Agenția pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) din Statele Unite ale Americii a lansat un catalog de practici de securitate cibernetică nedorite care prezintă un risc excepțional pentru organizații, în special pentru cele care susțin infrastructura critică.
În data de 30.08.2021, CISA a adăugat autentificarea cu un singur factor la lista practicilor de securitate cibernetică nedorite.
Autentificarea cu un singur factor este o metodă comună de autentificare ce dispune de o securitate redusă. Este nevoie doar de potrivirea unui element – cum ar fi o parolă – cu un nume de utilizator pentru a avea acces la un sistem informatic.
Astfel de practici ar trebui evitate de toate organizațiile, cu precădere de cele care susțin infrastructura critică, fiind deosebit de periculoase.
Împreună cu stabilirea unei parole neconformă și reutilizarea acesteia, care reprezintă în sine o amenințare gravă și un vector de atac profitabil, utilizarea autentificării cu un singur factor poate duce la un risc suplimentar de compromitere care crește posibilitatea preluării conturilor de către infractorii cibernetici.
În prezent, lista practicilor de securitate cibernetică nedorite cuprinde:
- utilizarea aplicațiilor software/ sistemelor de operare care nu mai beneficiază de suport din partea dezvoltatorului;
- utilizarea parolelor/ datelor de autentificare fixe/ implicite;
- utilizarea autentificării cu un singur factor.
De asemenea, CISA are în vedere adăugarea în catalog și a altor practici ce se pot constitui în vulnerabilități la adresa sistemelor:
- folosirea funcțiilor/ cheilor criptografice slabe;
- topologia plană utilizată la nivelul rețelelor de calculatoare;
- amestecarea în cadrul rețelelor a sistemelor IT și a dispozitivelor OT (SCADA, ICS);
- lipsa principiului minimului privilegiu (fiecare utilizator primește nivelul minim de acces/ permisiuni pentru a-și îndeplini funcțiile de serviciu);
- utilizarea sistemelor compromise fără o sanitizare anterioară;
- transmiterea prin rețele neomologate a traficului de date sensibile, necriptat;
- lipsa controlului fizic.
CISA încurajează organizațiile să urmărească lista în cauză și să ia toate măsurile necesare pentru limitarea/ înlăturarea acestor practici.