IT žinių centras
užsisakykite naujienas!
Eksperto įžvalgos

Vieningas e-tapatybės valdymas: kas tai ir kam?

Gruodžio viduryje kompiuterinių paslaugų teikėja „Yahoo!“ paskelbė, kad iš jos buvo pavogti daugiau nei 1 milijardo naudotojų duomenys. Prieš 3 metus įvykusi ir tik dabar atskleista duomenų vagystė pavadinta didžiausia istorijoje. Beje, tai jau antra stambi duomenų vagystė, apie kurią pranešė bendrovė.

Šis įvykis dar kartą sukėlė diskusijų apie duomenų ir elektroninės (e) tapatybės apsaugą, ar tiksliau, jos stoką. Kompiuterių gamintojos „IBM“ atliktas pasaulinis tyrimas parodė, kad su duomenų saugumu susijusių incidentų kasmet fiksuojama vis daugiau (pavyzdžiui, 2015 m. jų užfiksuota 64 proc. daugiau nei 2014 m.). Tyrime konstatuojama, kad pokyčiams įtakos turi ne tik dažnėjantys išpuoliai, bet ir tai, kad dauguma verslo įmonių vis dar nesirūpina duomenų apsauga.

Pavojai, su kuriais susiduria virtualusis „aš“

E-tapatybė – tai rinkinys asmeninių duomenų, tokių kaip vardas, pavardė, asmens kodas, slaptažodis ir t. t., padedančių virtualioje aplinkoje identifikuoti asmenį. Savo e-tapatybę naudojame kiekvieną kartą prisijungdami prie socialinių tinklų ar el. pašto, taip pat – registruodamiesi pas gydytoją internetu arba norėdami patikrinti banko sąskaitą. Be e-tapatybės vis sunkiau įsivaizduoti ne tik kasdienį gyvenimą, bet ir verslo bei daugelio valstybinių institucijų veiklą. Tačiau kuo plačiau e-tapatybė naudojama, tuo sunkiau kontroliuoti duomenų prieinamumą.

Apie e-tapatybės valdymo būtinybę kalbama jau beveik dešimtmetį. Pavyzdžiui, dar 2008 m. Europos Komisija konstatavo, kad e-tapatybės valdymas turi tapti neatsiejamas nuo elektroniniu būdu teikiamų paslaugų. Naudotojai turi būti tikri, kad jų asmeniniai duomenys nebus pavogti, o šiais duomenimis disponuojančios organizacijos turi užtikrinti, kad tie, kas prisijungia prie paskyros, iš tikrųjų yra tie, kas sakosi esą.

Tačiau, panašu, kad net po garsių perspėjimų ir, kai kuriais atvejais, įpareigojimų pasirūpinti duomenų saugumu, kokybišką e-tapatybės valdymą užtikrina tik dalis organizacijų. Kaip atskleidžiama „IBM“ tyrime, viena duomenų vagystė įmonei šiuo metu vidutiniškai gali padaryti apie 4 mln. dolerių nuostolių ir ši kaina, kaip rodo ankstesnių metų tendencijos, tik didės.

Kuo daugiau paskyrų – tuo daugiau problemų?

Vienas rimčiausių e-tapatybės valdymo iššūkių – įvairovė būdų, kuriais prisijungiama prie informacinių sistemų. „Slaptažodžiai, kodų generatoriai, balso atpažinimo sistemos – tai tik dalis būdų, kuriais šiandien prisijungiame prie sistemų. Be to, ši įvairovė ne mažėja, o didėja. Atsiranda kosmoso technologijomis paremti prisijungimo sprendimai. Saugumo požiūriu, svarbiausias klausimas – kaip suvaldyti tokią galimybę prisijungimų ir sužinoti, kas iš tikrųjų prisijungė ir ką veikė sistemoje“, – sako „Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas Povilas Kaminskas.

Kitas reikšmingas klausimas – e-tapatybės valdymo kaštai ir optimizavimas. „Kuo daugiau paskyrų ir sistemų, tuo daugiau administratorių, kurie šias sistemas valdo. Be to, pavyzdžiui, darbuotojų paskyrų kūrimas ir teisių joms priskyrimas šiandien vis dar yra ilgas ir sudėtingas procesas, kuriame gali atsirasti netikslumų. Todėl itin aktualūs sprendimai, leidžiantys automatiškai perkelti prisijungimo duomenis iš vienos sistemos į kitą ir garantuojantys, kad toks perkėlimas bus saugus ir sistemoje neatsiras naujas naudotojas, kurio niekas nepažįsta“, – sako P. Kaminskas.

Dar vienas iššūkis, kurį tenka pasitikti sudėtingų ir didelių sistemų valdytojams – kaip atpažinti kenksmingą veiklą. Įsilaužėliai tampa sunkiau pastebimi ir duomenys, įsilaužus į sistemą, gali būti renkami mėnesių mėnesiais. „Galimybė pastebėti bet kokią įtartiną veiklą, pavyzdžiui, darbuotojo prisijungimą sekmadienį arba atostogų metu, didžiulė paspirtis užtikrinant saugumą. Nors tokia informacija atrodo nelabai reikšminga, bet, kai kyla saugumo incidentų, ji tampa labai pravarti ir leidžia nustatyti tikrąją veikusiojo tapatybę. Be abejo, pastebėti tokią veiklą „rankiniu“ būdu sudėtinga“,– sako P. Kaminskas.

Kas yra vieninga tapatybė?

Daugelį e-tapatybės valdymo iššūkių gali išspręsti e-tapatybės valdymo sistemos. Ir nors visų rizikų eliminuoti neįmanoma, vieningas tapatybės valdymas, kurį įgalina tokios sistemos, sumažina duomenų vagystės tikimybę.

„Vieningos tapatybės idėja reiškia, kad tas pats asmuo, kurio tapatybė patvirtinta, gali saugiai „keliauti“ per visas sistemas ir paskyras, pradedant nuo kopijavimo aparato, veiklos sistemų ir baigiant debesijos platformomis, tokiomis kaip „Azure“ arba „Office 365“. Jam nereikia kurti daugybės atskyrų paskyrų su tam tikromis teisėmis, todėl padidėja centralizuotos kontrolės ir stebėjimo galimybės“, – pasakoja pašnekovas.

Vienas pažangiausių tapatybės valdymo sprendimų – „Microsoft Identity Manager 2016“. Iš kitų šis sprendimas išsiskiria tuo, kad yra platforminis įrankis, todėl leidžia valdyti ir sudėtingas, individualias, o ne tik standartizuotas sistemas.

Sistema be administratoriaus – beveik nepažeidžiama

Naujausia „Microsoft Identity Manager 2016“ versija pasižymi ir įdomiu ypatumu – galimybe valdyti privilegijuotas administratorių paskyras, kurioms gali būti suteikiamos tik laikinos teisės valdyti skirtingas sistemas.

„Sprendimas leidžia apskritai neturėti sistemos administratoriaus, o tai reiškia, kad tokia sistema yra beveik nepažeidžiama. Teisės valdyti sistemą suteikiamos tik užpildžius paraišką ir tik ją patvirtinus sistema turi laikiną administratorių“, – sako P. Kaminskas.

Be to, galima sudaryti sąlygas patiems darbuotojams valdyti savo tapatybės duomenis ir/ arba saugiai pasikeisti savo slaptažodį visose sistemose net jį pamiršus arba įtarus, kad jis gali būti žinomas pašaliniams.

Išsprendžia ir „buitines bėdas“

Pažangi e-tapatybės valdymo sistema leidžia išvengti ir „žmogiškųjų“ klaidų valdant didelį paskyrų skaičių. „Pastebime, kad darbuotojo atjungimas nuo paskyros yra opi problema. Kai darbuotojas įdarbinamas, jam gana greitai suteikiamos teisės prieiti prie sistemos. Tačiau, jei žmogus išeina iš darbo arba perkeliamas į kitas pareigas, atjungimu nuo paskyros dažniausiai pamirštama pasirūpinti ir paskyra paliekama likimo valiai arba dar blogiau – su ankstesnio darbuotojo duomenimis: vardu, pavarde ir t. t. – perduodama naujam žmogui. Tokios paskyros –„vaiduokliai“ – vienas mėgstamiausių įsilaužėlių taikinių. Paskyrų panaikinimo problema, aišku, atsiranda dėl didelių sistemų valdymo sudėtingumo, todėl ją puikiai gali išspręsti būtent e-tapatybės valdymo sistema, kuri leidžia akimirksniu atjungti darbuotoją nuo visų jo priėjimų prie sistemų“, – sako „Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas bei pabrėžia, kad iš pirmo žvilgsnio nedideli e-tapatybės valdymo iššūkiai yra ne mažiau svarbūs nei „globalesnės“ problemos, tokios kaip tikslingos atakos.

„Microsoft Identity Manager 2016“, kaip ir daugelio panašių e-tapatybės valdymo sistemų naudojimas, pirmiausia, leidžia sukurti naują sistemų valdymo įprotį ir net šiek tiek pakeisti žiūros kampą – pavyzdžiui, įsidėmėti smulkmenas, keistą elgseną sistemoje. Nėra abejonės, kad, laikui bėgant, šis naujas požiūris taps vis aktualesnis. Todėl svarbu pasirūpinti savo sistemų saugumu ne tik technine, bet ir „filosofine“ prasme – vystant pažintį su automatizuotomis e-tapatybės valdymo sistemomis, gilinantis į jų privalumus ir ieškant geriausiai atitinkančios Jūsų poreikius“, – apibendrina pašnekovas.