Problem insajdera i zloupotreba korporativnih podataka

Odlučio sam da se vratim na ovaj blog posle određenog vremena jer mislim da je globalni i otvoreni program o širenju svesti o važnosti zaštite podataka potrebniji nego ikada. Pored toga, osećam da sada mogu da podelim još više znanja sa vama.

Obećavam da ću se u budućnosti truditi da vam prenesem sve novosti vezane za ovu temu, naravno, koliko mi slobodno vreme to dozvoli 🙂

Tema kojoj se vraćam je Identity & Access Management (IAM)Menadžment identiteta i pristupa.

Identity and Access Management

Zašto?

Slušajući klijente i prateći mnoge grupe, vesti i blogove o zaštiti podataka, a najčešće nakon kršenja ovih prava u većim kompanijama, ljudi pitaju: “Kako možemo da sprečimo zloupotrebu naših podataka?”
Većina mojih kolega najčešće krene sa tehničkim diskusijama koje uključuju enkripciju, sigurnost mreža, “pojačavanje” bezbednosti servera itd. Na kraju se to pretvori u standardnu diskusiju o IT sigurnosti sa hiljadu “šta ako”, a to je priča bez kraja.

Ne kažem da nisu u pravu, niti da takve stvari treba ignorisati, ali kompanije često zaboravljaju jednu stvar – insajdere.
Neću reći da je su nedavni događaji bili puka slučajnost, npr. Wikileaks (Vikiliks), Edward Snowden (Edvard Snouden) i ostali, ali to navodi sve više kompanija da počnu da razmišljaju o insajderima i tome koliko poverenja imaju u njih.
Ipak, mnoge od njih su obeshrabrene cenama projekata za IAM.

Ono što većina njih ne shvata je činjenica da je cena takvih projekata znatno niža od cene posledica koje može izazvati zloupotreba identiteta i pristupa.

Tako se opet vraćamo na njihove radnike koji sami sebe pitaju: “Kako možemo ovo da sprečimo?” Opet!!!

Na jednoj LinkedIn grupi postoji tema koja se bavila pitanjem kako se može sprečiti hakovanje kreditnih kartica i ličnih informacija, konkretno vezana za Target Korporaciju.

Citiraću sam sebe: “Zapravo mislim da je ključ u prevenciji, i to ne samo u ovom slučaju. Nemam dovoljno informacija pa neću suditi o tome kako se to desilo, tako da ću pričati uopšteno.

U ovoj grupi postoji povezana diskusija gde su članovi podelili svoja razmišljanja o mehanizmima koji mogu pomoći u obezbeđivanju potvrde indentititeta na veb sajtovima. To može biti primenjeno na online plaćanje.

Osim toga, najveći problem organizacijama predstavljaju insajderi. Upravo zbog toga se javlja potreba za Menadžmentom identiteta i pristupa, posebno za kontrolom pristupa za privilegovane naloge.
Na kraju krajeva, imamo međunarodne standarde koji preporučuju kontrolu koja bi trebalo da omogući sistem koji je bezbedan.
Kada organizacija uspostavi kontrolu nad privilegovanim korisnicima, odgovarajuće revizorske logove za svaku aktivnost na kritičnom serveru – sa snimljenom sesijom, smanjenim brojem deljenih lozinki između privilegovanih naloga, ili čak potpuno uklonjenih i selektivnom kontrolom pristupa, mogućnost za zloupotrebu unutar organizacije je ograničena na prihvatljiv nivo.

Moje mišljenje je da je virtuelno okruženje, sa hypervisor nivoa, najveći “unutrašnji” problem organizacija. Kompanije i dalje nemaju dovoljnu kontrolu pristupa nad virtuelnim okruženjem. Neophodno je uspostaviti kontrole koje će sprečiti privilegovane korisnike da menjaju ili kopiraju podatke sa virtuelnih mašina, a to ne pokriva mnogo rešenja prisutnih na tržištu. Jedan od standarda, Payment Card Industry Data Security Standard (PCI DSS), takođe upućuje na ovaj rizik .

Da rezimiram, za ovaj slučaj, ako postoji odgovarajuća kontrola unutar organizacije i ako je potvrda identiteta na veb sajtu zaštićena naprednim mehanizmom za identifikaciju i upravljanje rizikom, šanse za zloupotrebu su u velikoj meri smanjene, ali, kako su mnogi već pomenuli, i dalje nisu 100% eliminisane.

Pozdrav.”

Čak i kada se kompanije konačno odluče da krenu sa ovakvim projektom, zahvaljujući današnjoj ekonomiji, najčešće biraju jeftine usluge, kratke rokove za završetak projekta i jeftina rešenja.
Tako završe sa neodgovorajućom polisom informacione bezbednosti, nepotpunom implementacijom i nestabilnim rešenjem. Što na kraju dovede do propalog projekta i neupotrebljivog sistema.

Domen Menadžmenta identiteta i pristupa je mnogo širi nego što ljudi misle, tako da najčešće ne znaju kakvu funkcionalnost, sisteme i usluge treba da pokriva.
Može se proširiti (i ne samo) na Menadžment identiteta, uloga (roles), naloga privilegovanog korisnika, internet pristupa sa SSO (jedinstvenim prijavljivanjem) itd.
Postoje mnogi koji su bliže povezani sa IAM pa neki ljudi ubrajaju i njih… ovaj domen je širok…

Svaki od poddomena je kompleksan i svaki od njih može pomoći kompaniji da uspostavi bolju kontrolu, omogući bolju uslugu korisnicima (zaposlenima, klijentima, partnerima…) i, na kraju, da lakše sebi obezbedi sertifikat o usklađenosti sa međunarodnim standardima što će u velikoj meri poboljšati ugled kompanije.

Sledećim tekstovima ću pokušati detaljnije da prikazem svaki od IAM poddomena kako bih vam što više približio ovaj domen. Bilo da ste u oblasti informacione bezbednosti, IT menadžer ili samo radoznali čitalac, nadam se da će Vam biti od koristi.

Slika: businesscomputingworld.co.uk

Hvala vam što čitate!


"Citate zvanicni blog Data Solutions Laboratorije za spasavanje podataka sa hard diskova, memorijskih kartica i RAID nizova" - datasolutions.rs

2 misljenja o “Problem insajdera i zloupotreba korporativnih podataka

Leave a Reply

%d bloggers like this: