Одна из старейших американских IT-компаний SafeNet опубликовала отчет о реакции топ-менеджеров на растущие угрозы их бизнесу со стороны мобильных устройств и облачных сервисов. Считается, что последние упрощают работу сотрудников, поэтому типичная современная компания уже не может без них обойтись — в том числе и в России.
Но исследование показало, что только 15% компаний активно используют МФА (мультифакторную аутентификацию) — главное, по мнению экспертов SafeNet, средство защиты от вторжения посторонних лиц в информационную инфраструктуру любого бизнеса, в котором используются интернет-гаджеты и облака. Тем не менее о частичном, эпизодическом использовании МФА сообщили более 74% респондентов. Год назад их было 68%, а в 2016 году их будет уже 91%. Этому тренду способствует присутствие на рынке множества МФА-решений, предназначенных как для стационарных, так и для удаленных рабочих мест.
«IT-отделы уже не способны выполнять свои задачи, если в их распоряжении нет достаточно надежных средств мультифакторной аутентификации сотрудников», — утверждает Джейсон Харт, вице-президент SafeNet по облачным решениям.
В исследовании приняли участие 350 топ-менеджеров, представляющих коммерческие компании, государственные и другие организации: 29% из Азиатско-Тихоокеанского региона, 42% из стран Европы, Ближнего Востока и Африки, 29% из Северной Америки.
Респондентам задавали два основных вопроса:
1. Какая доля сотрудников получает доступ к служебным данным по технологии МФА?
2. Как, по планам развития бизнеса, изменится эта доля к 2016 году?
Исследование показало, что опасность доступа чужих людей к корпоративным документам (к внутренней переписке, бухгалтерии, учредительным данным, финансовым данным и т.п.) понимает большинство руководителей. Доля компаний, в которых МФА используют менее 10% сотрудников (или совсем никто) составила всего 26%. В прошлом году таких было 32%. Только 9% руководителей сообщили, что в ближайшие 2 года МФА в их компаниях по-прежнему будут использовать менее 10% сотрудников:
|
Как ни странно, технология МФА реже всего применяется там, где она больше всего нужна — для удаленного доступа сотрудников к служебной информации с мобильных устройств — смартфонов, планшетов и ноутбуков. Доля компаний, где МФА используют для этой цели менее 10% мобильных пользователей (или никто из них), составила 39%. Но массовое внедрение МФА все-таки включено в планы развития большинства этих компаний на ближайшие 2 года. В 2016 году, предположительно, останется лишь 15% компаний, где эта технология будет использоваться менее чем для 10% мобильных пользователей:
Источник: SafeNet, май 2014 |
Чем объясняется менее активное применение МФА для мобильных устройств по сравнению со стационарными рабочими местами? Вероятно, эта технология особенно ценится теми компаниями, которые принципиально запрещают удаленный мобильный доступ к своим локальным сетям. Руководители, которые раньше других разрешили такой доступ своим сотрудникам, отличаются большей тягой к инновациям, но и большей беспечностью.
15% респондентов продемонстрировали «полное прикрытие периметра» корпоративных IT-систем — в этих компаниях МФА используют более 90% сотрудников. В прошлом году таких компаний было 12%, а к 2016 году, в соответствии с планами развития, их будет 25%:
Источник: SafeNet, май 2014 |
В 22% компаний более 90% мобильных пользователей получают доступ к служебной информации с помощью МФА. К 2016 году этот показатель обещает увеличиться с 22 до 33%:
Источник: SafeNet, май 2014 |
В 37% компаний МФА использует большинство сотрудников, включая мобильных пользователей. К 2016 году уже 56% планируют обеспечить это:
Источник: SafeNet, май 2014 |
33% респондентов предпочитают облачные системы МФА, а 67% — локальные. Год назад приверженцев облачных систем МФА было в полтора раза меньше:
Источник: SafeNet, май 2014 |
Мультифакторная аутентификация обладает принципиально более высокой надежностью, чем однофакторная (например, ввод логина и пароля). Среди традиционных решений МФА: 1) ввод пароля одновременно с прикасанием аппаратного ключа-брелока (токена) к датчику на компьютере; 2) ввод двух паролей, второй из которых присылается пользователю в SMS сразу после ввода первого; 3) сканирование биологических характеристик пользователя (например, отпечатка пальца) после ввода пароля. Существуют и другие решения, в том числе на основе программных токенов.
Рост спроса на МФА для пользователей мобильных устройств влечет за собой переход от аппаратных токенов к программным. Исследование SafeNet показало, что доля программных токен-решений по сравнению с аппаратными увеличилась с 27% в 2013 году до 40% в 2014 году, а к 2016 году ожидается ее увеличение до 50%.
С технической точки зрения самый надежный вариант доступа к служебной информации — это работа сотрудников на стационарных компьютерах с МФА и без участия мобильных устройств. Эта технология давно проверена и всегда будет использоваться в наиболее ответственных отраслях. При меньшем уровне ответственности стационарные рабочие места в большинстве случаев обеспечивают достаточно надежную защиту документов компании даже без МФА. Но при переходе на мобильные устройства угрозы качественно возрастают. Поэтому при расчете рисков мобильно-облачную инфраструктуру без МФА целесообразно считать практически открытой для неограниченного круга чужих людей, включая потенциальных рейдеров, жуликов, хакеров, способных похитить, удалить или подменить произвольную информацию. Таким образом, продемонстрированный в исследовании тренд к тотальному использованию МФА вполне обоснован.
«В конечном счете предприятиям следует смириться с тем, что их сотрудники будут находить новые способы использовать мобильные устройства для доступа к корпоративным данным — с разрешения или без такового. И вместо того, чтобы предотвращать доступ, IT-директорам следует задуматься о внедрении мультифакторной аутентификации, которая способна защитить корпоративные ресурсы и при этом обеспечить сотрудникам необходимый доступ, помогая сохранить и повысить их продуктивность», — считает Сергей Кузнецов, глава представительства SafeNet Europe BV в России и СНГ.
