Dviejų faktorių autentifikacija viešojo sektoriaus svetainėse
Dviejų faktorių autentifikacija (2FA) – tai prisijungimo apsaugos būdas, kai vien slaptažodžio nepakanka. Vartotojas turi pateikti du skirtingus tapatybės patvirtinimo elementus: tai, ką jis žino (pavyzdžiui, slaptažodį), ir tai, ką jis turi arba patvirtina kitu įrenginiu (pavyzdžiui, telefone sugeneruotą kodą, autentifikavimo programėlę ar prisijungimo patvirtinimą). Toks sprendimas reikšmingai sumažina riziką, kad prie administravimo aplinkos bus prisijungta neteisėtai, net jei slaptažodis būtų nutekėjęs ar atspėtas.
Lietuvos viešajame sektoriuje tai ypač aktualu, nes savivaldybių, mokyklų, muziejų, bibliotekų ir kitų įstaigų svetainėse dažnai tvarkoma jautri informacija: naudotojų paskyros, registracijos formų duomenys, vidinis turinio valdymas, dokumentai ar integracijos su kitomis sistemomis. Net ir nedidelės įstaigos interneto svetainė gali tapti atakos taikiniu, jei jos administratoriaus paskyra apsaugota tik slaptažodžiu.
Kodėl 2FA svarbi ne tik didelėms organizacijoms
Dažnai manoma, kad sustiprinta prisijungimo apsauga reikalinga tik ministerijoms ar didelėms valstybės institucijoms. Tačiau praktikoje pažeidžiamiausios neretai būna mažesnės organizacijos, kurios turi ribotus IT resursus ir rečiau peržiūri saugumo nustatymus. Mokyklos svetainės administratoriaus paskyra, bibliotekos renginių valdymo sistema ar muziejaus turinio redagavimo aplinka taip pat turi būti apsaugota pagal gerąją praktiką.
2FA padeda apsisaugoti nuo dažniausių rizikų: slaptažodžių nutekėjimo, pakartotinio tų pačių slaptažodžių naudojimo, sukčiavimo laiškų ir neteisėtų prisijungimų iš trečiųjų šalių. Viešajame sektoriuje tai svarbu ne tik dėl techninio saugumo, bet ir dėl pasitikėjimo įstaiga. Jei gyventojas naudojasi savivaldybės paslaugų forma ar registruojasi į bibliotekos renginį, jis tikisi, kad sistema valdoma atsakingai.
Kaip veikia dviejų faktorių autentifikacija
Prisijungimo procesas paprastai vyksta dviem etapais. Pirmiausia vartotojas įveda savo vardą ir slaptažodį. Tuomet sistema paprašo papildomo patvirtinimo – vienkartinio kodo, programėlės sugeneruoto numerio, prisijungimo patvirtinimo telefone arba kito saugaus veiksmo.
Svarbu suprasti, kad ne visi antrieji veiksniai yra vienodai patogūs ar vienodai tinkami kiekvienai įstaigai. Pavyzdžiui, autentifikavimo programėlės dažnai laikomos patikimesniu ir patogesniu pasirinkimu nei SMS kodai, tačiau konkretaus sprendimo pasirinkimas priklauso nuo organizacijos dydžio, darbuotojų skaitmeninių įgūdžių ir naudojamos infrastruktūros.
Kur 2FA turėtų būti taikoma
Viešojo sektoriaus svetainėse dviejų faktorių autentifikacija pirmiausia turėtų būti įjungta visoms administratoriaus ir redaktoriaus teisėmis naudojamoms paskyroms. Tai ypač svarbu turinio valdymo sistemose, kuriose galima keisti puslapių turinį, skelbti naujienas, valdyti formas, eksportuoti duomenis ar diegti papildinius.
Jei įstaiga naudoja WordPress, 2FA dažniausiai įgyvendinama per patikimus saugumo įskiepius arba centralizuotus prisijungimo sprendimus. Svarbu ne tik įdiegti funkciją, bet ir tinkamai ją sukonfigūruoti: apibrėžti, kuriems naudotojams ji privaloma, kaip bus valdomi atsarginiai prisijungimo kodai ir ką daryti praradus telefoną. Vien techninis įjungimas be aiškios tvarkos dažnai sukelia daugiau nepatogumų nei naudos.
Ryšys su BDAR ir atitiktimi
Nors BDAR tiesiogiai nenurodo, kad kiekviena sistema privalo naudoti būtent 2FA, reglamentas aiškiai reikalauja taikyti tinkamas technines ir organizacines saugumo priemones. Jei svetainės administravimo aplinkoje tvarkomi asmens duomenys – pavyzdžiui, registracijos formose, užklausose, edukacijų rezervacijose ar naujienlaiškių valdyme – sustiprinta prisijungimo apsauga tampa logiška ir pagrįsta priemone.
Be to, viešojo sektoriaus įstaigoms svarbi ne tik duomenų apsauga, bet ir veiklos tęstinumas, reputacija bei atitiktis vidaus saugumo politikoms. Neteisėtas prisijungimas gali reikšti ne tik duomenų pažeidimą, bet ir svetainės turinio pakeitimą, klaidinančių pranešimų paskelbimą ar paslaugų sutrikdymą. Todėl 2FA turėtų būti vertinama kaip bazinis saugumo standartas, o ne papildoma opcija.
Prieinamumas ir naudotojų patogumas
Diegiant 2FA viešajame sektoriuje svarbu atsižvelgti ir į prieinamumą. Jei prisijungimo procesas tampa pernelyg sudėtingas, darbuotojai gali ieškoti neoficialių apeinamųjų būdų, o tai mažina bendrą saugumą. Todėl sprendimas turi būti aiškus, suprantamas ir pritaikytas skirtingiems naudotojams.
Gera praktika – pateikti aiškias instrukcijas lietuvių kalba, numatyti alternatyvius atkūrimo būdus ir pasirūpinti, kad prisijungimo langai būtų suderinami su pagalbinėmis technologijomis. Tai ypač aktualu savivaldybių administracijose ir švietimo įstaigose, kur sistemomis naudojasi skirtingo pasirengimo darbuotojai.
2FA ir elektroninės valdžios sprendimai
Lietuvoje gyventojų tapatybės patvirtinimui plačiai naudojami centralizuoti elektroninės valdžios sprendimai, įskaitant VIISP integracijas. Tokiose sistemose daugiafaktorė autentifikacija jau yra natūrali prisijungimo proceso dalis. Tačiau svarbu nepamiršti, kad net jei gyventojų prisijungimas apsaugotas tinkamai, pačios įstaigos darbuotojų administravimo paskyros taip pat turi būti apsaugotos ne mažiau atsakingai.
Kitaip tariant, saugumas turi būti nuoseklus visoje sistemoje: nuo išorinių naudotojų identifikavimo iki vidinio turinio valdymo. Tik tada galima kalbėti apie brandų ir patikimą skaitmeninį sprendimą viešajam sektoriui.
Ką verta numatyti diegiant 2FA
- Privalomumą administratorių paskyroms. Neužtenka rekomenduoti naudoti 2FA – svarbiausioms paskyroms ji turėtų būti privaloma. Tai taikytina svetainių administratoriams, IT specialistams, redaktoriams ir visiems, kurie turi išplėstines teises.
- Atsarginius prisijungimo scenarijus. Reikia iš anksto numatyti, kas nutinka darbuotojui pakeitus telefoną ar praradus prieigą prie autentifikavimo programėlės. Aiški atkūrimo tvarka padeda išvengti veiklos trikdžių ir skubių, nesaugių sprendimų.
- Naudotojų apmokymą. Net ir geriausias techninis sprendimas neveiks sklandžiai, jei darbuotojai nesupras, kaip juo naudotis. Trumpa instrukcija, vidinė tvarka ir pagalbos kontaktas dažnai yra tiek pat svarbūs, kiek pats įskiepis ar sistema.
- Suderinamumą su prieinamumo reikalavimais. Prisijungimo procesas turi būti aiškus, suprantamas ir techniškai prieinamas. Tai svarbu ne tik dėl patogumo, bet ir dėl bendros skaitmeninės brandos bei atitikties viešojo sektoriaus standartams.
Apibendrinant, dviejų faktorių autentifikacija yra viena iš paprasčiausių ir efektyviausių priemonių sustiprinti viešojo sektoriaus svetainių saugumą. Ji ypač svarbi ten, kur administravimo aplinkoje dirba keli darbuotojai, naudojami papildiniai, formos ar integracijos su išorinėmis sistemomis. Savivaldybėms, mokykloms, muziejams, bibliotekoms ir kitoms įstaigoms tai turėtų būti ne išimtis, o atsakingos skaitmeninės priežiūros dalis.