V. Kamarevcevas. Elektroninė atpažintis: kodėl saugumas vis dar antrame plane?

Kelių faktorių autentifikavimas (ang. Multi-factor authentication, MFA) užkerta kelią 99,9% kibernetinių incidentų, rodo įmonės „Microsoft“ duomenys. Tačiau paslaugų teikėjai linkę šią statistiką ignoruoti. Kitos tarptautinės bendrovės „Statista“ tyrimai atskleidžia, jog pagrindinė vartotojų autentifikavimo priemonė visame pasaulyje vis dar yra slaptažodžiai. Juos naudoja 83% valstybinio, 85% medicinos bei po 86% finansų ir programinės įrangos sektorių atstovų. Elektroninės atpažinties rinkos reguliavimas viską sustatytų į rėmus: organizacijoms sumažėtų kibernetinių incidentų rizika, o vartotojams – sielvarto dėl prarastų duomenų.

Slaptažodis – vienas nesaugiausių vartotojų tapatybės patvirtinimo būdų. Tačiau jis išlieka tarp populiariausių autentifikavimo priemonių ir Lietuvoje - mat, e. atpažinties rinkoje vis dar taikomi savireguliacijos principai, prioretizuojama paprastesnė vartotojo patirtis, o ne saugumas.

Nors nuo 2016 m. liepos mūsų šalyje visiškai taikomas eIDAS (elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų) reglamentas, per šešerius metus atpažinties srityje pasistūmėjome nedaug. Iki šiol neturime nacionalinių gairių, kurios numatytų, kokios atpažinties priemonės gali būti naudojamos e. erdvėje. Taip pat neaiškūs kriterijai, kuriais vadovaujantis diegiami atpažinties įrankiai viešojo ir privataus sektoriaus institucijose.

Tiesa, kaip gerąjį pavyzdį būtų galima paminėti finansų sektorių, kuriame vartotojai prisijungimui privalo naudoti griežtą kliento autentiškumo patvirtinimą (angl. Strong Customer Authentication, SCA). SCA reikalauja papildomo autentifikavimo protokolo, kurie skirstomi į tai, ką žino vartotojas (nuolatinis slaptažodis, kodas), į tai, ką turi vartotojas (telefonas, lustinė kortelė) ir tai, kas būdinga vartotojui (piršto antspaudas, veido atpažinimas).

Savireguliacijos kaina

Vienas naujausių pavyzdžių, kuris iliustruoja elektroninės atpažinties savireguliacijos riziką – už Atlanto. 2022 m. lapkritį buvo įvykdyta kibernetinė ataka prieš JAV veikiantį lažybų portalą „DraftKings“. Internetinė svetainė patyrė Prisijungimo duomenų užpildymo (ang. Credential Stuffing) ataką, kurios metu įsilaužėliai panaudojo nutekėjusius slaptažodžius ir iš vartotojų paskyrų pasisavino daugiau nei 300.000 dolerių.

Šio kibernetinio incidento buvo galima išvengti, jei lažybų bendrovės klientai būtų naudoję kelių faktorių autentifikavimą (MFA). Visgi, nors „DraftKings“ portalas tokį funkcionalumą turi, didžiajai daliai klientų MFA aktyvavimas nėra būtinas. Vieninteliai nenukentėję portalo vartotojai – JAV Konektikuto valstijos gyventojai, mat, ten galiojantys įstatymai nurodo, jog asmens tapatybės patvirtinimas naudojant MFA yra privalomas.

Dulkės nupūstos, bet ar to užteks?

Didėjant kibernetinių incidentų rizikai Lietuvoje ir pasaulyje, kyla klausimas – ar elektroninės atpažinties rinka gali gyvuoti savireguliacijos principais? O galbūt atėjo laikas atsikratyti senų įpročių prie svarbių paskyrų jungtis naudojant nesaugius slaptažodžius ir įvesti aiškias taisykles visiems rinkos žaidėjams?

Praėjusių metų lapkričio pabaigoje Lietuvos Seimas, nors ir atsilikdamas nuo kaimynų Latvijoje ir Estijoje, pagaliau rado politinės valios sugrįžti prie Elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymo projekto ir pritarė jo pateikimui. Visgi, kad saugumas pagaliau taptų prioritetu e. erdvėje vien šio žingsnio nepakanka. Svarbu atgal į stalčių nepadėti ir iš esmės sutvarkyti atpažinties priemonių įvertinimo schemą, t.y. nustatyti atpažinties priemonių saugumo lygį, numatyti, kokios priemonės yra tinkamos vartotojų prisijungimui ir autentifikavimui. Priėmus šį įstatymą, organizacijos būtų įpareigotos savo e. sistemose slaptažodžius pakeisti kvalifikuotomis e. atpažinties priemonėmis, tokiu būdu apsaugant tiek save, tiek vartotoją.

Komentaro autorius – Viktoras Kamarevcevas, asociacijos „Infobalt“ eIDAS pogrupio pirmininkas

Komentarai