Społeczność zajmująca się bezpieczeństwem cybernetycznym pozytywnie zareagowała na ogłoszenie Google z 4 listopada, iż zacznie egzekwować te zasady uwierzytelnianie wieloczynnikowe (MFA) dla milionów użytkowników Google Cloud na całym świecie w 2025 r., przy czym posunięcie to określa się jako znaczący krok naprzód w zabezpieczaniu szerszego ekosystemu cyfrowego.
Udoskonalone zasady zostały ogłoszone na początku tego tygodnia przez wiceprezesa inżynieryjnego Google Cloud Mayanka Upadhyayadla każdego użytkownika, który w tej chwili loguje się dzięki hasła, zostanie wdrożona obowiązkowa usługa MFA.
„Będziemy wdrażać obowiązkową usługę MFA dla Google Cloud w ramach podejścia etapowego, które zostanie udostępnione wszystkim użytkownikom na całym świecie w 2025 r. Aby zapewnić płynne przejście, Google Cloud będzie na bieżąco powiadamiać przedsiębiorstwa i użytkowników z wyprzedzeniem, aby pomóc w planowaniu wdrożeń MFA, – powiedział Upadhyay.
„Od ponad dziesięciu lat jesteśmy gorącymi zwolennikami naszego systemu MFA i jesteśmy tutaj, aby pomóc Ci w tej ważnej modernizacji zabezpieczeń. W Google rozumiemy, iż wdrażając nowe środki bezpieczeństwa, potrzebujesz elastyczności i kontroli. Dlatego wprowadzamy obowiązkową pomoc makrofinansową etapami” – dodał.
W pierwszej fazie, która rozpocznie się w tym miesiącu, Google zacznie kierować reklamy do niechronionych użytkowników, udostępniając im więcej przypomnień i informacji na temat usługi MFA w konsoli Google Cloud Console, w szczególności do 30% niezarejestrowanych jeszcze użytkowników usług. Niniejsze wytyczne popchną organizacje w kierunku podnoszenia świadomości i planowania MFA, a także zapewniania porad dotyczących procesów testowania i umożliwienia.
Od początku 2025 r. Google zacznie wymagać usługi MFA od wszystkich nowych i istniejących użytkowników logujących się przy użyciu hasła. Powiadomienia i wskazówki w tym zakresie będą pojawiać się w Google Cloud Console, Firebase Console, gCloud i innych platformach. Ci, którzy chcą przez cały czas korzystać z tych narzędzi, nie będą mieli w tej chwili innego wyjścia, jak tylko zarejestrować się w MFA.
Wreszcie w przyszłym roku o tej porze wymagania dotyczące usługi MFA zostaną rozszerzone na wszystkich użytkowników, którzy łączą uwierzytelnianie z Google Cloud. Dostępnych będzie wiele opcji umożliwiających spełnienie tego wymagania – organizacje mogą zdecydować się na włączenie usługi MFA u swojego głównego dostawcy tożsamości przed uzyskaniem dostępu do Google Cloud. realizowane są prace nad zapewnieniem standardów i procedur ułatwiających to. Użytkownicy mogą też chcieć dodać dodatkowe warstwy MFA za pośrednictwem swoich kont Google, jeżeli wolą korzystać z własnego systemu Google.
Obowiązkowa pomoc makrofinansowa już się sprawdziła w przypadku innych
Wprowadzenie obowiązkowej MFA dla usług chmurowych to pomysł, którego czas nadszedł, a Google nie jest jedynym gigantem chmurowym, który podejmuje takie posunięcia – wcześniej w 2024 r. Microsoft ogłosił, iż wprowadza taką politykę w następstwie szeregu głośnych cyberataków z udziałem jego użytkowników i obowiązuje na platformie Azure od początku października.
Tymczasem gigant społeczności open source GitHub, który w 2023 r. wprowadził obowiązkową usługę MFA dla wybranych programistów i projektów, stwierdził, iż odnotował współczynnik akceptacji wynoszący 95% wśród autorów kodu, którzy spełnili wymagania MFAoraz wzrost liczby zastosowań MFA o 54% wśród wszystkich aktywnych uczestników projektów, które obsługuje.
Mike Britton, dyrektor ds. IT w Nienormalne bezpieczeństwostwierdził, iż posunięcie Google było już dawno spóźnione: „[MFA] to podstawowa usługa bezpieczeństwa, która powinna być w 100% obowiązkowa dla wszystkich dostawców systemu i platform – szczególnie w przypadku poczty elektronicznej, która w dalszym ciągu jest głównym wektorem, za pośrednictwem którego ugrupowania zagrażające przeprowadzają zaawansowane ataki.
„Uważam, iż dostawcy systemu powinni zapewniać swoim klientom MFA – i inne podstawowe usługi bezpieczeństwa, takie jak SSO – w ramach swojej standardowej oferty podstawowej. Nie powinniśmy zarabiać na podstawowych możliwościach i funkcjach bezpieczeństwa naszego produktu, chyba iż ich zapewnienie bez dodatkowych opłat subskrypcyjnych jest zbyt kosztowne, co często nie ma miejsca”.
Patrick Tiquet, wiceprezes ds. bezpieczeństwa i zgodności w firmie Ochrona Strażnika, dodano: „Efazowe wdrażanie Google ułatwia użytkownikom dostosowanie się do nowych wymagań, ponieważ usługa MFA może spotkać się z oporem ze względu na postrzegane tarcia w doświadczeniach użytkowników, szczególnie w przypadku nagłego wdrożenia.
„Wieloetapowy plan, zaczynający się od przypomnień na konsoli i kończący się pełnym egzekwowaniem, nadaje priorytet przyjęciu przez użytkowników i minimalizuje zakłócenia operacyjne dzięki stopniowemu przejściu w celu ułatwienia użytkownikom korzystania z usługi MFA – torując drogę do płynniejszego wdrożenia i większej zgodności.
„Jednak organizacje korzystające z Google Cloud będą musiały również zaplanować wdrożenie wśród swoich pracowników. Szkolenia pracowników na temat znaczenia MFA będą miały najważniejsze znaczenie, a narzędzia takie jak menedżer haseł mogą ułatwić jego przyjęcie poprzez bezpieczne przechowywanie i wypełnianie kodów MFA”.
Anna Collard, starszy wiceprezes ds. strategii treści i ewangelista specjalisty ds. szkoleń z zakresu bezpieczeństwa PoznajBe4również pochwalił nową politykę Google, ale stwierdził, iż sama pomoc makrofinansowa nie stanowi złotego środka.
„Efektywne bezpieczeństwo opiera się na wielowarstwowym podejściu do ochrony, które łączy wiele strategii ochrony zasobów i danych. Nie każda jakość MFA jest taka sama, na przykład MFA odporne na phishing, takie jak te włączane przez FIDO, są znacznie lepszą opcją niż MFA oparte na tekście lub push” – stwierdziła.