Людмила Севастьянова, менеджер по развитию продуктового портфеля управления доступом, поделилась статьей о том, зачем нужна аттестация прав сотрудников, почему ее нужно проводить регулярно и почему она крайне важна для финансового сектора.
И небольшой спойлер - в тексте есть несколько "пасхалок", если найдете, пишите в комментариях.
Рассчитывать бессмысленно, что ваша истина не выскользнет из рук
Согласно исследованию «Солар», более 40% компаний не блокируют учетные записи сотрудников после увольнения. Еще столько же не ведут мониторинг учетных записей подрядчиков и владельцев технических учетных записей. И это данные опроса, в котором приняли участие более 100 крупных компаний из финансового и госсектора, транспорта и логистики, промышленности и ритейла. Не трудно представить, сколько конфиденциальных данных хранит бизнес подобного уровня и насколько велик «куш» для хакеров, которые получат доступ к ним через скомпрометированные «учетки», которые никто не контролирует.
Например, бывший сотрудник отдела кредитования банка может скачать данные о заемщиках. В госпитале бывшая медсестра, переведенная в другой отдел, по-прежнему сохраняет в результаты анализов пациентов из другого отделения. Бывший сотрудник конструкторского бюро, который сохраняет доступ к конфиденциальным чертежам, может воплотить в проекте конкурента концепцию премиального жилого комплекса или поделиться информацией о строительстве промышленного объекта.
Действующим сотрудникам эти данные и полномочия для работы с ними необходимы, но чтобы снизить риски несанкционированных действий необходимы системы для контроля доступа. Даже если вы предоставили эти права, их необходимо регулярно анализировать, выявлять и прекращать полномочия, если они потеряли актуальность, были предоставлены по ошибке или по злому умыслу.
Совсем необязательно ждать помощи спасателей
Новости об очередном сливе данных в даркнете – давно уже не новость. На «черном рынке» регулярно появляются базы данных финансовых организаций, ритейлеров, операторов связи, массовых цифровых сервисов, которые содержат адреса, телефоны и даже номера кредитных карт. Кибепреступники обогащают данные из нескольких баз, предлагая заказчикам более полный профиль потенциальных заемщиков, клиентов или…жертв атак с помощью социальной инженерии. Зачастую за такими инцидентами стоит инсайдер или сотрудник, который по неосторожности открыл доступ к данным компании.
Как отмечают аналитики Центра исследования киберугроз Solar 4RAYS, в первом полугодии 2024 года в 50% успешных кибератак злоумышленники использовали скомпрометированные аккаунты сотрудников компании и взломанные учетные записи подрядчиков и субподрядчиков (supple chain и trusted relationship), имеющих доступ к информационным системам крупных организаций.
Поэтому для компаний так важно знать, кто, на каком основании и к какой информации имеет доступ. Без этого сложно отслеживать действия пользователей, а затем в случае инцидента с утечкой данных проводить расследование. Более того, сам факт утечки долгое время может быть незамеченным, если не ведется мониторинг, а ущерб при этом может вырасти многократно.
Внутренние политики и отраслевые стандарты кибербезопасности – это еще одна причина провести аттестацию прав доступа и полномочий для работы с информацией для сотрудников. Например, в банковской отрасли на основании регулятор выявленных нарушений, согласно ГОСТ 57580.1 (Защита информации финансовых организаций), СТО БР ИББС (Стандарт Банка России по обеспечению информационной безопасности) дает предписание и срок для их устранения, а при повторном выявлении дело может дойти до штрафа из-за отсутствия регулярной аттестации.
Итак, зачем нужна проверка и подтверждение прав доступа:
Выявление и снижение рисков, связанных с чрезмерными правами доступа. Это справедливо и для инсайдерских угроз, и для контроля работы внешних подрядчиков, и для сокращения последствий хакерских атак
Отраслевые стандарты кибербезопасности
Прозрачность и своевременная подотчетность, которые формируют культуру безопасности среди сотрудников.
Всё просто получается… с Solar inRights
В крупных компаниях доступ к информационным активам обычно регулируется с помощью IGA/IdM-платформ. Например, Solar inRights, автоматизирует предоставление и изменение полномочий пользователей и помогает управлять политиками доступа.
С помощью модуля «Аттестации назначений» владельцы ресурсов, руководители или назначенные ответственные сотрудники могут регулярно пересматривать права доступа для пользователей информационных ресурсов. С его помощью также можно выявлять и устранять чрезмерные привилегии, сократив риски ИБ-инцидентов и утечки данных. Например, регулярная аттестация прав доступа в финансовых организациях позволит продемонстрировать внутренним и внешним аудиторам кто и на каком основании имеет доступ к конфиденциальной информации.
Система также позволяет проводить аттестацию и запускать кампании для проверки и подтверждения прав с необходимой периодичностью.
Чтобы создать новую аттестацию, нужно указать ее название, добавить правила, которые определяют, каких пользователей и на какие права нужно проверить. Для каждой роли можно установить свои параметры и правила.
Для таких объектов, как: «Пользователь», «Трудоустройство», «Роль» и «Каталог ролей» можно установить правила, учитывающие различные параметры этих объектов. Таким образом администратор получает инструмент для всесторонней проверки доступа по выбранному профилю пользователей.
Если нажать на наименование конкретной аттестации, открываются подробные сведения о ней и полный набор правил. Правила аттестации можно редактировать.
Как только в рамках аттестации будет создана кампания, можно сразу переходить в раздел по работе с конкретной кампанией, чтобы запустить процесс проверки, либо сделать это позже в любое удобное время. При запуске кампании будет дан старт формированию заявок на пересмотр доступа по заданным правилам.
Переходя в раздел «Кампании», получаем подробную информацию по конкретной кампании: её название, статус, дату старта, период формирования выборки, а также сведения в рамках какой аттестации она запущена. Закладка «Выборка» дает возможность сформировать выборку и проверить ее правильность. Если выборка сформирована некорректно, есть возможность ее очистить, исправить правило формирования и запустить заново. Когда результат по нужной выборке будет достигнут, можно смело запускать компанию.
Система дает возможность просматривать заявки на пересмотр доступа, созданные в рамках кампании, чтобы своевременно получать информацию о статусе и ходе их выполнения.
Чтобы отслеживать ход процесса аттестации, можно просматривать статистику и динамику реализации кампании: количество вовлеченных пользователей, созданных заявок, сохраненных или отмененных назначений, а также назначений, которые еще находятся на рассмотрении, если кампания не завершена.
Финальный аккорд:
Риски кибератак со стороны тех, кто «вполне осознанно вне зоны доступа», − неизбежны. Но в ваших руках сделать так, чтобы финансовые и репутационные риски стремились к статистической погрешности.
Российские IdM-системы позволяют предупредить или сократить ущерб от утечек информации при комплексном подходе к кибербезопасности. Например, при интеграции с системами контроля и управления доступом они повышают безопасность информационных систем и исключают возможность использовать чужие учетные записи. В интеграции с продуктами класса SIEM (Security information and event management), управляющими событиями безопасности, IdM-система отправляет данные в SIEM для анализа, предотвращения и расследования инцидентов ИБ.
Интеграция IdM с DAG/DCAP-системами усиливает возможности для управления доступом. Например, в Solar inRights добавлен справочник классов данных, который заполняется на основании информации, получаемой из DAG-платформы. В карточке роли, связанной с группой доступа из Active Directory, отображается класс данных, к которому группе предоставляется доступ. Класс определяется автоматически на основании данных Solar DAG и справочника.
Использование технологии SSO (Single Sign-On) и мультифакторной аутентификации вместе с IdM-решением позволяет выстроить безопасный вход в различные сервисы, используя единый набор учетных данных. Совместная работа платформ IdM и PAM (Privileged Access Management) обеспечивает управление доступом привилегированных пользователей к конфиденциальной информации, критичным бизнес-процессам и информационным системам.