Heróis de autenticação de dois fatores, parte dois

Recentemente, na primeira parte do artigo , dissemos que ficamos surpresos ao ver como poucas empresas consideram a falta de autenticação de dois fatores uma ameaça séria à segurança da informação.

Para entender os motivos, compilamos quatro descrições dos tomadores de decisão - dois diretores e dois chefes de departamentos de TI, um para uma empresa de grande e médio porte. Usando esses retratos psicológicos, tentaremos entender o motivo da atitude frívola em relação à empresa de segurança da informação.

Na última vez, examinamos o diretor do departamento de TI da refinaria FlyTech e hoje é hora de nos familiarizarmos com sua cabeça (e com os outros dois personagens).

Konstantin

Companhia

Refinaria de petróleo FlyTech, parte da grande exploração de petróleo FlyOil. No total, mais de 3 mil pessoas trabalham na refinaria, mas cerca de mil estão conectadas à tecnologia de computadores. São unidades auxiliares (gerentes, contabilidade, logística, serviço de vendas, marketing) e trabalhadores da produção que trabalham com o ICS através de terminais no Microsoft Windows.

Cargo

CEO

O que é responsável por

1. Para o bom funcionamento da refinaria como um todo.
2. Para a coordenação eficaz das unidades - financeira, comercial, industrial, transporte, segurança e TI.
   Grosso modo, todos os dias o petróleo deve ser fornecido à refinaria por via férrea e oleoduto, o petróleo deve ser transformado em gasolina, querosene, óleo combustível, etc., tudo isso deve ser armazenado, vendido, transportado com a ajuda de nosso próprio transporte ferroviário e rodoviário, o território deve ser protegido. , os funcionários devem receber um salário, os computadores devem trabalhar e servir os funcionários e a produção. Para cada função individualmente, o chefe do departamento é responsável, de uma só vez - Konstantin.
3. Para propostas ao conselho de administração e gerentes da holding sobre o desenvolvimento estratégico da planta.

O que não é responsável por

1. Pois o trabalho diário das unidades acima é de responsabilidade de seus líderes. Se houve um acidente no local de produção, os tanques não foram cozidos no vapor, o dinheiro não veio do cliente, foi feita uma tentativa de invadir a rede - os chefes dos departamentos deveriam lidar com tudo isso, pois eles têm as habilidades, informações e ferramentas necessárias para resolver esses problemas.
2. Pelo trabalho de toda a exploração.

Visão profissional do mundo

Do lado de fora, parece que a refinaria está longe de ser a maior das empresas possíveis e, embora a produção seja bastante perigosa, ainda não é uma usina nuclear. Mas se você olhar de cima, verá que a refinaria é na verdade uma cidade, com escritórios, fábricas dentro das fábricas, tubulações, cantinas, bombeiros, guardas e milhares de funcionários.

E se essa cidade é mal administrada, com serviços mal coordenados, as consequências podem ser: até uma interrupção na produção ou até um acidente que não pareça suficiente. E isso comprometerá o fornecimento de combustível para toda a região.

Portanto, Konstantin todos os dias muito trabalho de rotina e nervoso para manter a saúde da empresa. Para este trabalho, ele precisa de tantos conhecimentos e habilidades especiais que não tem força e tempo para entender áreas específicas, como os meandros da contabilidade financeira ou a implementação do SOC. O máximo de seu conhecimento e experiência está no campo da produção, marketing e transporte. E isso é normal - quantos funcionários de TI conhecem pelo menos em termos gerais a tecnologia de cracking ou os princípios básicos do refino de petróleo?

Das ameaças à TI, Konstantin conhece vírus e ransomware (ele não é muito versado em saber que o ransomware é realmente o mesmo vírus, mas com certos sintomas).

Ele acredita que toda a responsabilidade pela prevenção de todas as ameaças recai sobre Fedor, pois ele possui a educação e a experiência adequadas. Ele não tem desejo ou oportunidade de se aprofundar no problema. Todas as tentativas de falar sobre problemas em TI fazem com que ele seja rejeitado. Quem lhe conta sobre ameaças de TI, ele redireciona para o Fedor.

Se o "espantalho" afundou na alma de Konstantin, ele pede a Fedor que lhe forneça um relatório sobre a probabilidade de risco e seu potencial impacto na operação da refinaria, mas a avaliação da objetividade de Fedor, é claro, nunca verifica.

Atitude atual em relação ao 2FA

1. Konstantin sabe que a autenticação é realizada em um PC, o Fedor está envolvido em todos os PCs, o que significa que toda a avaliação da necessidade de implementar o 2FA deve vir do Fedor.
2. Konstantin não entende que 2FA se refere aos problemas que se enquadram formalmente em áreas de responsabilidade adjacentes, mas, de fato, cada uma das partes acredita que outros serviços devem ser responsáveis ​​pelo roubo de senhas.
3. Konstantin não entende a conexão entre o 2FA, incompreensível para ele, e as ameaças que ele entende (nas quais acredita) - infecção por vírus e ransomware.

Agora, a hipótese sobre o motivo da falta de autenticação de dois fatores na refinaria da FlyTech começou a surgir. Talvez o fato seja que Konstantin e Fedor considerem o 2F uma preocupação um do outro e não percebam que, em caso de roubo de senha ou derramamento de dados, isso se tornará um problema comum. Como resultado, Konstantin acredita que, como o Fedor não sinaliza problemas de TI, eles não existem. Mas Fedor acha que a proteção por senha é mais uma tarefa administrativa e, como o Konstantin não se concentra nela, esse problema não é sério.
Para confirmar ou refutar essa hipótese, vejamos mais dois caracteres.

Como descobrimos a autenticação de dois fatores nas grandes empresas, é hora de descobrir como as coisas estão nesse meio. Para isso, criamos a empresa de transporte Tradex e descrevemos seu CEO (e ao mesmo tempo o proprietário) e o chefe do departamento de TI. Talvez comecemos com isso.

Peter

Companhia

Empresa de transporte "Tradex". Realiza transporte de mercadorias na Rússia, CEI, China e Turquia. Possui frota própria e atraída de vagões e caminhões, além de seu próprio complexo de armazéns. Realiza atividades de comércio exterior (atividade econômica estrangeira), participa de licitação eletrônica.

Cargo

Chefe de TI Ele lidera uma equipe de três pessoas, onde um funcionário tem um bom conhecimento na instalação de equipamentos e software de rede, e os outros dois são iniciantes "enikeyshchiki".

O que é responsável por

Para tudo relacionado a computadores. Ao mesmo tempo, nem as políticas nem as prioridades de trabalho são definidas. Portanto, restaurar o Windows no computador de um diretor pode ser mais importante do que repelir um ataque DDoS no site de uma empresa.

Ao mesmo tempo, Peter está confiante de que a maioria dos problemas pode ser resolvida pelo fato de sua ocorrência, e os chefes vão considerar filosoficamente outros problemas. Isto é:

• os dados do CRM / 1C são destruídos - ruim, o CRM / 1C não funciona um dia - tolerante;
• O PC do diretor não funciona - ruim, o PC do gerente comum não funcionava durante o dia - tolerante;
• o banco do cliente não funciona - ruim, o email não funciona - tolerante.

O que não é responsável por

Por direitos e políticas para acesso a dados e serviços. O chefe do departamento disse que concede ao funcionário acesso à área de trabalho através da instalação remota de VPN e RDP. Se um funcionário pode "mesclar" dados já é um problema para o diretor geral e o chefe do departamento.
Para maior prontidão para vários tipos de riscos. A Tradex não tem dinheiro para comprar laptops sobressalentes, caso o funcionário de repente se quebre. Agora, se quebrar, vamos pensar no que fazer com isso. Ao mesmo tempo, é claro, os riscos mais prováveis ​​são levados em consideração - como um canal de comunicação do escritório de backup.

Visão profissional do mundo

"Funciona - não toque." É improvável que o diretor de Petr o elogie pelo zelo excessivo, mas se no processo de aprimoramento ele estragar (ou pelo menos temporariamente tornar inoperante) os serviços de trabalho, Peter será culpado. Portanto, Pedro não gosta de experimentação. Cada vez que pensa em introduzir algo novo, ele avalia se a ausência dessas oportunidades realmente ameaça a empresa com problemas que podem ser atribuídos a ele. E se a introdução levará aos problemas em que ele é acusado.

Atitude atual em relação ao 2FA

Peter ouviu falar sobre isso, mas tenho certeza de que isso não é da empresa deles. A maioria dos funcionários está à vista e, se alguém tentar mesclar dados com a senha de outra pessoa, deixe o Conselho de Segurança ou o próprio diretor fazer isso. Embora se Peter acredita na realidade de tal ameaça, ele definitivamente dirá ao diretor - para não ser extremo se algo acontecer.

Como você pode ver, Peter é responsável por todos os problemas em TI, e ainda mais que seu colega Fedor desde a primeira parte. Como a empresa média não é grande, não há serviço de segurança dedicado (pelo menos competente em questões de TI). Peter não pode se referir à área de responsabilidade de outra pessoa, nem às instruções de serviço.

E, finalmente, apresentamos a sua atenção a cabeça de Peter - Paul, diretor e proprietário da Tradex.

Pavel

Companhia

Empresa de transporte "Tradex". Realiza transporte de mercadorias na Rússia, CEI, China e Turquia. Possui frota própria e atraída de vagões e caminhões, além de seu próprio complexo de armazéns. Realiza atividades de comércio exterior (atividade econômica estrangeira), participa de licitação eletrônica.

Cargo

CEO e proprietário, tudo em um.

O que é responsável por

Para tudo. Só que ele entende algumas coisas e as controla completamente, e delega o resto aos artistas. O fato de ele não entender, o diretor precisa da ausência de problemas e de uma reação oportuna às mudanças. Ou seja, Pavel não conhece a palavra “criptografador”, mas se todos os PCs da empresa forem subitamente bloqueados, ele lidará com o chefe do departamento de TI. E se os motoristas de repente entrarem em uma farra, ele dirigirá o chefe do departamento de transporte.

O que não é responsável por

Como já mencionado, pelo conhecimento dos detalhes de determinados processos.

Visão profissional do mundo

Esta é a empresa de Paul, então ele quer acreditar que controla completamente todos os seus processos. Ele se reúne periodicamente com os chefes de departamento e eles o informam detalhadamente sobre o estado atual, sobre ameaças em potencial e novos produtos (e isso não se trata de TI em primeiro lugar - por exemplo, Pavel estava muito interessado no impacto da implementação do sistema Platão na receita).

Pavel gosta de participar de várias conferências da indústria, isso enfatiza seu status e oferece uma oportunidade para aprender algo realmente importante. Se eles dizem algo que lhe interessa, mas a partir da área em que ele não é especialista, Pavel transfere as informações para o chefe do departamento correspondente, pede para separá-las e se reportar a ele.

Atitude atual em relação ao 2FA

Pavel não sabe nada sobre o 2FA. Em conferências especializadas, essas questões não são abordadas; Peter não fala sobre isso. Se ele tivesse sido informado corretamente sobre o risco potencial, teria exigido que Peter entendesse e relatasse o quão crítico e provável ele é na empresa deles. E se Peter disser que eles não precisam de 2FA, Pavel exigirá garantir que, sem a introdução dessa tecnologia, a segurança do Tradex não será afetada. E então será mais fácil para Pavel implementar o 2FA do que assumir a responsabilidade.

Conclusões

Deve haver conclusões inteligentes sobre os motivos pelos quais quatro pessoas inteligentes, sinceramente preocupadas com a segurança de suas empresas, conhecem a tecnologia de autenticação de dois fatores eficaz e bem estabelecida, mas não a implementam em casa. Apesar do fato de a introdução ser difícil e não crítica em termos de custo e tempo.

Mas as conclusões foram muito simples. Precisamos falar mais sobre os perigos das senhas e os benefícios do 2FA, não apenas para os funcionários de TI, mas também para os CEOs - e o número de implantações do 2FA aumentará significativamente.

Não concorda? Ficarei feliz em discutir nos comentários!