Zarządzanie tożsamością i dostępem stało się fundamentem cyberbezpieczeństwa

Nawet rok, może zająć identyfikacja i powstrzymanie incydentów naruszenia danych osobowych o dużej skali. Średni czas wykrycia przy włamaniach na mniejszą skalę to 6,5 miesiąca plus 69 dni na zablokowanie ataku. Koszty tego typu wydarzeń rosną wraz z wydłużaniem się procesu. W 2018 roku wyniosły średnio niemal 3,9 mln USD na każdą dużą firmę, która ich doświadczyła. Początkiem katastrofy może być jedno słabe hasło…

Indentity Access Management (IAM) jest jednym z obszarów cyberbezpieczeństwa, który umożliwia właściwym osobom dostęp do odpowiednich zasobów we właściwym czasie i z właściwych powodów. W coraz bardziej heterogenicznych środowiskach technologicznych ich zastosowanie to wręcz krytyczna potrzeba każdego biznesu. Jak wskazuje 2018 Data Breach Investigations Report, głównym powodem naruszenia bezpieczeństwa danych jest właśnie kradzież danych dostępowych. Atakujący może uzyskać uprzywilejowany dostęp do systemu przy pomocy haseł administracyjnych, przez długie miesiące pozostając w ukryciu.

Verizon w raporcie „2019 Data Breach Investigations Report” wskazuje na 53 000 zarejestrowanych w 2018 roku incydentów i 2216 potwierdzonych naruszeń danych. Podczas gdy większość (73%) jest dokonywana przez osoby z zewnątrz, aż 28% pochodzi od osób znajdujących się wewnątrz firmy. Zarówno jedni, jak i drudzy już na starcie mogą być blokowani poprzez systemy zarządzania tożsamością i dostępem IAM. Systemy takie mogą zabezpieczać hasła nas na 3 sposoby: poprzez zastosowanie tak zwanego Single Sign On (SSO) – czyli umożliwienia dostępu osobom do tego uprawnionym do wszystkich używanych przez nią aplikacji za pomocą jednorazowego logowania. Drugi sposób – Multi-Factor Authentication – zakłada użycie elementu, który użytkownik zna (np. hasła) w kombinacji z elementem, który posiada (np. telefonem) lub tym, czym użytkownik jest (np. odcisk palca). Trzeci sposób – Privileged Access Management – zakłada zintegrowanie systemu IAM z bazą pracowników i predefiniowanie ról, dla których udzielany jest dostęp do aplikacji.

Setki tysięcy otwartych drzwi

Zazwyczaj, do każdej aplikacji używanej przez jednego pracownika służy inne hasło. Jednakże przy dużej liczbie aplikacji i rosnącej liczbie pracowników, może to prowadzić do patologii w procesie tworzenia haseł, ustanawianych najczęściej przez samych użytkowników. Częstą praktyką jest tworzenie słabych haseł po to, aby łatwiej było je zapamiętać lub wykorzystywanie przetrzymywanych na komputerze plików tekstowych ze wszystkimi spisanymi hasłami. W takich sytuacjach każdy użytkownik i jego hasła to otwarte drzwi do wnętrza organizacji.

Z tego typu zagadnieniem zmierzyliśmy się ostatnio w Capgemini. Firma korzystała z niemal 100 aplikacji, służących np. do rozliczania wydatków, planowania urlopów czy komunikacji wewnętrznej. Miało do nich dostęp 200 000 użytkowników w na całym świecie. Nad ujednoliconym rozwiązaniem integrującym logowanie do wszystkich aplikacji poprzez jeden interfejs i hasło pracował m.in. zespół Cybersecurity Capgemini Polska w Krakowie. Brak jednolitych zasad zarządzania użytkownikami oraz ich hasłami w poszczególnych aplikacjach wewnętrznych przez taką liczbę pracowników stanowił istotny problem bezpieczeństwa dla organizacji. Dlatego wybrane zostało rozwiązanie Single Sign On połączone z uprzywilejowaniem dostępu dla określonych grupa pracowników i centralnym systemem IAM sprawującym funkcje kontrolną nad wszystkimi aplikacjami. Na potrzeby projektu wykonaliśmy setki technicznych wywiadów i rozpisaliśmy dziesiątki projektów funkcjonalnych. Musieliśmy stworzyć infrastrukturę zaciągającą dane z kilkudziesięciu różnych systemów i odpowiednio je przetworzyć.

Jednym z największych wyzwań przedsięwzięcia była nie tylko skala ilościowa, ale geograficzna. W bardzo wielu krajach firma miała do czynienia z innymi regulacjami dotyczącymi prywatności danych i ich udostępniania. Do zintegrowania każdej z aplikacji potrzebna była również osoba, która na co dzień z niej korzysta, aby udzielić wskazówek dotyczących funkcjonalności potrzebnych w codziennej pracy. Osobną kwestią było uzyskanie dostępu do niektórych kluczowych aplikacji częściowo zarządzanych przez zewnętrzne firmy. Zintegrowanie ich z centralnym systemem IAM wymagało tworzenia zupełnie nowych zasad sprowadzania danych do systemu, a to z kolei pociągało za sobą dodatkowe koszty oraz konieczność opracowania osobnych procedur.

Efekt domina

Dla Capgemini, wdrożenie systemu IAM stanowiło bardzo poważny krok w stronę zabezpieczenia danych zarówno pracowników, jak i klientów. Proces pozwolił na zbadanie i kontrolę liczby globalnie używanych aplikacji, a w efekcie stworzenie jednolitego systemu zabezpieczania i przechowywania haseł oraz kontrolę udzielania dostępu osobom zarówno wewnątrz, jak i na zewnątrz organizacji. Połączony z bazą danych pracowników system automatycznie przydziela uprawnienia do korzystania z aplikacji dla określonych stanowisk, ułatwiając przy tym wykonywanie zadań realizowanych dotąd manualnie przez administratorów.

Odpowiednie systemy zarządzania tożsamością i dostępem są absolutnie kluczowe dla funkcjonowania organizacji w cyfrowej rzeczywistości. Przykładowo w momencie, kiedy nie mamy do końca kontroli nad hasłami do wewnętrznych systemów, nawet niezbyt groźny proces odejścia pracownika staje się problemem cyberbezpieczeństwa narażając firmę na milionowe straty, jeśli organizacja nie sprawuje kontroli nad dostępami, do których pracownik miał uprawienia. Wdrożenie IAM staje się jedną z najlepszych inwestycji w cyfrowe bezpieczeństwo na jakie współczesne organizacje mogą się zdecydować.

Krzysztof Marek jest IAM Capability Lead w zespole Cyberseucity Unit; Michał Sosinka kierownikiem Cybersecurity Unit; a Maciej Łąbędzki, developerem w zespole Cybersecurity Capgemini Polska