IT žinių centras
užsisakykite naujienas!
Eksperto įžvalgos

Vieningas e-tapatybės valdymas: kas tai ir kam?

Gruodžio viduryje kompiuterinių paslaugų teikėja „Yahoo!“ paskelbė, kad iš jos buvo pavogti daugiau nei 1 milijardo naudotojų duomenys. Prieš 3 metus įvykusi ir tik dabar atskleista duomenų vagystė pavadinta didžiausia istorijoje. Beje, tai jau antra stambi duomenų vagystė, apie kurią pranešė bendrovė.

Šis įvykis dar kartą sukėlė diskusijų apie duomenų ir elektroninės (e) tapatybės apsaugą, ar tiksliau, jos stoką. Kompiuterių gamintojos „IBM“ atliktas pasaulinis tyrimas parodė, kad su duomenų saugumu susijusių incidentų kasmet fiksuojama vis daugiau (pavyzdžiui, 2015 m. jų užfiksuota 64 proc. daugiau nei 2014 m.). Tyrime konstatuojama, kad pokyčiams įtakos turi ne tik dažnėjantys išpuoliai, bet ir tai, kad dauguma verslo įmonių vis dar nesirūpina duomenų apsauga.

Pavojai, su kuriais susiduria virtualusis „aš“

E-tapatybė – tai rinkinys asmeninių duomenų, tokių kaip vardas, pavardė, asmens kodas, slaptažodis ir t. t., padedančių virtualioje aplinkoje identifikuoti asmenį. Savo e-tapatybę naudojame kiekvieną kartą prisijungdami prie socialinių tinklų ar el. pašto, taip pat – registruodamiesi pas gydytoją internetu arba norėdami patikrinti banko sąskaitą. Be e-tapatybės vis sunkiau įsivaizduoti ne tik kasdienį gyvenimą, bet ir verslo bei daugelio valstybinių institucijų veiklą. Tačiau kuo plačiau e-tapatybė naudojama, tuo sunkiau kontroliuoti duomenų prieinamumą.

Apie e-tapatybės valdymo būtinybę kalbama jau beveik dešimtmetį. Pavyzdžiui, dar 2008 m. Europos Komisija konstatavo, kad e-tapatybės valdymas turi tapti neatsiejamas nuo elektroniniu būdu teikiamų paslaugų. Naudotojai turi būti tikri, kad jų asmeniniai duomenys nebus pavogti, o šiais duomenimis disponuojančios organizacijos turi užtikrinti, kad tie, kas prisijungia prie paskyros, iš tikrųjų yra tie, kas sakosi esą.

Tačiau, panašu, kad net po garsių perspėjimų ir, kai kuriais atvejais, įpareigojimų pasirūpinti duomenų saugumu, kokybišką e-tapatybės valdymą užtikrina tik dalis organizacijų. Kaip atskleidžiama „IBM“ tyrime, viena duomenų vagystė įmonei šiuo metu vidutiniškai gali padaryti apie 4 mln. dolerių nuostolių ir ši kaina, kaip rodo ankstesnių metų tendencijos, tik didės.

Kuo daugiau paskyrų – tuo daugiau problemų?

Vienas rimčiausių e-tapatybės valdymo iššūkių – įvairovė būdų, kuriais prisijungiama prie informacinių sistemų. „Slaptažodžiai, kodų generatoriai, balso atpažinimo sistemos – tai tik dalis būdų, kuriais šiandien prisijungiame prie sistemų. Be to, ši įvairovė ne mažėja, o didėja. Atsiranda kosmoso technologijomis paremti prisijungimo sprendimai. Saugumo požiūriu, svarbiausias klausimas – kaip suvaldyti tokią galimybę prisijungimų ir sužinoti, kas iš tikrųjų prisijungė ir ką veikė sistemoje“, – sako „Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas Povilas Kaminskas.

Kitas reikšmingas klausimas – e-tapatybės valdymo kaštai ir optimizavimas. „Kuo daugiau paskyrų ir sistemų, tuo daugiau administratorių, kurie šias sistemas valdo. Be to, pavyzdžiui, darbuotojų paskyrų kūrimas ir teisių joms priskyrimas šiandien vis dar yra ilgas ir sudėtingas procesas, kuriame gali atsirasti netikslumų. Todėl itin aktualūs sprendimai, leidžiantys automatiškai perkelti prisijungimo duomenis iš vienos sistemos į kitą ir garantuojantys, kad toks perkėlimas bus saugus ir sistemoje neatsiras naujas naudotojas, kurio niekas nepažįsta“, – sako P. Kaminskas.

Dar vienas iššūkis, kurį tenka pasitikti sudėtingų ir didelių sistemų valdytojams – kaip atpažinti kenksmingą veiklą. Įsilaužėliai tampa sunkiau pastebimi ir duomenys, įsilaužus į sistemą, gali būti renkami mėnesių mėnesiais. „Galimybė pastebėti bet kokią įtartiną veiklą, pavyzdžiui, darbuotojo prisijungimą sekmadienį arba atostogų metu, didžiulė paspirtis užtikrinant saugumą. Nors tokia informacija atrodo nelabai reikšminga, bet, kai kyla saugumo incidentų, ji tampa labai pravarti ir leidžia nustatyti tikrąją veikusiojo tapatybę. Be abejo, pastebėti tokią veiklą „rankiniu“ būdu sudėtinga“,– sako P. Kaminskas.

Kas yra vieninga tapatybė?

Daugelį e-tapatybės valdymo iššūkių gali išspręsti e-tapatybės valdymo sistemos. Ir nors visų rizikų eliminuoti neįmanoma, vieningas tapatybės valdymas, kurį įgalina tokios sistemos, sumažina duomenų vagystės tikimybę.

„Vieningos tapatybės idėja reiškia, kad tas pats asmuo, kurio tapatybė patvirtinta, gali saugiai „keliauti“ per visas sistemas ir paskyras, pradedant nuo kopijavimo aparato, veiklos sistemų ir baigiant debesijos platformomis, tokiomis kaip „Azure“ arba „Office 365“. Jam nereikia kurti daugybės atskyrų paskyrų su tam tikromis teisėmis, todėl padidėja centralizuotos kontrolės ir stebėjimo galimybės“, – pasakoja pašnekovas.

Vienas pažangiausių tapatybės valdymo sprendimų – „Microsoft Identity Manager 2016“. Iš kitų šis sprendimas išsiskiria tuo, kad yra platforminis įrankis, todėl leidžia valdyti ir sudėtingas, individualias, o ne tik standartizuotas sistemas.

Sistema be administratoriaus – beveik nepažeidžiama

Naujausia „Microsoft Identity Manager 2016“ versija pasižymi ir įdomiu ypatumu – galimybe valdyti privilegijuotas administratorių paskyras, kurioms gali būti suteikiamos tik laikinos teisės valdyti skirtingas sistemas.

„Sprendimas leidžia apskritai neturėti sistemos administratoriaus, o tai reiškia, kad tokia sistema yra beveik nepažeidžiama. Teisės valdyti sistemą suteikiamos tik užpildžius paraišką ir tik ją patvirtinus sistema turi laikiną administratorių“, – sako P. Kaminskas.

Be to, galima sudaryti sąlygas patiems darbuotojams valdyti savo tapatybės duomenis ir/ arba saugiai pasikeisti savo slaptažodį visose sistemose net jį pamiršus arba įtarus, kad jis gali būti žinomas pašaliniams.

Išsprendžia ir „buitines bėdas“

Pažangi e-tapatybės valdymo sistema leidžia išvengti ir „žmogiškųjų“ klaidų valdant didelį paskyrų skaičių. „Pastebime, kad darbuotojo atjungimas nuo paskyros yra opi problema. Kai darbuotojas įdarbinamas, jam gana greitai suteikiamos teisės prieiti prie sistemos. Tačiau, jei žmogus išeina iš darbo arba perkeliamas į kitas pareigas, atjungimu nuo paskyros dažniausiai pamirštama pasirūpinti ir paskyra paliekama likimo valiai arba dar blogiau – su ankstesnio darbuotojo duomenimis: vardu, pavarde ir t. t. – perduodama naujam žmogui. Tokios paskyros –„vaiduokliai“ – vienas mėgstamiausių įsilaužėlių taikinių. Paskyrų panaikinimo problema, aišku, atsiranda dėl didelių sistemų valdymo sudėtingumo, todėl ją puikiai gali išspręsti būtent e-tapatybės valdymo sistema, kuri leidžia akimirksniu atjungti darbuotoją nuo visų jo priėjimų prie sistemų“, – sako „Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas bei pabrėžia, kad iš pirmo žvilgsnio nedideli e-tapatybės valdymo iššūkiai yra ne mažiau svarbūs nei „globalesnės“ problemos, tokios kaip tikslingos atakos.

„Microsoft Identity Manager 2016“, kaip ir daugelio panašių e-tapatybės valdymo sistemų naudojimas, pirmiausia, leidžia sukurti naują sistemų valdymo įprotį ir net šiek tiek pakeisti žiūros kampą – pavyzdžiui, įsidėmėti smulkmenas, keistą elgseną sistemoje. Nėra abejonės, kad, laikui bėgant, šis naujas požiūris taps vis aktualesnis. Todėl svarbu pasirūpinti savo sistemų saugumu ne tik technine, bet ir „filosofine“ prasme – vystant pažintį su automatizuotomis e-tapatybės valdymo sistemomis, gilinantis į jų privalumus ir ieškant geriausiai atitinkančios Jūsų poreikius“, – apibendrina pašnekovas.

3 Komentarai

  1. Vieningos tapatybės naudojimas iš dalies primena vieno slaptažodžio naudojimą visose paskyrose :) Taip, vieningos tapatybės sistemos dažniausiai turi kelias identifikavimo pakopas, bet teoriškai ir jas galima nulaužti ir tada gaunama visa prieiga. Laikinas administratorius (arba su tik tam tikrai užduočiai skirtomis teisėmis) pasiteisinama tam tikrose kompanijose su atitinkamu etatų skaičiumi, kur griežti reikalavimai ar labai jautri informacija, bet turbūt ne įmonėj, kur vienas IT žmogus. Pats sau leidimu nedalinsi kas kart norint kažką atlikti :) Dėl stebėjimo sistemų kitas dalykas. Sistemų prikurta begalė, bet kaip žinoti ką stebėti? Kaip žinoti kokias taisykles sukurti, ką filtruoti, o ko ne. Ar tik pasikliauti AI algoritmais? Kiekvienam tokiam įrankiui reikia mažiausiai savaitės mokymų ir atskiro etato stebėjimui. Na ir galiausiai patys vartotojai. Daug kas pyksta, kad nuteka duomenis, bet jei paklausti tų pykstančių, ar jie nesidalina slaptažodžiais su kolegomis, ar neužrašinėja ant lapukų darbo vietose ar nenaudoja slaptažodžio “qwerty123”, įdomu koks procentas pasakytų ne :) Tokioje visuomenėje tikėtis, kad lyg nuo kitos planetos nusileidę adminai ar įmonių vadovai sužiūrės saugumą sunku tikėtis. Nebent visus pakeis robotai 😉

    Beje, jūsų blogo rss nepraeina patikrinimo su feedvalidator ir dėl to neišeina jo prenumeruot. Taip pat su keliais pašto adresais bandžiau registruotis paštu, bet neateina patvirtinimo laiškas.

    • Nulaužti galima beveik visas sukurtas sistemas, ypač – blogai prižiūrimas. Tai ne pagrindinė bet kurios sistemos savybė. Kur kas naudingiau pasverti, kokias rizikas įdiegta saugumo sistema sumažina arba kurios rizikos pasiliks (ir su jomis teks gyventi), sistemos neįdiegus. Jei rizikos priimtinos – viskas gerai.
      Stebėjimo sistemose galima eiti vienu iš dviejų pagrindinių kelių – pasitikėti gamintoju ir jo rekomendacijomis arba nepasitikėti niekuo ir pačiam viską pasidaryti. Visada galimi ir tarpiniai variantai. Pirmas kelias leidžia greitai pasiekti priimtiną (gal ir netobulą) rezultatą, antras kelias leidžia viską kontroliuoti (bet rezultatas irgi nedažnai būna tobulas, be to – gali užtrukti). Suprantama, kad tam reikia žinių, kurias galima įgyti arba nusipirkti kartu su sistemos diegimu.
      Jei vadovai ar administratoriai „prižiūri“ saugumą, abejotina, kad rezultatas bus puikus. Tam ir yra kuriamos tinkamos priemonės, kurios turi pagelbėti tiems patiems vadovams ar administratoriams nustatyti spragas (palengvinti/pagreitinti radimą) ir jas šalinti arba parodyti problemines vietas ir leisti jas sutvarkyti patiems :)
      O naudotojams irgi reikia mokymų, nepriklausomai nuo naudojamų sistemų. Apie bendrus saugos dalykus, kurie „lyg ir“ suprantami, bet niekas tiksliai nežino, kam jie reikalingi ir kas su jais yra gerai ar blogai :)

    • IT žinių centras

      2017 02 13 at 16:36

      Sveiki, dėkojame už info. Naujienlaiškio prenumeratos patvirtinimą turėtumėte matyti pačioje formoje, suvedus ir patvirtinus savo el. pašto adresą. Parašykite į prenumerata@bluebridge.lt, kokiu el. pašto adresu prenumeravote arba norite gauti naujienlaiškį. Patikrinsime prenumeratorių sąraše ir jei nebus – įvesime bei ieškosime klaidos procese :)

Palikite komentarą

Jūsų elektroninio pašto adresas nebus rodomas.

*