"Aptaujas rezultāti norāda, ka augstāk minētajam jautājumam netiek pievērsta pietiekoši liela uzmanība, jo 65% no visām aptaujātajām organizācijām, kas nodrošina e-pakalpojumus ārējiem lietotājiem, norādīja, ka šo pakalpojumu piekļuves kontrolei (lietotāju autentifikācijai) izmanto vienīgi lietotājvārdus un paroles, savukārt 56% no visām organizācijām, kuru iekšējās sistēmas ir pieejamas lietotājiem attālinātai izmantošanai no mājām, attālinātās piekļuves kontrolei izmanto vienīgi lietotājvārdus un paroles," norāda ACTO un "CERT.LV".
Lai arī liels skaits organizāciju norāda, ka tajās ir paroļu pārvaldības noteikumi (76%), tikai nelielā daļā gadījumu var uzskatīt, ka tie atbilst nozares labās prakses piemēriem un rekomendācijām, noskaidrots aptaujā.
Turklāt 96% organizāciju, kuras nodrošina savu iekšējo sistēmu pieejamību lietotājiem attālinātai izmantošanai no mājām un kā vienīgo autentifikācijas mehānismu šai piekļuvei izmanto lietotājvārdus un paroles, vispār vai nu nav paroļu pārvaldības noteikumu vai tie ir nepilnīgi.
"Paroles kā autentifikācijas metode mūsdienās tiek izmantotas visur - sākot no vienkāršām interneta lapām līdz pat konfidenciālu finanšu informāciju saturošām banku sistēmām, bet šobrīd tiešsaistes pasaulē paroles kā vienīgais autentifikācijas veids ne vienmēr spēj nodrošināt vajadzīgo drošības līmeni un to pierāda arvien biežāk publiski izskanošie ziņojumi par lietotāju datu zādzību gadījumiem", saka CERT.LV vadītāja Baiba Kaškina.
Analizējot mūsdienu kiberapdraudējumu raksturu, aptaujas autori secina, ka neatkarīgi no pieejamā naudas un cilvēkresursu apjoma, neviena organizācija nespēj sevi efektīvi pasargāt pret ārējiem riskiem, kamēr vien tā izmanto paroli kā vienīgo vai pietiekamo lietotāju autentifikācijas mehānismu. Pat ja kāda organizācija spētu novērst visus savā kontrolē esošos tehnogēnos riskus, lietotāju paroles aizvien būtu iespējams izmānīt no pašiem lietotājiem, nozagt citos resursos (kur lietotāji izmanto to pašu paroli) un izzināt citādos veidos, ko organizācija nespēj kontrolēt.
Latvijas uzņēmējiem un organizācijām būtu aktīvāk jādomā par mūsdienu riska profilam piemērotu autentifikācijas mehānismu izmantošanu, t.sk. attiecībā uz daudzfaktoru autentifikācijas izmantošanu, kur ar paroli vien nepietiek, lai piekļūtu pie tās sistēmām. Vienlaikus to nevar padarīt par traucēkli ikdienas sistēmu izmantošanā, kas tiek minēts kā visbiežākais traucēklis klasiskajiem daudzfaktoru autentifikācijas mehānismiem, kā piemēram banku izmantotiem kodu kalkulatoriem.
"Viens no galvenajiem kiberuzbrukumu veidiem ir pikšķerēšana, kas vērsta uz IT sistēmu lietotājiem - uzņēmumu un organizāciju darbiniekiem – lai faktiski izvilinātu no tiem sistēmu paroles. Diemžēl 79% no visām aptaujātajām organizācijām pēdējo divu gadu laikā nav veikušas sociālās inženierijas pārbaudes iekšējo lietotāju grupām ar mērķi noskaidrot noturīgumu pret autentifikācijas datu un citas jutīgas informācijas izpaušanu. Šīs organizācijas faktiski dzīvo neziņā par savu lietotāju sagatavotības līmeni šādu uzbrukumu identificēšanā. Diemžēl pieredze liecina par to, ka lielākā daļa lietotāju nav spējīgi bez iepriekšējas sagatavošanas atklāt un nobremzēt pret tiem vērstos kiberuzbrukumus," norāda aptaujas organizētāji.
Aptauja tika veikta laika posmā no šī gada 05.februāra līdz 20.februārim un uzaicinājums piedalīties aptaujā tika nosūtīts 547 valsts iestāžu, ministriju, valsts kapitālsabiedrību, pašvaldību, privāto kapitālsabiedrību, izglītības iestāžu u.c. organizāciju pārstāvjiem.
Seko "Delfi" arī Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!
