Cyberbezpieczeństwo to temat, który z roku na rok przybiera na wadze. Zawdzięczamy to ciągle rosnącej liczbie zastosowań systemów informatycznych na świecie, które organizacje wykorzystują już niemalże w każdej branży.
Struktury IT różnych organizacji przechowują coraz większe ilości danych o różnym stopniu wrażliwości, czyniąc monitorowanie dostępu do nich trudniejsze niż kiedykolwiek. Wiele firm nie zdaje sobie sprawy, że przetwarza dane osobowe (np. przechowuje CV kandydatów), a niepoprawne zabezpieczenie tych danych może skutkować ich wyciekiem lub kradzieżą.
Pomimo że ryzyko ataku na SMB (small — medium business) może być niskie — nigdy nie wynosi zero, a skutki takiego ataku (opisane w tym artykule) mogą być poważnym problemem dla naszej organizacji.
Przykład ryzyka wewnętrznego wynikającego z niepoprawnego zarządzania uprawnieniami
Weźmy jako przykład organizację, która zatrudnia 40 pracowników. W tej firmie uprawnienia do systemów manualnie nadaje administrator.
Gdy do firmy przychodzi nowy pracownik, procedura wdrożenia (tzw. onboarding) jest wykonywana ręcznie przez administratora, jednak często zdarza się, że pracownicy potrzebują dodatkowych uprawnień do wykonywania swojej pracy. Taki pracownik udaje się do administratora i prosi o dostęp, dostęp zostaje przydzielony i… historia się urywa — a nie powinna.
Ogrom pracy administratora zwykle nie pozwala na skuteczne śledzenie, nadawanie i odbieranie uprawnień. Taka „procedura” dopuszcza dwa niebezpieczne zjawiska.
Pierwsze jest natychmiastowe — brak weryfikacji zasadności nadania dostępu. Zgodnie z najlepszymi standardami administrator powinien skontaktować się z przełożonym danego pracownika, aby potwierdzić zasadność dostępu, niestety ten krok jest bardzo często pomijany.
Drugie zdarzenie możemy określić jako Privilege Creep — gromadzenie przez pracownika uprawnień niepotrzebnych mu do codziennej pracy. Prowadzi to do sytuacji, kiedy organizacja przestaje mieć kontrolę nad tym, kto ma dostęp do jakich zasobów. Problem pojawia się, kiedy były pracownik chce zaszkodzić organizacji, np. poprzez publikuję danych, do których nie powinien mieć dostępu.
To tylko jeden z wielu przykładów jak brak odpowiedniej polityki uprawnień może zaszkodzić SMB.
Jak PASK zapobiega takim sytuacjom?
Teraz przeanalizujmy tę sytuację z użyciem systemu IDM, w tym przypadku — PASK.
Do firmy zgłasza się nowy pracownik, Administrator dodaje go do systemu i przydziela mu rolę — zestaw uprawnień wymagany do pracy na danym stanowisku.
Gdy pracownik prosi o dodatkowy dostęp, robi to poprzez wypełnienie wniosku o nadanie dostępu. W PASK administrator może skonfigurować wniosek, aby wymagał potwierdzenia np. przez przełożonego oraz właściciela aplikacji. W systemie PASK uprawnienia mogą zostać nadane tylko na ograniczony okres czasu, w związku z czym minimalizowane, a czasem nawet likwidowane ryzyko privilege creep, poprzez automatycznie odbierane uprawnienia, gdy nie są już potrzebne.
Potwierdzenie uprawnień przez przełożonego dodaje kolejną warstwę weryfikacji. Odpowiednio skonfigurowany system pozwala na osiągnięcie zgodności z normą ISO 27001 czy też z rekomendacją D KNF. W ten sposób możemy zobrazować sobie jak PASK zapobiega incydentom związanymi z dostępami do różnych zasobów, których zależnie od organizacji, mogą być setki.
Kilka słów o ryzyku
Ryzyko wystąpienia incydentu może być niskie, ale tak jak powiedzieliśmy na początku, nigdy nie jest równe zeru. Musimy zaakceptować, że takie zdarzenie to nie jest pytanie, czy, tylko kiedy.
O bezpieczeństwo danych powinniśmy dbać proaktywnie, ponieważ niestety, wiele firm o wadze bezpieczeństwa orientuje się dopiero po ataku lub incydencie, któremu można było zapobiec. Nie zwlekajmy we wprowadzaniu rozwiązań zwiększających bezpieczeństwo, bo ryzyko nas wyprzedzi.