СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Блоги
Контур
28.04.2025
#Статьи #Dev#ИБ#Инфра

Где необходимо использовать двухфакторную аутентификацию?

Где необходимо использовать двухфакторную аутентификацию?

Изображение: recraft

Двухфакторная аутентификация (2FA) — обязательный стандарт безопасности там, где цена взлома измеряется не только деньгами, но и человеческими жизнями.

Дмитрий Мельников, руководитель руководитель проектного офиса Контур.ID, расскажет об отраслях, где внедрение 2FA критически важно, какие риски возникнут, если игнорировать эту технологию и какие решения оптимальны для защиты.

Финансовый сектор

Почему необходима 2FA

Финансовый сектор остается приоритетной целью для киберпреступников из-за очевидных причин — прямой доступ к деньгам. Банки, инвестиционные компании, страховые организации оперируют огромными суммами и конфиденциальной информацией клиентов. При этом атаки на финансовые учреждения становятся все изощреннее: от целевого фишинга на сотрудников с доступом к критическим системам до внедрения вредоносного ПО через скомпрометированные приложения.

Требования регуляторов

Стандарты Центрального Банка: ГОСТ Р 57580.1-2017 и Положение №719-П от 04.06.2020 обязывают банки создавать многоуровневую защиту информации и данных клиентов.

Штрафы за утечки данных с 30 мая 2025 года:

  • При первой утечке (если затронуто более 100 тысяч персональных записей или 1 миллион идентификаторов) руководители заплатят до 600 тысяч рублей, а банк получит штраф до 15 миллионов рублей.
  • При повторном нарушении руководители заплатят до 1,2 миллиона рублей, а банк заплатит от 1% до 3% годового оборота (минимум 20 миллионов, максимум 500 миллионов рублей)

Кроме того, Центробанк может отозвать лицензию у банка, а руководители могут понести личную ответственность, вплоть до уголовной.

Оптимальные решения 2FA

Для финансового сектора рекомендуются:

  • Мобильные приложения для генерации одноразовых паролей (OTP) — надежное и экономичное решение для массового внедрения, особенно для систем дистанционного банковского обслуживания.
  • Push-уведомления в приложении банка — допускаются для подтверждения операций при соблюдении определенных требований к защите мобильного приложения.
  • Аппаратные токены (USB-ключи) — идеальны для сотрудников с доступом к критически важным системам благодаря высокой защищенности от удаленного компрометирования.
  • Биометрическая аутентификация — оптимальна для розничных клиентов, обеспечивая баланс между защитой и удобством использования.

При внедрении 2FA финансовым организациям важно балансировать между строгостью защиты и удобством пользователей, так как сложные правила аутентификации могут подтолкнуть клиентов перейти к конкурентам с более удобными решениями.

Здравоохранение

Почему 2FA необходима

Медицинские данные — одни из самых дорогих на черном рынке. Они содержат не только конфиденциальную информацию о состоянии здоровья, но и полный набор персональных данных: паспортные данные, СНИЛС и номера полисов. Злоумышленники используют эту информацию для страхового мошенничества, шантажа и получения рецептурных препаратов.

Есть два уровня защищенности медицинских информационных систем. Первый уровень — для систем с особо чувствительными данными: информация о ВИЧ, психиатрических заболеваниях, наркологических проблемах, генетических исследованиях. Второй уровень распространяется на основные медицинские карты, истории болезни и другие персональные медицинские данные.

Требования регуляторов

Ключевые нормативные документы для медицинских организаций:

  • Закон о персональных данных (152-ФЗ). Относит медицинские сведения к специальной категории данных, которые требуют усиленной защиты.
  • Приказ ФСТЭК №21 от 18.02.2013. Он требует использовать многофакторную аутентификацию в информационных системах первого и второго уровня защищенности.
  • Методические рекомендации Минздрава РФ. Предписывают применять 2FA для всех сотрудников, которые работают с данными пациентов.

При масштабных утечках медицинских данных применяются те же повышенные штрафы, что и для финансовых организаций (до 500 миллионов рублей). Помимо штрафов, утечка может привести к судебным искам от пациентов и их оттоку, снижению доверия со стороны страховых компаний и потере медицинской лицензии.

Оптимальные решения 2FA

Для медицинских учреждений рекомендуются:

  • TOTP-ключи — для работы в зонах с ограниченным интернет-соединением: подвальные помещения, экранированные кабинеты МРТ, где пуш-уведомления могут не доходить.
  • Push-уведомления — для аутентификации в системах телемедицины и допуска к некритичным системам.
  • Смарт-карты для доступа к рабочим местам — позволяют интегрировать физический доступ с аутентификацией в информационных системах, что критично для многофункциональных медицинских центров.
  • Биометрическая аутентификация — надежно защищает доступ к критическим данным и лекарственным препаратам, подлежащим строгому учету; может работать даже в операционных, где использование других форм аутентификации затруднено из-за стерильных условий.
  • Токены с привязкой к устройству медработника — обеспечивают баланс между безопасностью и доступностью, что особенно важно для бригад скорой помощи и дежурного персонала, работающего в режиме 24/7.

При внедрении 2FA в медицинских учреждениях особое внимание стоит уделить протоколам экстренного доступа. Это позволит авторизованному персоналу получить важную информацию, даже если произошел технический сбой.

Образование

Почему 2FA необходима

Образовательные учреждения хранят персональные данные учащихся, включая информацию о несовершеннолетних, результаты тестирований, финансовую информацию, а также интеллектуальную собственность в виде научных исследований. Особый риск представляют целевые атаки при проведении ЕГЭ и вступительных испытаний, когда компрометация системы может иметь серьезные социальные последствия.

Требования регулятора

Какие нормы должны соблюдать образовательные организации:

  • Защита данных учащихся. ФЗ-152 требует особо защищать данные детей и подростков. Для обработки этих данных нужно разрешение от родителей.
  • Защита образовательных платформ. Приказ №816 Минобрнауки устанавливает правила безопасности при дистанционном обучении.
  • Техническая защита. Методические рекомендации Минцифры дают конкретные указания, как защищать персональные данные в школах и вузах.
  • Внутренние правила. Каждое учебное заведение должно разработать собственные инструкции по защите данных, включая правила доступа к информационным системам.

Игнорирование 2FA в образовательных учреждениях может нарушить работу систем дистанционного обучения и привести к судебным искам со стороны родителей несовершеннолетних, компрометации результатов экзаменов.

Оптимальные решения 2FA

Для образовательных учреждений рекомендуются:

  • Мобильная аутентификация через приложения — удобна для повседневного доступа к образовательным ресурсам, особенно для учащихся, которые привыкли к мобильным устройствам.
  • Интеграция с ЕСИА (Госуслуги) — хорошее решение для верификации личности (не)совершеннолетних учащихся и сотрудников. А использование существующей инфраструктуры аутентификации экономически выгодно для учреждений с ограниченным бюджетом.
  • QR-коды для подтверждения личности — простой и доступный механизм, который может применяться при очном посещении занятий, в библиотеках и лабораториях, не требующий специализированного оборудования.

При внедрении 2FA в школах и вузах нужно обязательно проводить обучение для всех, кто будет ею пользоваться. Особенно это важно для пожилых преподавателей, которым бывает сложно разобраться с новыми технологиями.

Государственные информационные системы

Почему 2FA важна

Государственные информационные системы содержат не только персональные данные граждан, но и информацию, критичную для национальной безопасности. Компрометация таких систем может привести к утечке государственной тайны, нарушению работы социально важных объектов, чрезвычайным ситуациям и техногенным катастрофам.

Среди всех государственных систем отдельно стоит выделить объекты критической информационной инфраструктуры (КИИ) первой категории. К ним относятся системы управления атомными станциями, обеспечения обороноспособности, авиационной и ж/д-безопасности, финансовой стабильности.

Требования регулятора

Ключевые нормативные документы:

  • Приказы ФСТЭК №17 от 11.02.2013 для госсистем и №31 от 14.03.2014 для КИИ. Обязывают применять двухфакторную аутентификацию для администраторов и привилегированных пользователей систем.
  • Приказ ФСБ №378 от 10.07.2014. Устанавливает требования к средствам криптографической защиты и сертифицированным решениям аутентификации в госсекторе.
  • Федеральный закон №187-ФЗ. Требует многофакторную аутентификацию для всех пользователей, работающих с объектами КИИ первой категории.

Для объектов КИИ санкции жестче, чем для банков и медучреждений, поскольку включают не только административную, но и уголовную ответственность. Размер штрафов может быть меньше в денежном выражении, но есть угроза реального лишения свободы.

Оптимальные решения 2FA

Для государственных систем рекомендуются:

  • В некоторых случаях подойдут TOTP-коды из мобильного приложения — главное, чтобы данные хранились на стороне клиента, то есть необходимо использовать серверную версию. Такое решение есть в Контур.ID.
  • Аппаратные токены отечественного производства с сертификацией ФСБ — гарантируют отсутствие шпионских программ, что критично для систем обработки особо важной информации.
  • Квалифицированная электронная подпись — гарантирует аутентификацию и юридическую значимость действий пользователя в системе.
  • Системы контроля физического доступа в сочетании с программной аутентификацией — комплексный подход, объединяющий защиту на организационном и техническом уровнях, необходимый для систем высоких классов защищенности.

Для КИИ:

  • Изолированные системы аутентификации, не связанные с интернетом — обязательное требование для объектов высшей категории значимости, которое реализует принцип «воздушного зазора» для защиты от внешних атак.
  • Многоуровневая аутентификация с применением принципа «что-то знаю, что-то имею, кто я есть» — необходима для систем управления технологическим процессом.
  • Биометрические системы в сочетании с физическими токенами — оптимальный вариант для контроля доступа к критическим элементам инфраструктуры, таким как серверные помещения и диспетчерские центры.

Особое внимание при внедрении 2FA в госсекторе уделяется непрерывности работы и отказоустойчивости инфраструктуры аутентификации, так как недоступность госсервисов может иметь серьезные социальные последствия.

Заключение

Законы в России, как и во всем мире, становятся строже в вопросах защиты данных. В важных отраслях требуют более надежных способов проверки пользователей, а за повторные нарушения вводят серьезные штрафы, сумма которых зависит от оборота.

В ближайшие годы двухфакторная защита будет совершенствоваться. Появятся системы, которые анализируют каждый запрос на вход и решают, насколько строгой должна быть проверка. Например, при попытке входа с незнакомого устройства или из другой страны система потребует дополнительное подтверждение личности.

Компаниям важно уже сейчас создавать гибкие системы безопасности, которые можно будет легко усовершенствовать, когда появятся новые требования и технологии защиты.

Контур
Автор: Контур
Более 30 лет мы разрабатываем решения для бизнеса, инвестируем в образование, инфраструктуру и IT-сообщество. Наши продукты помогают тратить меньше времени на рутину, а общение с госорганами и поставщиками делают проще и прозрачнее.
Комментарии: