Skip to main content

iCloud имеет хорошую безопасность

Высокопоставленный чиновник США по кибербезопасности высоко оценил безопасность iCloud от Apple и считает, что Twitter и Microsoft должны обратиться к Купертино за вдохновением в том, как это сделать.

В речи, произнесенной в понедельник в Университете Карнеги-Меллона, директор Агентства кибербезопасности и безопасности инфраструктуры Джен Истерли упомянула Apple как хороший пример подотчетности и прозрачности в области безопасности. Например, она процитировала заявление Apple о том, что, по данным CNBC, у 95% пользователей iCloud включена многофакторная аутентификация (MFA).

MFA — это рекомендуемая функция безопасности, в которой пользователям необходимо вводить уникальный код, отправляемый на их устройства Apple, при входе в систему с Apple ID при определенных обстоятельствах. Например, Apple требует включения MFA для таких функций и служб, как Apple Pay и «Вход с Apple».

По словам Истерли, Apple делает MFA по умолчанию причиной высокого уровня внедрения. В результате «Apple берет на себя ответственность за результаты безопасности своих пользователей», — сказала она.

Для сравнения, Истерли сказал, что у Microsoft и Twitter были низкие показатели внедрения MFA среди пользователей. Примерно четверть корпоративных клиентов Microsoft используют MFA, в то время как менее 3% пользователей Twitter включают его, результаты, по ее словам, были «разочаровывающими».

В феврале Twitter даже поместил свою функцию аутентификации безопасности по SMS за платную подписку Twitter Blue, хотя бесплатные пользователи по-прежнему могут активировать MFA с помощью приложения для аутентификации или ключа безопасности, которые в любом случае более безопасны, чем аутентификация по SMS.

Тем не менее, Истерли по-прежнему похвалил две компании за их прозрачность в раскрытии данных об усыновлении.

«Обеспечивая радикальную прозрачность в отношении принятия MFA, эти организации помогают пролить свет на необходимость безопасности по умолчанию», — сказала она. «Их примеру должно следовать больше — на самом деле, каждая организация должна требовать прозрачности в отношении методов и средств контроля, принятых поставщиками технологий, а затем требовать принятия таких методов в качестве основных критериев приемлемости перед закупкой или использованием».

Истерли также отметил, что новое законодательство должно «помешать производителям технологий отказываться от ответственности по контракту, устанавливать более высокие стандарты обслуживания программного обеспечения в конкретных объектах критической инфраструктуры и стимулировать разработку структуры безопасной гавани для защиты от ответственности компаний, которые безопасно разрабатывают и поддерживают свои программные продукты и услуги».

Apple имеет больше уровней безопасности на своих устройствах и сервисах, чем просто многофакторная аутентификация. Например, в 2022 году компания добавила сквозное шифрование к большинству своих сервисов, выпустив Advanced Data Protection.

А в рамках ADP у пользователей есть новая опция MFA с физическими ключами безопасности, которые представляют собой небольшие USB-устройства, которые можно подключать к компьютеру или беспроводным образом подключать к устройству с помощью NFC или Bluetooth. Затем он может аутентифицировать Apple ID или другой онлайн-логин, используя устройство вместо одноразового кода доступа.