerie par rail et par oléoduc, le pétrole doit être transformé en essence, kérosène, fioul, etc. , les employés devraient recevoir un salaire, les ordinateurs devraient fonctionner et servir les employés et la production. Pour chaque fonction individuellement, le chef du département est responsable, à la fois - Konstantin.
3. Pour des propositions au conseil d'administration et aux dirigeants de la holding sur le développement stratégique de l'usine.

Ce qui n'est pas responsable de

1. Pour le travail quotidien des unités ci-dessus est la responsabilité de leurs dirigeants. S'il y avait un accident sur le site de production, les réservoirs n'étaient pas cuits à la vapeur, l'argent ne provenait pas du client, une tentative a été faite pour pénétrer le réseau - les chefs de service devraient s'occuper de tout cela, car ils ont les compétences, les informations et les outils nécessaires pour résoudre ces problèmes.
2. Pour le travail de l'ensemble de l'exploitation.

Vision du monde professionnelle

De l'extérieur, il semble que la raffinerie soit loin d'être la plus grande des entreprises possibles, et bien que la production soit assez dangereuse, ce n'est toujours pas une centrale nucléaire. Mais si vous regardez d'en haut, vous verrez que la raffinerie est en fait une ville, avec ses bureaux, ses usines à l'intérieur des usines, ses pipelines, ses cantines, ses pompiers, ses gardes et ses milliers d'employés.

Et si cette ville est mal gérée, les services mal coordonnés, alors les conséquences peuvent être quelconques, jusqu'à l'arrêt de la production, voire un tel accident qu'il ne semble pas suffisant. Et cela compromettra l'approvisionnement en carburant de toute la région.

Par conséquent, Konstantin chaque jour beaucoup de travail de routine et nerveux pour maintenir la santé de l'entreprise. Pour ce travail, il a tellement besoin de connaissances et de compétences particulières qu'il n'a pas la force et le temps de comprendre des domaines spécifiques, tels que les subtilités de la comptabilité financière ou la mise en œuvre du SOC. Le maximum de ses connaissances et de son expérience se situe dans le domaine de la production, de la commercialisation et du transport. Et c'est normal - combien d'informaticiens connaissent au moins en termes généraux la technologie de craquage ou les principes de base du raffinage du pétrole?

Parmi les menaces qui pèsent sur l'informatique, Konstantin connaît les virus et les ransomwares (il ne connaît pas bien que les ransomwares sont en fait les mêmes virus, mais avec certains symptômes).

Il estime que l'entière responsabilité de la prévention de toutes les menaces incombe à Fedor, car il possède la formation et l'expérience appropriées. Il n'a aucun désir ni aucune opportunité d'approfondir le problème. Toutes les tentatives pour lui parler de problèmes informatiques le font rejeter. Quiconque lui parle des menaces informatiques, il redirige vers Fedor.

Si «l'épouvantail» a coulé dans l'âme de Konstantin, alors il demande à Fedor de lui faire un rapport sur la probabilité du risque et son impact potentiel sur le fonctionnement de la raffinerie, mais l'évaluation de l'objectivité de Fedor, bien sûr, ne vérifie jamais.

Attitude actuelle à l'égard de 2FA

1. Konstantin sait que l'authentification est effectuée sur un PC, Fedor est engagé sur tous les PC, ce qui signifie que toute l'évaluation de la nécessité de mettre en œuvre 2FA devrait provenir de Fedor.
2. Konstantin ne comprend pas que 2FA se réfère aux problèmes qui relèvent formellement des domaines de responsabilité adjacents, mais en fait, chacune des parties estime que d'autres services devraient être responsables du vol de mots de passe.
3. Konstantin ne comprend pas le lien entre le 2FA, incompréhensible pour lui, et les menaces qu'il comprend (auxquelles il croit) - l'infection par des virus et des ransomwares.

Maintenant, l'hypothèse sur la raison du manque d'authentification à deux facteurs à la raffinerie FlyTech a commencé à émerger. Le fait est peut-être que Konstantin et Fedor considèrent que 2F sont une préoccupation réciproque et ne se rendent pas compte qu'en cas de vol de mot de passe ou de fuite de données, cela deviendra un problème courant. En conséquence, Konstantin estime que puisque Fedor ne signale pas de problèmes informatiques, ils n'existent pas. Mais Fedor pense que la protection par mot de passe est davantage une tâche administrative, et comme Konstantin ne s'y concentre pas, ce problème n'est pas grave.
Pour confirmer ou infirmer cette hypothèse, regardons deux autres personnages.

Depuis que nous avons compris l'authentification à deux facteurs dans les grandes entreprises, il est temps de découvrir comment les choses se passent dans le médium. Pour cela, nous avons trouvé la société de transport Tradex et décrit son PDG (et en même temps le propriétaire) et le chef du service informatique. Peut-être que nous commencerons par cela.

Peter

Compagnie

Compagnie de transport "Tradex". Elle assure le transport de marchandises en Russie, dans la CEI, en Chine et en Turquie. Il possède sa propre flotte de wagons et de camions, ainsi que son propre complexe d'entrepôts. Effectue des activités de commerce extérieur (activité économique étrangère), participe à des appels d'offres électroniques.

Titre du poste

Responsable informatique Il dirige une équipe de trois personnes, où un employé a une assez bonne connaissance de la mise en place des équipements réseau et des logiciels, et les deux autres sont des "enikeyshchiki" débutants.

Qu'est-ce qui est responsable de

Pour tout ce qui concerne les ordinateurs. Dans le même temps, ni les politiques de travail ni les priorités ne sont énoncées. Ainsi, restaurer Windows sur l'ordinateur d'un directeur peut être plus important que de repousser une attaque DDoS sur le site Web d'une entreprise.

Dans le même temps, Peter est convaincu que la plupart des problèmes peuvent être résolus par le fait de leur apparition, et les patrons considéreront philosophiquement d'autres problèmes. Soit:

• les données de CRM / 1C sont détruites - mauvaises, CRM / 1C ne fonctionne pas un jour - tolérantes;
• Le PC du directeur ne fonctionne pas - mauvais, le PC du gestionnaire ordinaire ne fonctionnait pas pendant la journée - tolérant;
• client-banque ne fonctionne pas - mauvais, le courrier électronique ne fonctionne pas - tolérant.

Ce qui n'est pas responsable de

Pour les droits et politiques d'accès aux données et services. Le chef du département a dit de donner à l'employé l'accès au bureau par configuration à distance VPN et RDP. La possibilité pour un collaborateur de «fusionner» des données est déjà un problème pour le directeur général et le chef de service.
Pour une préparation accrue à divers types de risques. Tradex n'a pas d'argent pour acheter des ordinateurs portables de rechange au cas où l'employé casse soudainement le sien. Maintenant, s'il se casse, nous penserons à quoi en faire. Dans le même temps, bien sûr, les risques les plus probables sont pris en compte - comme un canal de communication de bureau de secours.

Vision du monde professionnelle

"Cela fonctionne - ne touchez pas." Le directeur de Petr est peu susceptible de le féliciter pour son zèle excessif, mais si dans le processus d'amélioration il gâche (ou du moins rend temporairement inopérant) les services de travail, alors Peter sera coupable. Par conséquent, Peter n'aime pas l'expérimentation. À chaque fois qu'il envisage d'introduire quelque chose de nouveau, il évalue si l'absence de ces opportunités menace réellement l'entreprise de problèmes qui peuvent lui être imputés. Et si l'introduction entraînera les problèmes dans lesquels il est accusé.

Attitude actuelle à l'égard de 2FA

Peter en a entendu parler, mais je suis sûr qu'il ne s'agit pas de leur entreprise. La plupart des employés sont bien en vue, et si quelqu'un essaie de fusionner des données avec le mot de passe de quelqu'un d'autre, alors laissez le Conseil de sécurité ou le directeur lui-même le faire. Bien que si Peter croit en la réalité d'une telle menace, il le dira certainement au réalisateur - afin de ne pas être extrême si quelque chose se produit.

Comme vous pouvez le voir, Peter est responsable de tous les problèmes informatiques, et encore plus que son collègue Fedor de la première partie. Parce que l'entreprise moyenne n'est pas grande, il n'y a pas de service de sécurité dédié (au moins compétent en informatique). Peter ne peut pas se référer au domaine de responsabilité de quelqu'un d'autre ni aux instructions de service.

Et enfin, nous vous présentons le chef de Peter-Paul, directeur et propriétaire de Tradex.

Pavel

Compagnie

Compagnie de transport "Tradex". Elle assure le transport de marchandises en Russie, dans la CEI, en Chine et en Turquie. Il possède sa propre flotte de wagons et de camions, ainsi que son propre complexe d'entrepôts. Effectue des activités de commerce extérieur (activité économique étrangère), participe à des appels d'offres électroniques.

Titre du poste

Le PDG et le propriétaire sont tous réunis en un seul.

Qu'est-ce qui est responsable de

Pour tout. C'est juste qu'il comprend certaines choses et les contrôle complètement, et délègue le reste aux interprètes. Le fait qu'il ne comprenne pas, le réalisateur a besoin de l'absence de problèmes et d'une réaction rapide aux changements. Autrement dit, Pavel ne connaît pas le mot «cryptographe», mais si tous les PC de l'entreprise sont soudainement bloqués, il traitera avec le chef du service informatique. Et si les conducteurs entrent soudainement dans une frénésie, alors il conduira le chef du service des transports.

Ce qui n'est pas responsable de

Comme déjà mentionné, pour la connaissance des détails de certains processus.

Vision du monde professionnelle

Il s'agit de l'entreprise de Paul, il veut donc croire qu'il contrôle complètement tous ses processus. Il rencontre périodiquement les chefs de département et ils lui parlent en détail de l'état actuel, des menaces potentielles et des nouveaux produits (et cela ne concerne pas l'informatique en premier lieu - par exemple, Pavel était très intéressé par l'impact de la mise en œuvre du système Platon sur le revenu).

Pavel aime assister à diverses conférences de l'industrie, cela souligne son statut et donne l'occasion d'apprendre quelque chose de vraiment important. S'ils disent quelque chose qui l'intéresse, mais de ce domaine où il n'est pas spécialiste, Pavel transfère les informations au chef du département correspondant, demande à les trier et à lui faire rapport.

Attitude actuelle à l'égard de 2FA

Pavel ne sait rien de 2FA. Lors de conférences spécialisées, ces questions ne sont pas abordées, Peter ne lui en parle pas. S'il avait été correctement informé du risque potentiel, il aurait alors demandé à Peter de comprendre et de signaler à quel point il est critique et probable dans leur entreprise. Et si Peter dit qu'ils n'ont pas besoin de 2FA, Pavel exigera de garantir que sans l'introduction de cette technologie, la sécurité de Tradex ne sera pas affectée. Et puis, il sera plus facile pour Pavel de mettre en œuvre 2FA que de prendre ses responsabilités.

Conclusions

Il devrait y avoir des conclusions intelligentes sur les raisons pour lesquelles quatre personnes intelligentes, sincèrement préoccupées par la sécurité de leurs entreprises, connaissent la technologie d'authentification à deux facteurs efficace et bien établie, mais ne l'appliquent pas à la maison. Malgré le fait que l'introduction est difficile et non critique en termes de coût et de temps.

Mais les conclusions étaient très simples. Nous devons parler davantage des dangers des mots de passe et des avantages de 2FA, non seulement pour les employés informatiques, mais aussi pour les PDG - et le nombre de déploiements 2FA augmentera considérablement.

Vous n'êtes pas d'accord? Je serai heureux de discuter dans les commentaires!