MFA_turva

Suojaudu. Tai päädy kalastetuksi.

Phishingkampanjat ja tietoturvamurrot lisääntyvät jatkuvasti.
Suojaudu mielellään jo eilen.

Palomuurinmurtaja

Aikakausi, jolloin kaikki oli turvassa palomuurin takana, on historiaa. Erilaiset pilvipalvelut ja mobiililaitteiden käyttö on johtanut siihen, ettei palomuuri olekaan keskitetty paikka hallinnoida pääsyä palveluihin. Mitä tämä tarkoittaa? Sitä, että ulkopuolinen henkilö voi päästä yrityksen dataan käsiksi vuotaneilla tai heikoilla käyttäjätiedoilla. Näistä olemme saaneet lukea useita varoittavia esimerkkejä.

Kun pilvipalveluihin pääsee käsiksi mistä vain ja mistä verkosta tahansa, pitää tietoturvan kanssa olla tarkkana. Pätevä ratkaisu on Multifactor Authentication – monivaiheinen todentaminen ts. vahva tunnistautumismenetelmä (MFA).  

Miksi MFA?

Me kaikki käytämme jo MFAta päivittäin kuluttajina. Pankki- ja maksupalvelut sekä sähköinen tunnistautuminen erilaisiin palveluihin tapahtuu monivaiheisella todentamisella. Miksi sitten yrityksissä ei toimita näin? Syitä on moninaisia – usein esteenä ovat vanhat legacy-palvelut, jotka eivät tue monivaiheista todentamista. Liian usein myös yhdellä tunnistautumisella pääsee pahimmillaan käsiksi kaikkeen yrityksen tietoon ja palveluihin.

Heikoin lenkki

Ongelmakohtia tunnistautumisessa ovat – tai no, ensisijaisesti ongelmakohtana on loppukäyttäjä. Heikkoja salasanoja, sama salasana käytössä monessa eri paikassa, salasanojen tallentaminen selaimiin, koneen jättäminen lukitsematta tai sen saakin pahimmillaan käyntiin ilman salasanaa jne. jne. Käyttäjän päivittäminen on usein myös tarpeen – tai siis käyttäjän ohjeistus.

Tuplavarmennus

Tarvitaan siis tuplavarmennus. Vaikka salasana olisi arvattavissa ja käyttäjätunnuksena sähköpostiosoite, ilman toista tai kolmatta tunnistautumista ei näillä tiedoilla pääsekään käsiksi dataan. Toinen tunnistautuminen voidaan hoitaa puhelinsoitolla, tekstiviestillä, mobiiliapplikaatiolla tai varmennuskoodilla. Mobiililaitteen turvaa biometrinen tunnistautuminen.

Paitsi ottaa MFA käyttöön, kannattaakin tarkistaa koko yrityksen tietoturvallisuuden pohjataso – ja nostaa sitä.

Miten? No vaikka Onregon Security Baseline-projektilla seuraavasti:

  1. Asiakkaan ympäristön kartoitus
  2. Vaatimusten tarkistaminen ja ongelmakohtien tunnistaminen
  3. Vaadittavien muutosten teko ympäristöön
  4. Asetusten määrittely ja konfigurointi
  5. Pilotointi ja testikäyttäjät
  6. Käyttäjien ohjeistus
  7. (Porrastettu) käyttöönotto

Comments are closed.