Pētījums: Latvijas organizācijās un uzņēmumos IT drošības jautājumiem netiek pievērsta pietiekoša uzmanība
Organizācijas un uzņēmumi Latvijā joprojām nepievērš pietiekoši lielu uzmanību informācijas tehnoloģiju (IT) drošības pamatjautājumiem, liecina IT drošības incidentu institūcijas «Cert.lv» un Latvijas kibedrošības risinājuma «ACTO Enterprise Identity» veiktais pētījums.
Tajā noskaidrots, ka 65% no visām aptaujātajām organizācijām, kas nodrošina e-pakalpojumus ārējiem lietotājiem, šo pakalpojumu piekļuves kontrolei (lietotāju autentifikācijai) izmanto vienīgi lietotājvārdus un paroles, savukārt 56% no visām organizācijām, kuru iekšējās sistēmas ir pieejamas lietotājiem attālinātai izmantošanai no mājām, attālinātās piekļuves kontrolei izmanto vienīgi lietotājvārdus un paroles.
Tāpat petījuma dati parāda - lai arī liels skaits organizāciju norādīja, ka tajās ir paroļu pārvaldības noteikumi (76%), tikai nelielā daļā gadījumu var uzskatīt, ka tie atbilst nozares labās prakses piemēriem un rekomendācijām.
Vienlaikus 96% organizāciju, kuras nodrošina savu iekšējo sistēmu pieejamību lietotājiem attālinātai izmantošanai no mājām un kā vienīgo autentifikācijas mehānismu šai piekļuvei izmanto lietotājvārdus un paroles, vispār vai nu nav paroļu pārvaldības noteikumu vai tie ir nepilnīgi.
«Paroles kā autentifikācijas metode mūsdienās tiek izmantotas visur - sākot no vienkāršām interneta lapām līdz pat konfidenciālu finanšu informāciju saturošām banku sistēmām, bet šobrīd tiešsaistes pasaulē paroles kā vienīgais autentifikācijas veids ne vienmēr spēj nodrošināt vajadzīgo drošības līmeni un to pierāda arvien biežāk publiski izskanošie ziņojumi par lietotāju datu zādzību gadījumiem,» norādīja «Cert.lv» vadītāja Baiba Kaškina.
Pētījuma veicēji norāda, ka neatkarīgi no pieejamā naudas un cilvēkresursu apmēra, neviena organizācija nespēj sevi efektīvi pasargāt pret ārējiem riskiem, kamēr vien tā izmanto paroli kā vienīgo vai pietiekamo lietotāju autentifikācijas mehānismu. «Pat ja kāda organizācija spētu novērst visus savā kontrolē esošos tehnogēnos riskus, lietotāju paroles aizvien būtu iespējams izmānīt no pašiem lietotājiem, nozagt citos resursos (kur lietotāji izmanto to pašu paroli) un izzināt citādos veidos, ko organizācija nespēj kontrolēt,» uzskata pētījuma veicēji.
Tāpat pētījuma autori atzīmē, ka Latvijas uzņēmējiem un organizācijām būtu aktīvāk jādomā par mūsdienu riska profilam piemērotu autentifikācijas mehānismu izmantošanu, tostarp attiecībā uz daudzfaktoru autentifikācijas izmantošanu, kur ar paroli vien nepietiek, lai piekļūtu pie tās sistēmām. Vienlaikus to nevar padarīt par traucēkli ikdienas sistēmu izmantošanā, kas tiek minēts kā visbiežākais traucēklis klasiskajiem daudzfaktoru autentifikācijas mehānismiem, kā piemēram banku izmantotiem kodu kalkulatoriem.
«Viens no galvenajiem kiberuzbrukumu veidiem ir pikšķerēšana, kas vērsta uz IT sistēmu lietotājiem - uzņēmumu un organizāciju darbiniekiem – lai faktiski izvilinātu no tiem sistēmu paroles. Diemžēl 79% no visām aptaujātajām organizācijām pēdējo divu gadu laikā nav veikušas sociālās inženierijas pārbaudes iekšējo lietotāju grupām ar mērķi noskaidrot noturīgumu pret autentifikācijas datu un citas jutīgas informācijas izpaušanu. Šīs organizācijas faktiski dzīvo neziņā par savu lietotāju sagatavotības līmeni šādu uzbrukumu identificēšanā,» norāda petijuma autori un atzīst, ka lielākā daļa lietotāju nav spējīgi bez iepriekšējas sagatavošanas atklāt un nobremzēt pret tiem vērstos kiberuzbrukumus.
Pētījumā no šā gada 5.februāra līdz 20.februārim aptaujati Latvijas organizācijas un uzņēmumi, lai pievērstu Latvijas organizāciju un uzņēmumu pārstāvju uzmanību lietotāju identitātes aizsardzībai, ņemot vērā mūsdienās arvien pieaugošos IT drošības apdraudējumus un tehnoloģiju attīstību. Uzaicinājums piedalīties tika nosūtīts 547 valsts iestāžu, ministriju, valsts kapitālsabiedrību, pašvaldību, privāto kapitālsabiedrību, izglītības iestāžu u.c. organizāciju pārstāvjiem.