Что такое MFA и почему это важно для IT?

MFA, что означает многофакторную аутентификацию, означает, что пользователю нужно подтвердить, что это действительно он, с помощью более чем одного способа, прежде чем выполнить вход. Обычно это сочетание того, что он знает (например, пароль), и того, что у него есть (например, код в телефоне или подтверждение в приложении).

Если кто-то украдет или угадает пароль, MFA усложнит этому человеку доступ к аккаунту. Это не делает аккаунт «невзламываемым», и ни один честный провайдер не стал бы обещать такое. Но это один из самых простых и полезных шагов, которые бизнес может сделать, чтобы снизить риск нежелательных входов.

Для малого бизнеса MFA чаще всего важнее всего для электронной почты, облачного хранения файлов, бухгалтерии, payroll, систем клиентов, инструментов удаленного доступа и любых аккаунтов, где хранится чувствительная информация. Если ваша команда использует одни и те же несколько приложений каждый день, обычно с них и стоит начать проверку.

Многие проблемы в бизнесе начинаются с обычного на вид входа. Пароль повторно используется, угадывается или воруется в фишинговом письме, либо раскрывается в утечке в другой компании. Как только аккаунт открыт, посторонний может читать электронную почту, перенаправлять платежи, сбрасывать другие пароли, а также получать доступ к файлам и контактам.

Поэтому важна MFA. Она добавляет «трение» для неправильного человека, при этом не останавливая нормальную работу вашей команды. Особенно это важно для владельцев, руководителей, сотрудников финансового отдела и для всех, у кого есть доступ к payroll, банковским операциям, данным клиентов или административным настройкам.

MFA также может помочь соответствовать базовым ожиданиям по соблюдению требований в некоторых отраслях. Требования различаются по отрасли и по штату, но в сфере здравоохранения часто упоминают HIPAA — это аббревиатура от Health Insurance Portability and Accountability Act (Закон о переносимости и подотчетности медицинского страхования). А компании, которые обрабатывают платежи по картам, могут слышать про PCI — Payment Card Industry Data Security Standard (Стандарт безопасности данных индустрии платежных карт). Компании, работающие с более крупными заказчиками, могут также сталкиваться с SOC 2 — это распространенная структура (фреймворк) о том, как сервисные организации выстраивают контроль безопасности. MFA не является единственным ответом для любого из этих случаев, но часто входит в разумную базовую линию защиты.

Самые распространенные примеры — код, отправленный в SMS на телефон, запрос в приложении для аутентификации, периодически меняющийся код из этого приложения или физический ключ безопасности. Проще говоря, физический ключ безопасности — это небольшое устройство, которое вы нажимаете или подключаете, чтобы подтвердить, что это действительно вы.

Не все методы MFA одинаковы. SMS обычно встречается чаще и понятна, но подтверждение через приложение или аппаратный ключ часто надежнее. Хороший провайдер объяснит компромиссы простыми словами и поможет бизнесу выбрать вариант, который подходит под бюджет, состав команды и ваш ежедневный рабочий процесс.

Вам также может встретиться термин endpoint — это рабочее устройство, например ноутбук, настольный компьютер, планшет или телефон. MFA защищает входы в аккаунты, а защита устройства (endpoint protection) фокусируется на самом устройстве. Оба направления важны, но решают разные задачи.

Хорошая MFA включена для тех аккаунтов, которые важнее всего: бизнес‑почта, удаленный доступ, обмен файлами, payroll, бухгалтерия и административные аккаунты. Она настроена так, чтобы сотрудники действительно могли ею пользоваться без постоянной путаницы.

Хорошая MFA также включает план на случай потерянных телефонов, новых сотрудников, уволенных сотрудников и резервные способы подтверждения. Если один человек уходит из компании или теряет устройство, бизнес должен по‑прежнему иметь возможность восстановить доступ без паники.

Большинству компаний также нужны несколько связанных базовых вещей. Патчинг (patching) — это поддержание ПО в актуальном состоянии, чтобы исправлять известные проблемы. EDR, что означает endpoint detection and response (обнаружение и реагирование на угрозы на устройствах), — это ПО, которое помогает наблюдать за бизнес‑устройствами на предмет подозрительного поведения. RMM, что означает remote monitoring and management (удаленный мониторинг и управление), — это ПО, которое многие managed service providers (провайдеры управляемых услуг) используют для мониторинга состояния устройств и применения рутинного обслуживания. Это отдельные от MFA вещи, но их часто обсуждают вместе как часть практичной базовой защиты.

Если вы общаетесь с провайдером управляемых услуг — его часто называют MSP, — спросите, как они планируют внедрение MFA, обучение, восстановление доступа и исключения. Попросите объяснить простыми словами, а не жаргоном. Больше простых ответов можно найти в нашей help library или изучить темы про услуги управляемого IT.

Если вы не технический специалист, вам не обязательно начинать с названий продуктов. Начните с вопросов про бизнес. Какие аккаунты наиболее важны, кто имеет административный доступ, что произойдет, если потеряется телефон, и как сотрудники получат помощь, если их заблокируют?

Если вы сравниваете провайдеров, спросите, входит ли настройка MFA в ежемесячную услугу или выставляется отдельно. Уточните, как устроен процесс онбординга, как организовано обучение сотрудников и будет ли повышенное внимание руководителям и пользователям из финансового отдела. Если провайдер упоминает SLA, то это service level agreement — документ, который описывает целевые показатели реагирования и условия предоставления услуг.

Также вы можете услышать vCIO — это сокращение от virtual chief information officer, «виртуальный главный информационный директор». Обычно это старший консультант, который помогает с планированием, бюджетированием и решениями по IT. Не каждому малому бизнесу нужна такая степень поддержки, но некоторым она помогает, когда выбирают приоритеты безопасности.

Если вы хотите помощь в поиске независимого провайдера, который сможет объяснить все это понятно, получите подбор. NodeBridge IT — бесплатная услуга по подбору. Мы не управляем, не мониторим, не защищаем, не выполняем ремонт и не имеем доступа к вашим системам или аккаунтам.