Kako se zaštititi od rastućeg broja phishing napada?

Cyber napadi čiji je cilj krađa identiteta aktivirani su svakog dana, svakog sata i svake minute – diljem svijeta. Živimo u konstantno povezanom digitalnom svijetu, a to znači da svaki pojedinac i svaka tvrtka mogu u bilo kojem trenutku postati žrtve cyber kriminalaca. Kao najraširenija taktika u rukama napadača, phishing napadi predstavljaju vrlo ozbiljnu prijetnju. Nakon uspješnog phishing napada i “ulaska” u mrežu korisnika ili organizacije, napadači mogu pokrenuti zlonamjerni malware ili ransomware te posljedično izazvati prekide u radu sustava ili druge smetnje.

Zamislite scenarij u kojem zaposlenik slučajno “nasjeda” na phishing napad, dajući pritom hakerima pristup poslovnoj mreži tvrtke. Osim što mogu prouzročiti curenje osobnih podataka korisnika, napadači istovremeno mogu uništiti reputaciju tvrtke i, na primjer, potaknuti pad cijene dionice i druge materijalne štete. Ovakvi su scenariji češći nego što se čini.

Potreba za snažnijom zaštitom nikad nije bila važnija, posebno u vrijeme kada napadi koji dovode do krađe identiteta postaju sve sofisticiraniji.

Eskalacija prijetnji i rastući broj phishing napada

Broj cyber napada eksponencijalno raste posljednjih nekoliko godina. Pritom su phishing napadi glavno oružje u rukama napadača. Statistički podaci o cyber prijetnjama to potvrđuju:

Phishing napadi ne ugrožavaju samo sigurnost osjetljivih podataka tvrtke, već mogu potaknuti curenje osobnih podataka korisnika. Povreda poslovnog ugleda te gubitak povjerenja kupaca i klijenta logične su posljedice. Tradicionalne sigurnosne prakse – u prvom redu lozinke – odavno su se pokazale kao neučinkovito sredstvo zaštite.

FIDO2, standard koji omogućava autentifikaciju bez lozinke na različitim uređajima i aplikacijama, pokazao se kao moćno rješenje.

Zašto je FIDO2 toliko učinkovito rješenje?

Umjesto na lozinke, FIDO2 koristi USB ključeve za autentifikaciju ili biometrijske podatke. FIDO se oslanja na WebAuthn API protokol koji omogućuje web stranicama da koriste autentifikacijske metode bez upotrebe lozinke. Dodatno, oslanja se i na CTAP protokol koji omogućuje povezivanje web preglednika i autentifikatora. Rješenje je razvijeno u suradnji s vodećim tehnološkim organizacijama, što jamči integraciju s većinom popularnih aplikacija i platformi.

FIDO2 je namijenjen rješavanju višestrukih korisničkih scenarija. Isti uređaj ili biometrijski uzorci mogu se koristiti za autentifikaciju na nizu različitih platformi, što uključuje web preglednike, aplikacije, operativne sustave mobilnih uređaja i desktop računala.

FIDO2 autentifikator, ujedno poznat i kao FIDO sigurnosni ključ, uključuje jedan ili više privatnih ključeva, od kojih je svaki namijenjen jedinstvenom online računu. FIDO protokol zahtjeva “korisničku gestu” – dodir, pin ili biometrijske podatke – prije nego što se privatni ključ može aktivirati za potvrđivanje zahtjeva za autorizacijom.

Budući da podržava više-faktorsku autentifikaciju, FIDO2 pruža dodatni sigurnosni sloj u slučaju da se jadan od autentifikacijskih faktora kompromitira. Kao takvo, rješenje donosi najvišu razinu sigurnosti online računa te smanjuje operativne troškove povezane s upravljanjem lozinkama i povezanom infrastrukturom.

Ključne prednosti FIDO2 rješenja

  • Sigurnost: FIDO2 se odlikuje jedinstvenim vjerodajnicama za prijavu za svaku web stranicu. One se nikad ne pohranjuju na strani poslužitelja, čime se eliminiraju rizici od krađe identiteta ili phishing napada.
  • Korisničko iskustvo: Prijava uz jednostavne metode ugrađene na uređaju ili uz korištenje sigurnih i jednostavnih FIDO2 ključeva.
  • Privatnost: FIDO2 se oslanja na jedinstvene ključeve za svaku web stranicu, zbog čega je onemogućeno praćenje korisnika na različitim stranicama. Biometrijski podaci pritom nikad ne napuštaju korisnički uređaj.
  • Skalabilnost: FIDO2 se pokreće uz jednostavni JavaScript API koji je podržan od strane svih vodećih preglednika i platforma.

Podrška FIDO2 rješenja od strane regulatornih tijela

Kao odgovor na sve veći broj cyber napada, posebno onih povezanih s krađom identiteta, regulatorna tijela diljem svijeta zagovaraju jače sigurnosne mjere. Organizacije ih ne mogu ignorirati jer se legalnost poslovanja uvelike temelji na zadovoljavanju niza sigurnosnih zahtjeva o zaštiti privatnosti. Ti su zahtjevi proizašli iz široke mreže zakona, propisa i standarda. Ono što svaka od tih regulativa preporučuje ili zagovara je korištenje snažne autentifikacije.

Tako su prema Općoj uredbi o zaštiti podataka (GDPR) Europske unije organizacije obvezne primijeniti sigurnosne mjere koje uključuju multi-faktorsku autentifikaciju (MFA). Prema Executive Order 14028 SAD-a koja zagovara veću cyber sigurnost zemlje, od federalnih agencija se zahtijeva da koriste MFA otporan na krađu identiteta, odnosno FIDO ili PIV.

 

Zanima vas više informacija? Kontaktirajte nas.