בכל פעם שבית עסק מתעניין באמצעי האבטחה שהוא יכול להטמיע, תמיד עולות שלוש אפשרויות: אנטי-וירוס בנקודות קצה ובשרתים, כדי לזהות ולהסיר איומים רבים ככל האפשר; גיבויים, כדי לוודא שיהיה ניתן לשחזר את כל המידע שייעלם בתקרית כמו מתקפת כופרה; והצפנה ברמת המכשיר כדי למנוע ממידע מסווג להגיע לתוקפים.
עם זאת, אלו לא האופציות היחידות הזמינות לעסקים.
הבעיה עם סיסמאות
אחת מהאפשרויות האלה, שזמינה כיום לכל דורש, עדיין לא קיבלה את תשומת הלב שמגיעה לה, אך למרות זאת היא הופכת לחיונית באופן הולך וגובר. היא מוכרת בשם "אימות דו-שלבי" (Two-factor authentication – 2FA), והיא מהווה פתרון אידאלי לסיוע בהגנה על מספר גדול של שירותים מקוונים, במידה וסיסמאות הגישה לעסק נשמרות כהלכה.
בואו נשים את זה על השולחן – לא משנה כמה פעמים ננסה להדגיש את החשיבות ביצירת סיסמאות חזקות, רוב המשתמשים יוכלו לזכור רק חלק קטן מהן (ויבחרו בסיסמאות קלות לזכירה).
מסיבה זו חשוב לשלב שכבת אבטחה חדשה, וזו הנקודה בה האימות הדו-שלבי נכנס למשחק. בעוד שאנשים פרטיים משתמשים בו לעיתים קרובות יותר ובקצב הולך ועולה, הוא עדיין אמצעי אבטחה שנמצא בשימוש דל בעולם העסקים.
למעשה, על פי דו"ח הבטיחות האחרון של ESET, רק 11% מהעסקים בדרום אמריקה הטמיעו אימות דו שלבי.
אף אחד לא רוצה שחשבונות הדואר האלקטרוני האישי, הרשתות החברתיות או ספריות המשחקים שלו יאוחסנו על פלטפורמות הפצה קיימות אשר אפשר לגשת אליהן ללא הרשאה. מסיבה זו, אנחנו רואים עלייה יציבה בשיעור השימוש באימות דו-שלבי ע"י משתמשי קצה, והבחירה הפופולרית ביותר להתקן הזיהוי המשני הוא ההתקן הנייד.
עם זאת, בעולם העסקים רוב המשתמשים שמתחברים לרשת העסקית באמצעות VPN, או ניגשים לחשבונות הדואר האלקטרוני שלהם מרחוק, עדיין עושים זאת רק באמצעות שימוש בשם משתמש וסיסמא. במשך שנים רבות, אמצעי בטיחות זה הוכח כלא-יעיל כשהוא עומד בפני עצמו, וזה נובע בעיקר מחוסר יכולתם של משתמשים לנהל את סיסמאותיהם.
אם כך, כשגישה בלתי מורשית למידע עסקי מסווג היא קלה כמו המתנה למשתמש שייגש לרשת העסקית מרחוק, או לדואר האלקטרוני העסקי באמצעות חיבור לא מאובטח, המשמעות היא שמשהו נעשה באופן שגוי, וחמור מכך – שהאמצעים הרלוונטיים למניעת הגישה הבלתי-מורשית הזו לא הוטמעו.
ברוך הבא, אימות דו-שלבי
שימוש בפריט מידע יחיד כדי לאמת גישה למערכת הוא אמצעי פרקטי מאוד, אך לא הבטוח ביותר. כדי למנוע גניבת או הדלפת מידע, פותחו יישומים המספקים אימות דו-שלבי. יישומים אלה הם קלים לשימוש, ומוסיפים שכבת הגנה נוספת המונעת את דליפתן או גניבתן של סיסמאות גישה, שמגיעות ממידע רגיש שנגנב או מגישה בלתי מורשית לרשת הפנימית של החברה.
אך למרות קלות השימוש בהם, עסקים מעטים מאוד הטמיעו אימות דו-שלבי. ככל הנראה, אחת מהסיבות העיקריות לכך היא חוסר המודעות לאמצעי אבטחה זה, אותה צריך לפתור באמצעות קמפיין מודעות, זאת כדי להיות מתואמים עם הרגולציות הכלליות להגנת מידע (GDPR - General Data Protection Regulation) שחוקקו לאחרונה ע"י האיחוד האירופי. למרבה המזל, הן לא משפיעות רק על עסקים באזור זה, אלה גם על אלו שמאחסנים את המידע על משתמשיהם באיחוד האירופי.
ישנם הבדלים רבים בין מערכות שבהן הוטמע פתרון אימות דו-שלבי, אך בדרך כלל משתמשים בהודעת SMS אוטומטית או באפליקציה שיוצרת קודי גישה. ברגע שהסיסמא הוכנסה, המערכת תבקש את הקוד הזה, ובמקרים מסוימים ישנה אפליקציה (נפרדת מהדפדפן) המשמשת להכנסת הקוד.
מערכות אימות דו-שלבי המשולבות במערכת הסיסמאות המסורתית הן בטוחות בהרבה משימוש בסיסמאות גישה בלבד. רבות מההתקפות שנחשפו לציבור בזמן האחרון (ראה/י Have I been Pwned?) היו יכולות להימנע במידה ומערכות אימות דו-שלבי היו קיימות. גם אם התוקפים הצליחו להדביק מחשב ולגנוב סיסמא, הם לא היו יכולים לגשת לחשבון הקשור אליה, מכיוון שקוד הגישה לא יהיה ברשותם.
למרות זאת, שיעור ההטמעה של אמצעי אבטחה זה נותר נמוך.
מה העלות של הטמעת אימות דו-שלבי עבור עסקים?
ממש כמו רבים מפתרונות האנטי-וירוס הזמינים, ישנן הצעות רבות ותמיד יש משהו שיתאים לתקציב. למרות זאת, במקום לחשוב על העלות של הטמעת פתרון אימות דו-שלבי, מה שאנחנו באמת צריכים לחשוב עליו הוא העלות של אי-הטמעת פתרון אימות דו-שלבי.
כדאי מאוד להטמיע מערכות אלה אם אתם רוצים שחשבונות אחסון המידע של העסק יישארו בטוחים. אימות דו-שלבי מקשה (אך לא מונע לגמרי) גישה לא מורשית מצד גורם שלישי לכל סוגי השירותים, למשל – Outlook Web Access.
אין צורך להטמיע אימות דו-שלבי בכל החשבונות שיש להם הרשאות מנהל, רק אלו שמאוחסן בהם מידע מסווג, כדי להימנע מגניבה ומהאפשרות לקנסות מנהליים. זכרו שמערכת זו, למרות שאינה מושלמת, מציעה שכבת אבטחה נוספת שרבים מהפושעים אפילו לא מנסים לעבור. מסיבה זו, יש סיכוי רב יותר שעסק שלא מטמיע אימות דו-שלבי יהיה קורבן להתקפה לעומת עסק שכן מטמיע.
ללא קשר לגודל העסק שלך, אימות דו-שלבי הוא שכבת אבטחה שצריכה להילקח בחשבון, במיוחד עבור משאבים משותפים ועבור עובדים שניגשים לרשתות העסק מרחוק.
פתרון אימות דו-שלבי שמוטמע כהלכה יכול גם להגדיל את שיעור העבודה מרחוק ולאבטח את פרופילי העובדים בזמן שאינם בעבודה, ובכך יגביר את היעילות ויצמצם את הסיכונים.