Парольная политика

В условиях, когда современные компании находятся в поиске самых актуальных и эффективных решений по обеспечению кибербезопасности своей компьютерной инфраструктуры и информационных активов, парадоксальным представляется тот факт, что «парольная тактика» рядовых сотрудников этих компаний не меняется на протяжении последних нескольких лет.

По статистике, взлом пароля является одним из распространенных типов атак на информационные системы, при этом чаще всего причиной взлома становятся ненадежные пароли.

В исследовании «Психология паролей: пренебрежение играет на руку хакерам»[1] подробно рассматривается, как влияет «парольная тактика» пользователей на рост угроз кибербезопасности.

Эксперты пришли к следующим весьма не обнадеживающим выводам:

91% пользователей знают о том, что использование одинаковых паролей для разных аккаунтов – это серьезный риск безопасности, тем не менее, 59% по-прежнему придерживаются этой тактики. В среднем один пароль используется до 13 раз.

47% используют одинаковые пароли для личных и рабочих аккаунтов.

53% пользователей не изменяли пароли за последний год, несмотря на сообщения в СМИ об утечках данных.

Только 55% пользователей меняют пароль на своем аккаунте даже после того, как он был взломан.

51% считают, что их пароль невозможно вычислить по тем данным, которые они предоставляют в соцсетях.

61% не меняют пароль, потому что боятся его забыть.

42% пользователей хранят пароли в текстовом файле – на мобильном телефоне или компьютере, на листе бумаги и др.

Население Германии наиболее ответственно относится к необходимости смены паролей – 42% пользователей регулярно меняют пароли своих личных аккаунтов, потому что это позволяет им чувствовать себя в безопасности.

В этих условиях бизнесы зачастую внедряют новые решения безопасности, в том числе многофакторную аутентификацию, для того, чтобы защитить свои данные от халатности сотрудников.

По статистике[2], 57% бизнесов по всему миру используют многофакторную аутентификацию, что на 12% больше прошлогоднего показателя. Среди стран лидирует Дания, где 46% компаний перешли на эту систему защиты.

Чаще всего данное решение применяется в больших корпорациях, небольшие компании пренебрегают данным средством защиты. И как следствие 43 % кибератак направлены именно против небольших бизнесов.

Одним из факторов, повышающих уязвимость бизнесов, является совместное использование паролей к каким-либо сервисам или файловым хранилищам целыми департаментами, передача паролей подрядчикам – это серьезно повышает угрозу кибербезопасности.

Другой «отягощающий» фактор – это количество паролей, которое приходится на каждого сотрудника. В небольших компаниях – примерно 85 паролей, в более крупных эта цифра, как правило, ниже – порядка 25 паролей. Это связано с тем, что крупные корпорации внедряют решения, позволяющие использовать единый доступ сразу для нескольких внутренних сервисов, кроме того, ими вводятся соответствующие политики, ограничивающие количество приложений, разрешенных к использованию на рабочем месте.

Эксперты сформулировали ряд рекомендаций для бизнеса, которые позволят повысить информационную безопасность компаний:

1. Необходимо серьезно отнестись к разработке политики доступа, поскольку 80% брешей в системе безопасности, как правило, связаны с ненадежными паролями.

2. Важно разработать комплексный план решения данной проблемы, отдельные меры не приведут к желаемым результатам.

3. Использование менеджера паролей должно стать обязательным требованием для всех сотрудников.

4. Залог успеха – в постоянном обучении сотрудников грамотной парольной политике и повышении их осведомленности о существующих угрозах в сфере информационной безопасности.

5. Внедрение многофакторной аутентификации – это дополнительный способ защиты информационных активов компании.

6. Учитывая все вышеперечисленное, компаниям необходимо придерживаться гибких подходов в вопросе парольной политики и обеспечения информационной безопасности в целом, меняя свои стратегии в соответствии с текущей ситуацией и учитывая новые угрозы, возникающие в киберпространстве.