Petr Běhávka CompuGroup Medical 23. 4. 2024 0 komentářů

Dvoufaktorové ověřování v CGM MEDISTAR

Bezpečí Vašich dat je pro nás prioritou. Proto CGM MEDISTAR bude nyní ještě bezpečnější, a to díky dvoufaktorovému ověřování při přihlášení do systému. Tento způsob ověřování je zcela běžný např. v internetovém bankovnictví. Tak jako Váš bankovní účet, tak i zdravotnická data musí být zabezpečena na co nejvyšší úrovni. S nastavením dvoufaktorového ověřování v CGM MEDISTAR Vám pomůžeme.

Proč je potřeba dvoufaktorové ověřování uživatele?

Dvoufaktorové nebo také vícefaktorové ověřování uživatele (zkratka MFA z anglického Multi-Factor Authentication) se používá pro zvýšení zabezpečení systémů. Obzvláště pro systémy, které jsou provozovány přes internet, je dvoufaktorové ověřování jedním z nejpoužívanějších způsobů zabezpečení. 

V rámci systému CGM MEDISTAR jsme vždy dbali na vysokou bezpečnost – například:

  • pečlivě jsme vybírali poskytovatele hostingu, aby maximálně splňoval veškeré bezpečnostní standardy,
  • pravidelně provádíme tzv. bezpečnostní penetrační testy našeho systému externích společností, ktreré nám pomáhají zkontrolovat, jestli máme vše dostatečně zabezpečeno,
  • i samotné přihlášení do systému je zabezpečeno více než jen pouhým heslem – předtím, než se uživatel může z daného počítače přihlásit do systému, musí zadat tajný 15místný licenční klíč (ten je následně v prohlížeči uložen ve formě souborů cookie) – bez něj se útočník do systému nedostane.

Nyní přidáváme do systému CGM MEDISTAR dvoufaktorové přihlašování. Proč?

  1. CGM se snaží udržovat dle doporučených postupů co nejbezpečnější řešení pro ochranu Vašich dat a dvoufaktorové ověřování se pro internetové aplikace obsahující důležitá data stává dnes standardem.
     
  2. Připravujeme systém CGM MEDISTAR na legislativní změny, které nás koncem roku 2024 (s největší pravděpodobností od října) stejně neminou – od října 2024 totiž začne pro vybrané subjekty platit Evropská směrnice NIS2 (Směrnice Evropského parlamentu a Rady EU 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii). Společnost CompuGroup Medical Česká republika s.r.o. je právě díky systému CGM MEDISTAR, který Vám poskytujeme formou SaaS – tedy "Software as a Service", podle směrnice NIS2 tzv. poskytovatelem služeb cloud computingu. Musíme tedy nejpozději od října 2024 splnit opatření k řízení kybernetických bezpečnostních rizik. Jedním z opatření (které je navíc vidět i z Vaší strany) je právě vícefaktorové ověření uživatele.

Naší snahou je "minimalizovat" dopad tohoto opatření na uživatele - víme, že do ambulantního systému se lékaři a sestry hlásí během dne opakovaně, a pokud by byli nucení přepisovat z mobilního telefonu druhý autentizační faktor při každém přihlášení, bylo by to značně nekomfortní. Proto jsme implementovali tzv. adaptivní dvoufaktorovou autentizaci. Co to znamená si můžete přečíst v tomto článku níže.

 

Kdy bude MFA spuštěno? Od kdy se mě to bude týkat?

Pro všechny naše zákazníky systému CGM MEDISTAR bude nová verze s touto funkcionalitou nahraná do produkce v polovině dubna 2024. Samotnou aktivaci této funkce budeme provádět postupně v průběhu jednoho měsíce, abychom rozložili do delšího období dotazy uživatelů, kteří budou volat na naši zákaznickou linku. Aktivace má pro každého uživatele dva termíny:

  1. Nejprve Vás systém po přihlášení začne vyzývat k nastavení Vašeho druhého ověřovacího faktoru - toto můžete udělat ihned, nebo to odložit na později. V dialogovém okně je uveden termín, do kterého nastavení musíte udělat. Pokud nastavení do tohoto termínu neprovedete, systém si po tomto datu nastavení pro Vás vynutí. Jakmile si druhý autentizační faktor nastavíte, systém ho hned začne používat (jak často to asi bude, je uvedeno níže – v kapitole "Co je to adaptivní MFA").
  2. Druhý termín je datum, od kdy si již systém CGM MEDISTAR vynutí nastavení – tedy pokud si z nějakého důvodu nestihnete druhý ověřovací faktor nastavit před tímto datem (datum je zobrazen v dialogu s výzvou k nastavení), pak už v dialogu není možnost "PŘIPOMENOUT POZDĚJI". Zbude zde pouze tlačítko "NASTAVIT". Následně Vám systém otevře okno pro nastavení druhého faktoru a nepustí Vás z něj, dokud nemáte nastavený alespoň jeden plnohodnotný způsob druhého ověření. Za plnohodnotný způsob není považováno jednorázové heslo (to je určeno pouze pro jednorázovou pomoc).

Přesný termín, kdy bude dvoufaktorové ověření zapnuto právě u Vás, Vám nejsme dopředu schopni sdělit.

Co k tomu potřebuji?

V rámci našeho řešení dvoufaktorového ověření uživatele nabízíme dvě možnosti:

  1. Ověření pomocí mobilní autentizační aplikace - v tom případě potřebujete chytrý mobilní telefon - iPhone nebo jakýkoliv telefon s operačním systémem Android. Mobilní aplikaci pro autentizaci si jednoduše stáhnete pomocí QR kódu (uvedeného níže v tomto článku nebo v průvodci nastavení přímo v CGM MEDISTAR).
  2. Ověření pomocí ověřovacího kódu zaslaného formou SMS zprávy - stačí Vám jakýkoliv mobilní telefon.

Jak si dvoufaktorové ověření nastavím v CGM MEDISTAR?

Jakmile Vám aktivujeme funkci dvoufaktorového přihlášení, objeví se všem Vašim uživatelům po přihlášení do systému CGM MEDISTAR dialogové okno, které Vás informuje, že je potřeba si vícefaktorové přihlášení nastavit. 

V okně se Vám zobrazuje upozornění, do kdy musí být druhý ověřovací faktor nastaven. Po tomto datu již nebude možné kliknout na tlačítko "PŘIPOMENOUT POZDĚJI" - jediná možnost bude nastavení vícefaktorového přihlášení.

2024-03-25_MFA-nastaveni-vyzva

Pokud kliknete na tlačítko "NASTAVIT" nebo pokud kdykoliv při práci se systémem CGM MEDISTAR zvolíte menu NASTAVENÍ -> Uživatelé a ve svém účtu kliknete nahoře na tlačítko "Nastavit dvoufaktorové ověření", otevře se Vám okno pro nastavení:

2024-03-25_MFA-nastaveni-1

2024-03-25_MFA-nastaveni-2-oprava

Každý uživatel má 2 základní volby nastavení druhého faktoru (aktivní uživatel může mít klidně pro jistotu obě):

  • ověření pomocí mobilní aplikace - tzv. autentikátoru
  • ověření pomocí zaslání autentizačního kódu formou SMS zprávy na Vámi zvolené telefonní číslo

Nastavení mobilní aplikace - tzv. autentikátoru

Nastavení probíhá ve dvou krocích.

2024-03-25_MFA-nastaveni-3-mobilni-aplikace

1. krok - instalace Vámi zvolené autentizační aplikace na Váš chytrý telefon

Základními autentizačními aplikacemi na mobilních telefonech jsou:

  • Microsoft Authenticatior
  • Google Authenticator

Existuje celá řada dalších mobilních aplikací, které můžete využít pro přihlášení druhým faktorem do CGM MEDISTAR. Ale na rozdíl od těchto dvou výše uvedených je valná většina takových aplikací zpoplatněna. Proto doporučujeme použít právě jednu z výše uvedených aplikací. 

V průvodci nastavení v CGM MEDISTAR si můžete velmi jednoduše zvolit v prvním kroce, jaký typ mobilního telefonu máte (jestli iPhone, nebo telefon s operačním systémem Android) a kterou z těchto dvou aplikací si chcete nainstalovat (obě bez problémů fungují na obou typech telefonů). Podle toho, kterou volbu si vyberete, se Vám zobrazí správný QR kód pro instalaci odpovídající varianty. Pak již jen necháte načíst pomocí čtečky QR kódů Vašeho telefonu zobrazený kód a aplikaci si nainstalujete.

Pro jednoduchost stejné QR kódy uvádíme i zde:

iPhone

Google Authenticator

iPhone

Microsoft Authenticator

Android

Google Authenticator

Android

Microsoft Authenticator

iphone-app-store

 

 

 

2. krok - párování Vaší mobilní autentizační aplikace s Vaším účtem v CGM MEDISTAR

Jakmile máte aplikaci pro autentizaci nainstalovanou, zvolíte přidat nový účet:

  • v Google Authenticatoru je to barevné tlačítko "plus" vpravo dole (následně zvolíte "Naskenovat QR kód")
  • v Microsoft Authenticatoru je to tlačítko plus vpravo nahoře v modré liště, následně zvolíte "Osobní účet" a "Skenovat kód QR"

Po naskenování QR kódu z druhého kroku průvodce zmáčknete "POKRAČOVAT" a v následující obrazovce přepíšete 6místný kód z Vaší mobilní aplikace do aktivačního okna a dokončíte spárování.

Nastavení autentizace pomocí SMS zprávy

V okně nastavení "Dvoufaktorového ověření" v CGM MEDISTAR si zvolíte typ "SMS heslo". Vedle této volby se hned objeví políčko pro zadání Vašeho mobilního telefonního čísla (je povoleno pouze české číslo v mezinárodním formátu - tedy včetně předvolby +420).

2024-03-25_MFA-nastaveni-4-SMS-typ

Jakmile potvrdíte zadané číslo (tlačítkem "fajfka" hned za zadaným číslem), systém Vám okamžitě zašle na Vaše číslo SMS zprávu pro potvrzení a otevře se dialogové okno, do kterého šestimístný kód z doručené SMS zprávy přepíšete.

2024-03-25_MFA-nastaveni-5-SMS-potvrzení

Jakmile dáte aktivovat, je nastavení tohoto ověřovacího faktoru hotovo.

Nastavení autentizace pomocí Jednorázového hesla

V nouzových případech - například pokud sestřička zapomene doma mobilní telefon a zrovna v ten den je vyžadován druhý ověřovací faktor, je možné nastavit typ autentizace "Jednorázové heslo". Tento typ nelze nastavit jako jediný - tedy, pokud ještě nemáte nic nastaveno v okně "DVOUFAKTOROVÉ OVĚŘENÍ", pak se tato volba nenabízí.

Jednorázové heslo si může uživatel vytvořit sám sobě dopředu (jako rezervní) a může ho mít schované na papírku na bezpečném místě v ordinaci nebo Vám ho může dle potřeby vygenerovat uživatel s právy "vedoucí lékař" v době, kdy se nemůžete do CGM MEDISTAR dostat kvůli zapomenutému telefonu.
Pozor jde opravdu o jednorázové heslo - po jeho použití již nebude při dalším přihlášení fungovat. Pokud ho tedy uživatel použije a následně se v průběhu dne ze systému odhlásí (i automatické odhlášení po nečinnosti), bude programem znovu vyzván k autentifikaci.

 

Jak často budu druhý faktor zadávat? Co je to "adaptivní MFA"?

V rámci našeho řešení dvoufaktorové autentizace jsme implementovali principy tzv. adaptivní dvoufaktorové autentizace. To znamená, že autentizační systém při přihlášení uživatele vyhodnocuje více dostupných parametrů a podle nich se rozhodne, jestli je v konkrétním případě potřeba, aby si systém CGM MEDISTAR vynutil ověření přes druhý faktor. 

Zjednodušeně - v praxi to může znamenat, že pokud se do CGM MEDISTAR hlásíte po delší době (několika dnech), pak po Vás CGM MEDISTAR bude chtít ověřit druhým faktorem, ale pokud se budete přihlašovat za hodinu znovu, pak s největší pravděpodobností druhý faktor nebude požadován. Cílem je umožnit uživateli přihlásit se bez druhého faktoru a přitom neohrozit úroveň zabezpečení systému CGM MEDISTAR.

Pro výpočet rizika nutnosti druhého faktoru se používají následující parametry

  • Čas, který uplynul od poslední autentizace druhým faktorem - uživatel se musí autentizovat alespoň jednou za 7 dní svým druhým faktorem.
  • Identifikátor zařízení - počítače a internetového prohlížeče, ze kterého se uživatel hlásí. Autentizační systém si pamatuje identifikátor "ověřeného" zařízení pouze 30 dnů, po uplynutí této doby si systém při přihlášení z tohoto zařízení vynutí autentizaci druhým faktorem.
  • Geolokace internetové adresy (IP), ze které se uživatel připojuje k systému CGM MEDISTAR - podobně jako je to u identifikátoru zařízení - autentizační systém si pamatuje ověřenou geolokaci uživatele 30 dnů, nová geolokace si vynutí autentizaci druhým faktorem.
  • Dny v týdnu a denní doba, kdy se uživatel hlásí do systému (pracovní, sobota nebo neděle), se používají ke zjištění chování uživatele. Tyto parametry samy o sobě nevynutí ověření druhým faktorem. Údaje o chování si autentizační systém pamatuje pouze 30 dnů.
  • Opakovaně špatně zadané heslo - neúspěšné pokusy o přihlášení pomáhají odhalit potenciální hrozbu. Proto po předchozích neúspěšných pokusech o přihlášení si systém vždy vynutí autentizaci druhým faktorem.

 

Jak se Vám líbil článek?

Celkové hodnocení: 3.9/5