تقوم Cyber Essentials بإغلاق ثغرة MFA ولكنها تترك بعض المنظمات على غير هدى
في 27 أبريل، دخل نظام شهادة الأمان المدعوم من الحكومة، Cyber Essentials v3.3، حيز التنفيذ وأصبحت المصادقة متعددة العوامل (MFA) متطلبًا للنجاح أو الفشل لأول مرة.
إذا كانت الخدمة السحابية التي تستخدمها مؤسستك تقدم MFA ولم تقم بتمكينها، فستفشل. لا يوجد تقدير، ولا رصيد جزئي، ولا يوجد طريق للإصلاح داخل دورة التقييم.
هذه هي الدعوة الصحيحة. أريد أن أقول ذلك بوضوح، لأن ما يلي هو مشكلة في التنفيذ، وليس في السياسة. تعد تقنية MFA هي أداة التحكم الوحيدة الأكثر فعالية ضد الهجمات المستندة إلى بيانات الاعتماد، وكان النظام بحاجة إلى التوقف عن التسامح مع غيابها لفترة طويلة. لقد اتخذ المركز الوطني للأمن السيبراني (NCSC)، وهو جزء من GCHQ، الذي طور شركة Cyber Essentials وإصدار الشهادات، IASME، هذا القرار الصحيح.
ولكن في التقييمات التي أجريناها هذا العام، رأيت منظمتين ستصطدمان بحائط في 27 نيسان/أبريل، ولا أعتقد أنهما غير عاديين.
لم تتمكن شركة القطار من نشر MFA
الأولى هي شركة تشغيل القطارات في الجنوب الشرقي. تعمل غرف عمليات المحطة على محطات مشتركة حيث يتناوب الموظفون خلال نوبات عمل في ظروف زمنية حرجة. أثارت نقابة النقل مخاوف رسمية من أن MFA ستحدث تأخيرات في لوحة المفاتيح مما قد يؤثر على عمليات القطارات، ومن وجهة نظرهم، على سلامة حركات القطارات.
استمعت الشركة واختارت عدم تمكين MFA في تلك البيئات. بموجب الإصدار 3.2، تم اجتيازها، مع وضع علامة على الأسئلة ذات الصلة على أنها غير متوافقة ولكنها ليست قاتلة. تحت Cyber Essentials v3.3 سوف تفشل.
تواجه المؤسسة الخيرية التي يديرها المتطوعون عقبة وزارة الخارجية
والثانية هي مؤسسة خيرية معروفة على المستوى الوطني ولها مئات من المحلات التجارية في الشوارع الرئيسية. ويعمل في المتاجر إلى حد كبير متطوعون، ويعمل الكثير منهم بضع ساعات في الأسبوع، كما أن معدل دوران الموظفين مرتفع.
تم اعتبار التكلفة والنفقات الإدارية الإضافية لتسجيل كل متطوع في برنامج MFA، باستخدام الهواتف الشخصية التي قد لا تكون لديهم وتطبيقات المصادقة التي لن يحتفظوا بها، باهظة. لذلك لم يتم تشغيل MFA أبدًا. نفس القصة: لقد مروا تحت الإصدار 3.2. تحت v3.3 فشلوا.
ولا تتجاهل أي من هذه المنظمات الأمن. كلاهما اتخذا قرارات مدروسة بناءً على كيفية عمل موظفيهما فعليًا. المشكلة ليست في أنهم لا يريدون الإمتثال. المشكلة هي أن مجموعة الأدوات القياسية لأساليب أسلوب العائالت المتعددة (MFA)، بما في ذلك رموز الرسائل النصية القصيرة، وتطبيقات المصادقة على الهواتف الشخصية، والإشعارات الفورية، لا تناسب محطة مشتركة تتسع لستة أشخاص يجب أن تكون متاحة في ثوانٍ، أو قوة عاملة تطوعية تتغير كل أسبوع.
يمكن لـ FIDO2 تقديم الحلول
الجزء المحبط هو أن هناك حلاً، وقد ثبت بالفعل في مجال الرعاية الصحية والتصنيع وتجارة التجزئة. تتيح مصادقة FIDO2 التي يتم تسليمها من خلال نقرات شارة NFC للموظف المصادقة في أقل من ثانيتين: اضغط على الشارة، وأدخل رقم تعريف شخصي قصير، وتفتح الجلسة.
وهو يفي بمتطلبات MFA من خلال الجمع بين حيازة الشارة ومعرفة رقم التعريف الشخصي. إنه أسرع من كتابة كلمة المرور. والأهم من ذلك، أنها متوافقة، لأنه يتم تسجيل كل شارة باعتبارها بيانات اعتماد FIDO2 الفريدة لهذا الفرد، وبالتالي يتم استيفاء متطلبات Cyber Essentials لحسابات المستخدمين الفريدة. لن تعمل المفاتيح المشتركة أو أرقام التعريف الشخصية المشتركة. الشارات الفردية تفعل ذلك.
الحاجة إلى توجيه أفضل
يتعرف الإصدار 3.3 بشكل صريح على مصادقات FIDO2 ومفاتيح المرور باعتبارها طرق MFA صالحة. طريق الامتثال واضح. والأمر المفقود هو أن يخبر المنظمات الأكثر تضرراً بوجود هذا المسار.
وهذه هي الفجوة التي يجب سدها. لقد اتخذ NCSC وIASME القرار السياسي الصحيح؛ سيكون المخطط أضعف بدونه.
لكن إرشادات التنفيذ الخاصة ببيئات المحطات المشتركة والبيئات القائمة على التحولات ومعدلات الدوران المرتفعة تعتبر ضعيفة، ولا يتوفر لدى هذه المؤسسات الوقت الكافي للعثور على طريقها عبرها. ويمتلك العديد منهم أساسيات الإنترنت لأنها مطلوبة للعقود الحكومية أو في سلاسل التوريد الخاصة بهم؛ فقدان الشهادة له تكلفة تجارية مباشرة.
الجواب ليس تخفيف المطلب. الجواب هو التأكد من عدم فشل أي شخص بسبب نقص المعلومات حول كيفية مواجهته.
جوناثان كراوس هو المؤسس والمدير الإداري لشركة Forensic Control
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
