Tietojenkalasteluhyökkäykset Microsoft 365 -organisaatioiden käyttäjiin ovat valitettavasti arkipäivää, kuten Helsingin Sanomat ja Viestintävirasto kertovat. Siksi meidänkin asiakkaistamme käytännössä kaikilla on työlistalla monivaiheisen tunnistautumisen (multi-factor authentication, MFA) käyttöönotto käyttäjille. Mutta mitä se oikeastaan tarkoittaa, ja miten se kannattaa tehdä?
MFA on yksinkertaisimmillaan otettavissa käyttäjille käyttöön parilla klikkauksella. Mutta onnistunutta käyttöönottoa varten on syytä perustaa projekti, jolla on yleensä useita eri tavoitteita. Tässä oma kuuden vaiheen listani, jolla pääset hyvin liikkeelle.
1. Kalasteltujen tunnusten väärinkäytön estäminen vaatimalla MFA-tunnistautuminen
Aluksi on syytä käydä läpi se, millä menetelmillä MFA-tunnistautumisen voi tehdä ja miten MFA:n vaatima loppukäyttäjärekisteröityminen tai massa-aktivointi hoidetaan. Ja mitä tehdään esimerkiksi vieraskäyttäjien osalta?
2. Käyttäjien käyttökokemuksen helpottaminen – MFA-vaatimuksen rajaaminen vain riskikäyttäytymiseen
Oletusasetuksilla MFA:ta kysytään käyttäjiltä koko ajan ja kaikkialla. Todennäköisesti halutaan kuitenkin, että luotetuilta ja hallituilta laitteilta MFA:ta ei turhaan kysytä, sillä mahdollinen kalasteluhyökkäyksen hyödyntäjä tuskin niitä käyttää – ja onhan laitteet suojattu jo muuten. Näiden esivaatimusten rakentaminen on usein projektin työläin osa.
3. Vanhojen turvattomien protokollien käytön esto
Sen lisäksi että ns. moderneissa kirjautumisissa vaaditaan MFA:ta, on tärkeä estää myös ne vanhat protokollat, jotka eivät MFA:ta tue. Riskinä on varsinkin järjestelmäintegraatioiden hajoaminen, jos tätä ei toteuteta huolella.
4. Muiden käyttörajoitusten asettaminen tietojen suojaamiseksi
MFA-käyttöönoton yhteydessä on mahdollista asettaa myös muita käytön rajoituksia. Tyypillisesti tällainen rajoitus voi olla käytön rajoittaminen selainkäyttöön ei-hallituilla laitteilla, tai joidenkin työntekijäryhmien tai kohdejärjestelmien osalta palveluiden käytön salliminen vain organisaation sisäverkosta.
5. Loppukäyttäjien tietoturvatietoisuuden kasvattaminen
Teknisten ohjeiden osalta loppukäyttäjille täytyy kertoa, miksi toimenpiteitä tehdään ja mitä vastaan niillä suojaudutaan. MFA ei poista varsinaisen tunnuskalastelun mahdollisuutta, joten siitä uhasta on edelleen syytä kertoa käyttäjille.
6. Hallitun vaiheittaisen käyttöönoton toteuttaminen
Jotta käyttöönotto ei riskeeraa päivittäistä työtä ja viestintä voidaan kohdentaa onnistuneesti, halutaan käyttöönotto yleensä tehdä käyttäjäryhmä kerrallaan. Käyttöön otetun teknologian täytyy tukea vaiheistuksen tekemistä.