С октября 2023 года в России стала обязательна так называемая двухфакторная аутентификация на «Госуслугах». Пока вход усложнили только для новых пользователей и для тех, кто восстанавливает учетную запись. Однако уже скоро правительство примет постановление об обязательной двухфакторной аутентификации для всех. И это будет большим шагом вперед. Шагом от той серости и незнания в сфере кибербезопасности, в котором пребывает огромная часть наших сограждан, в чуть более безопасный мир «цифры».
Двухфакторная аутентификация — это система, при которой для входа куда-либо (на «Госуслуги», почту или базу данных своей компании) вы вводите не только привычный логин и пароль, но еще используйте «второй фактор». То есть дополнительный источник защиты: это могут быть цифры из смс-сообщения, одноразовый код из специального приложения или биометрические данные (скан отпечатка пальца). Благодаря этому шансы, что хакеры проникнут в вашу почту или на «Госуслуги», резко снижаются.
Не надо пугать лагерем
Можно не сомневаться, что после введения обязательной двухфакторной аутентификации мы много раз услышим слова про то, что нас всех загоняют в «цифровой концлагерь» и «да кто меня взломает, кому я нужен».
Однако нужно понимать, что сейчас на «Госуслугах» хранится слишком много персональной информации о человеке, чтобы оставлять ее без дополнительных мер защиты.
Сейчас почти 70% россиян имеют аккаунты на «Госуслугах». Однако до недавнего времени лишь малая часть из них использовала двухфакторную идентификацию. А большинство искренне верили в то, что у них надежный пароль. Только, как правило, этот пароль состоит из фамилии латинскими буквами и года рождения. Или из цифр 12345 и сочетания букв qwerty (первые вверху слева на вашей клавиатуре). И если вы думаете, что опытный хакер не сможет подобрать такой «сложный» пароль, то глубоко заблуждаетесь.
Поэтому не надо говорить про «лагерь». Надо говорить про то, что власти пытаются защитить нас от угроз, от которых мы сами защищаться не желаем. И даже не понимаем, что они есть.
Убытки от элементарного незнания основ безопасности
Россия (да и весь мир) последние 10–15 лет на всех парусах летит в мир «цифры». Цифровым становится все вокруг: официальные бумаги, рецепты от врачей, запись в поликлинику и даже наши деньги. Но при этом россияне (да и не только они — проблема касается всего мира) считают термин «киберугроза» лишь частью сюжетов для боевиков: «плохие» парни с хитрыми лицами вскрывают банкоматы, а «хорошие» с ними борются и побеждают. Но наш мир — это не кино. И угрозы вполне реальны.
Причем этих самых угроз стало гораздо больше за последние 1,5 года. Эксперты уверяют, что начиная с февраля 2022 года количество атак на российские компании и частных лиц выросло в 1,5–2 раза. При этом если еще недавно это были малопрофессиональные нападения, то сейчас нас все чаще пытаются «вскрыть» подготовленные группы хакеров высочайшей квалификации. Причем атаки идут не только на банки (они как раз прекрасно защищены), а на организации, которые, казалось бы, никому не нужны: больницы, транспортные компании, службы доставки и так далее.
Думаете, что это нас не касается? Как бы не так! Например, сейчас в некоторых современных аптеках и больницах лекарства хранятся в холодильниках, которые контролируются при помощи «цифры». И если хакер получит к ним доступ, то он сможет изменить температуру хранения лекарств. И никто даже не поймет, что дорогое и жизненно необходимое лекарство уже испорчено. И его будут потом колоть больным людям...
Как хакер может проникнуть в систему? Иногда это проще, чем мы думаем. И все опять же из-за нашей неподготовленности. Один простой (и реальный) пример: директор крупной компании закупил самую современную систему безопасности, нанял целый отдел айтишников и был уверен, что он защищен от хакеров. Но неожиданно компанию взломали, производство было остановлено, убытки были на десятки миллионов рублей, а репутация оказалась подмочена.
Стали разбираться, как же хакеры вскрыли систему. И оказалось, что они вошли через учетную запись самого директора. Который для своего удобства придумал себе логин admin, а пароль установил... admin. И никакой двухфакторной аутентификации у него тоже не было — это же неудобно.
Один эксперт на 300–500 человек
Отсутствие элементарной грамотности в сфере кибербезопасности проявляется не только в том, что мы не желаем устанавливать двухфакторную аутентификацию и не хотим придумывать сложные пароли, но и в том, что сама по себе отрасль кибербеза у нас не находится в приоритете.
Директоры российских компаний — многие из которых тоже были рождены во времена СССР — до конца не понимают, зачем тратить деньги на кибербез в частности и IT в целом. В итоге если в мире на IT-сектор крупные коммерческие компании расходуют сейчас по 5–10% своего бюджета, то у нас в лучшем случае — 1–2%. А чаще всего и меньше — как правило, дело ограничивается тем, что в компании есть айтишник, на которого и сваливается необходимость заниматься кибербезопасностью.
Между тем считается, что на каждые 300–500 сотрудников компании должен быть один высококлассный (!) специалист, который занимается исключительно кибербезопасностью (а не переустанавливает «Виндоус»).
Не молитвой, а двумя факторами
Так что правильно, что Минцифры решило установить двухфакторную аутентификацию. Хотя лучше всего пойти дальше и показывать по телевизору, как нужно защищать свои профили. И что будет, если этого не делать. Да и в школе неплохо бы ввести курс по киберграмотности. Ведь в век «цифры» нужно понимать эту самую «цифру» с самого детства. Ибо молитвой и оберегами от хакеров не защититься.
Читайте также:
Неужели мы начнем покупать машины без «допов»? Не верю!
Умер Евгений Ясин: что не написали об экс-министре экономики в «Википедии»