Июль 2025

  Компания ЗИКС продолжает серию публикаций, посвящённых эффективным инструментам защиты корпоративной информации. Сегодня речь пойдёт о системах двухфакторной аутентификации — ключевом элементе современной ИБ-архитектуры, который позволяет значительно снизить риск несанкционированного доступа к корпоративным системам. Что такое двухфакторная аутентификацияАутентификация — это процесс подтверждения личности пользователя при доступе к системе. В большинстве организаций до сих пор используется однофакторная аутентификация: логин и пароль. Однако в условиях роста числа кибератак и требований регуляторов, подобный способ защиты больше не отвечает современным требованиям. Двухфакторная аутентификация (2FA) добавляет к традиционной проверке второй уровень защиты — второй фактор подтверждения. Это может быть:— SMS-код или push-уведомление;— физический токен (например, USB-токен, proximity-карта, самрт-карта);— биометрические данные — отпечатки пальцев, скан радужки;— PIN-код, генерируемый устройством;— цифровой сертификат. Кому необходима 2FAСистемы 2FA рекомендованы всем организациям, работающим с персональными данными, конфиденциальной информацией и критической информационной инфраструктурой. Для объектов КИИ её внедрение является обязательным и регламентируется законодательством (в частности, 187-ФЗ, требованиями ФСТЭК и ФСБ России). 2FA снижает риски:— кибератак и утечки данных;— финансовых и репутационных потерь;— незаконных и необоснованных обвинений при разборе инцидентов нарушения безопасности;— штрафов за несоблюдение нормативных требований. Пример внедрения: Правительство МосквыКомпания ЗИКС реализовала один из крупнейших проектов по внедрению системы гарантированной аутентификации — для Департамента информационных технологий Правительства Москвы. Основные этапы проекта:1. Обследование и сбор требований.2. Разработка технического задания и проектной документации.3. Поставка оборудования и выполнение монтажных работ.4. Настройка и интеграция системы на более чем 7.000 автоматизированных рабочих местах.5. Сбор и ввод в систему биометрических данных сотрудников (отпечатки пальцев).6. Настройка централизованного управления через консоль администратора. В качестве второго фактора аутентификации была выбрана биометрия. Такой подход обеспечивает высокий уровень безопасности, удобство для сотрудников и соответствие требованиям регуляторов. Алгоритм работы системы:1. Пользователь вводит логин и пароль.2. При успешной проверке первого фактора система запрашивает второй — биометрию.3. Только после прохождения двух этапов предоставляется доступ к системе. Почему ЗИКС Компания ЗИКС обладает опытом реализации проектов по 2FA для государственных структур, критических объектов и корпоративного сектора. Команда сертифицированных инженеров выполняет полный цикл внедрения: от обследования до ввода в эксплуатацию и технической поддержки.  

Компания ЗИКС напоминает об актуальности и необходимости регулярного проведения тестов на проникновение (penetration testing) в рамках комплексного аудита информационной безопасности организаций. Проведение пентеста позволяет объективно оценить уровень защищённости ИТ-инфраструктуры, выявить потенциальные уязвимости до того, как ими воспользуются злоумышленники, и выработать конкретные рекомендации по усилению системы защиты. Цели проведения пентестаPenetration testing (пентест) является неотъемлемой частью независимого аудита ИБ. Основные задачи:— Получение объективной картины текущего состояния защищённости инфраструктуры;— Разработка рекомендаций по устранению выявленных уязвимостей и повышению общего уровня информационной безопасности. Этапы проведения работ Проверка проводится в несколько этапов: 1. Сбор информации (обследование):В зависимости от объёма исходных данных, предоставляемых заказчиком, используется один из трёх методов:— Blackbox (тестирование «вслепую»);— Greybox (частичное знание инфраструктуры);— Whitebox (полный доступ к информации об объекте). 2. Анализ собранных данных:Формируется список исследуемых ресурсов: веб-приложения, домены, сервисы и другие элементы инфраструктуры. 3. Выявление уязвимостей:Используются как автоматизированные сканеры, так и ручные методы для глубокой проверки ИС. 4. Попытка эксплуатации уязвимостей:Проверяется возможность получения несанкционированного доступа и повышения привилегий, что позволяет оценить потенциальные последствия реализации угроз. 5. Формирование отчётности:Подготавливаются два вида отчётов:— Аналитический — для менеджмента компании;— Технический — с подробным описанием всех выявленных уязвимостей, логами, привязкой ко времени и рекомендациями по устранению рисков. Актуальность подходаПо данным международных исследований, более 80 % организаций сталкиваются с критическими уязвимостями, выявленными в рамках penetration testing. В 2024 году мировой ущерб от киберпреступности оценивается в $10,5 трлн. В среднем каждые 39 секунд фиксируется новая атака. Регулярное проведение пентестов позволяет минимизировать риски, связанные с финансовыми потерями, остановкой бизнес-процессов, утратой данных и нарушением законодательства в сфере ИБ. Опыт ЗИКСКомпания ЗИКС обладает экспертизой и необходимыми аккредитациями в области проведения пентестов. Работы выполняются сертифицированными специалистами, обладающими опытом реализации проектов в ИБ на объектах КИИ, в госсекторе и корпоративном сегменте.Стоимость работ — одна из наиболее конкурентных на рынке, при этом компания гарантирует качество исполнения, полную конфиденциальность и строгое соблюдение нормативных требований.