Ahogy a NIS2 követelmények életbe lépnek az Európai Unió teljes területén, a Magyarországon működő szervezetek egyre nagyobb elvárásokkal szembesülnek az identitás- és hozzáférés-vezérlés megerősítése terén. Egy intézkedés különösen központi szerepet kapott mind a megfelelés, mind a kiberbiztonsági felkészültség szempontjából: a többtényezős hitelesítés (MFA), és ezen belül is a kimondottan adathalászattal szemben ellenálló MFA.
A NIS2 a hangsúlyt arról a szemléletről helyezi át, hogy „van-e MFA”, arra, hogy a szervezet által alkalmazott hitelesítési módszerek arányosak legyenek a kockázattal, és ellenálljanak a modern fenyegetésekkel szemben. A támogató útmutató ezt egyértelműen kimondja:
„Az illetékes szervezeteknek biztosítaniuk kell, hogy a felhasználók több hitelesítési tényezővel legyenek hitelesítve… a szervezetek hálózataihoz és információs rendszereihez való hozzáféréskor, ahol ez indokolt, az elérni kívánt eszköz besorolásának megfelelően.”
Mit ír elő a NIS2 az MFA kapcsán
Az NIS2 végrehajtási rendeletét támogató útmutató alapján a szervezeteknek az alábbiakat kell biztosítaniuk:
A felhasználók több tényezővel vannak hitelesítve
A rendszerekhez való hozzáférésnek több, egymástól független hitelesítési tényezőt kell igényelnie, összhangban a modern biztonsági elvárásokkal. Ez megerősíti azt a követelményt, hogy hálózati és információs rendszerek elérésekor MFA-t kell alkalmazni, nem pedig egytényezős bejelentkezést.
A hitelesítés erőssége igazodik a rendszer kritikalitásához
A kritikus vagy érzékeny rendszerekhez a szervezeteknek erősebb hitelesítési megoldást kell alkalmazniuk, mint az általános hozzáférésű rendszerek esetében. Az útmutató kiemeli, hogy a hitelesítést a kockázat és a kritikalitás alapján kell megválasztani.
MFA kötelező a magas kockázatú rendszereknél
Különösen az alábbiaknál:
-
Távoli hozzáférés
-
Rendszeradminisztrációs és privilegizált felületek
-
Internet felé nyitott szolgáltatások, például webmail/email, VPN és távoli asztal
Az útmutató kifejezetten ajánlja:
„Az internet felé nyitott rendszereken, mint például email/webmail, távoli asztal vagy VPN, kötelező MFA alkalmazása.”
Adathalászattal szemben ellenálló MFA – ahol lehetséges
A FIDO2/WebAuthn szabványokon alapuló megoldások a legellenállóbbak az adathalászati és man-in-the-middle támadásokkal szemben. A hagyományos MFA-módszerek, mint az SMS-kódok vagy push értesítések, gyengébb védelmet nyújthatnak magas kockázatú hozzáféréseknél.
Az útmutató egyértelműen kimondja:
„Az adathalászattal szemben ellenálló MFA alkalmazása ajánlott.”
Továbbá:
„Ahol csak lehetséges, használjanak adathalászattal szemben ellenálló MFA-t.”
Ez azt jelenti, hogy a szervezeteknek nemcsak azt kell vizsgálniuk, hogy van-e MFA, hanem azt is, hogy az alkalmazott MFA-típus megfelel-e a kockázati szintnek.
Miért lehet elégtelen az alapvető MFA?
Egyes MFA-módszerek továbbra is sérülékenyek az adathalászattal és a social engineeringgel szemben. A támadók elcsíphetik a kódokat, hamis bejelentkezési oldalra terelhetik a felhasználót, vagy megtéveszthetik, hogy jóváhagyjon egy hozzáférést.
Az útmutató ezt elismeri:
„Egyes MFA-típusok sérülékenyek az adathalász támadásokkal szemben, ezért a szervezeteknek olyan MFA-t kell választaniuk, amely képes ezek kivédésére.”
A magyar szervezetek számára – különösen a kiberbiztonsági auditokra készülve – a különbség az alapvető és az adathalászattal szemben ellenálló MFA között lényeges lehet. Az auditorok vizsgálhatják, hogy az MFA:
-
következetesen alkalmazott-e a kritikus rendszereknél
-
arányos-e a kockázattal
-
ahol lehetséges, adathalászat-álló megoldást használ-e
Hogyan felel meg a YubiKey a NIS2 elvárásainak?
A YubiKey a FIDO2/WebAuthn szabványt használja, amelyet széles körben a legerősebb, adathalászat-álló MFA-megoldásként ismernek el. Az útmutató szerint az erős MFA:
„’Erős’: adathalászattal szemben ellenálló… nincs megosztott titok, nem sérülékeny man-in-the-middle támadásokkal szemben; a kriptográfiai privát kulcs védett… a FIDO és WebAuthn szabványok szerint.”
Ez számos előnnyel jár:
-
Nincs megosztott titok vagy olyan kód, amit elfoghatnak
-
Gyors hitelesítés bejelentkezéshez és step-up ellenőrzéshez
-
Széles kompatibilitás főbb platformokkal, identitásszolgáltatókkal, operációs rendszerekkel
-
Nem függ mobiltelefontól, akkumulátortól vagy hálózati kapcsolattól
Ezek a tulajdonságok a hardveres hitelesítést gyakorlati, biztonságot növelő megoldássá teszik a NIS2-elvárások teljesítéséhez.
Gyakorlati út a magyar szervezetek számára
Egy strukturált bevezetés jellemzően a következőket tartalmazza:
-
Azonosítani kell azokat a rendszereket, amelyek MFA-t igényelnek
-
A hitelesítés erősségét a rendszer kritikalitásához kell igazítani
-
Előnyben kell részesíteni a privilegizált és távoli hozzáféréseket
-
Dokumentálni kell az MFA-szabályokat és konfigurációkat
-
A hozzáférési és hitelesítési naplókat meg kell őrizni audit-célú bizonyítékként
A fokozatos bevezetés segíti az üzemi alkalmazkodást és az auditokra való felkészülést.
Hogyan segít a Trust Panda Magyarországon?
Sok szervezet számára nemcsak a megfelelő MFA-technológia kiválasztása jelent kihívást, hanem annak hatékony bevezetése is a NIS2-nek megfelelően. A Trust Panda a következő helyi támogatást nyújtja:
-
Szakértelem a YubiKey telepítésében, tanúsított szakemberekkel
-
Támogatás az integrációban és a bevezetésben, beleértve a privilegizált hozzáférések step-up hitelesítését
-
Helyi készlet és budapesti teljesítés, ami csökkenti a szállítási időkockázatot, különösen audit-határidők közeledtekor
Ez egyszerű és hatékony utat biztosít az adathalászattal szemben ellenálló MFA bevezetéséhez, valamint a szükséges dokumentáció elkészítéséhez.
A NIS2 jelentősen megemeli az elvárásokat az identitásbiztonsággal kapcsolatban, és az MFA mostanra kiemelt fókusz lett – különösen a kritikus, internet felé nyitott vagy adminisztratív rendszerek esetében. Az útmutató egyértelművé teszi, hogy ahol lehetséges, az adathalászat-álló MFA-megoldásokat részesítik előnyben, és a hardveralapú hitelesítés – például a YubiKey – gyakorlati módja ennek teljesítésére, miközben a napi működés biztonságát is növeli.
A helyi szakértelem, tanúsított támogatás és a Budapesten elérhető készlet révén a magyarországi szervezetek gyorsan és hatékonyan vezethetik be az adathalászattal szemben ellenálló MFA-t, és javíthatják felkészültségüket a közelgő kiberbiztonsági auditokra.
GYIK
KKötelező az MFA a NIS2 szerint?
Igen. Az MFA-t a rendszerek és adatok kritikalitásának megfelelően kell alkalmazni, és a felhasználókat több tényezővel kell hitelesíteni, ahol ez indokolt.
Mi számít adathalászat-álló MFA-nak?
A FIDO2/WebAuthn alapú, hardveralapú hitelesítők széles körben elismertek a legerősebb, adathalászattal szemben ellenálló megoldásokként.
Elégséges az SMS- vagy alkalmazásalapú kód?
Sok esetben elfogadható, de gyengébb, és sérülékenyebb az adathalászattal szemben. Kritikus rendszerekhez erősebb módszerek ajánlottak.
Miért érdemes a YubiKeyt választani a NIS2-felkészüléshez?
A YubiKey gyors, adathalászattal szemben ellenálló hitelesítést biztosít, és széles körben kompatibilis a főbb platformokkal, így alkalmas a nagy kockázatú rendszerek védelmére.
Forrás
Segítségre van szüksége?
Ha szervezete a NIS2 követelményeinek megfelelő, adathalászattal szemben ellenálló MFA bevezetését tervezi, szakértő csapatunk gyakorlati támogatást nyújt. Írjon nekünk a support@trustpanda.com címre.
Ha már tudja, milyen YubiKey-ekre van szüksége, értékesítési csapatunk készséggel segít árazásban és elérhetőségben a sales@trustpanda.com címen.
