Ochrona tożsamości i dostępu w dobie NIS2
Chcesz wzmocnić bezpieczeństwo zgodnie z dyrektywą NIS2 i jednocześnie ułatwić życie użytkownikom, eliminując hasła? Zarządzanie tożsamością i dostępem oraz silne uwierzytelnianie to klucz do sukcesu!
Zarządzanie tożsamością (Identity and Access Management – IAM) to zestaw procedur i narzędzi, które umożliwiają bezpieczne zarządzanie dostępem do danych i usług w organizacji. Narzędzia te służą do zarządzania tożsamością osób mających dostęp do danego obiektu oraz do firmowych systemów informatycznych, wykorzystując do tego funkcje:
- Identyfikacji. Baza danych zawiera informacje na temat wszystkich osób z nadanymi uprawnieniami. Informacje te obejmują m.in. imię i nazwisko, numer ID oraz tzw. rolę, na którą mogą się składać np. zajmowane stanowisko, przynależność do konkretnej grupy roboczej itp. Dostęp jest przydzielany zgodnie z funkcją pełnioną w firmie.
- Aktualizacji. Zarządzanie cyklem „życia” tożsamości jest kluczowe, gdyż pracownicy i przypisane im role się zmieniają. Jeśli ktoś opuszcza firmę, dostęp takiej osoby jest dezaktywowany, a zmiana roli, np. awans, może oznaczać, że uprawnienia zastaną zmienione, będą np. większe.
- Uwierzytelniania. Stosowanie IAM powoduje, że możliwe jest wdrożenie różnych sposobów uwierzytelniania, aby zawsze mieć pewność, że osoba korzystająca z dostępu ma do niego prawo.
Od czasu wprowadzenia systemów komputerowych uwierzytelnianie opierało się głównie na loginie i haśle. Niestety użytkownicy mają tendencję do używania tych samych haseł w wielu systemach, co zwiększa ryzyko naruszeń bezpieczeństwa. Rozwiązaniem tego problemu jest centralne zarządzanie poświadczeniami i uwierzytelnianie wieloskładnikowe (Multifactor authentication – MFA), które wymaga poświadczenia tożsamości za pomocą kilku różnych metod, które można stosować jednocześnie lub w różnych konfiguracjach. Te metody to:
- login, hasło, PIN;
- urządzenie mobilne, klucz U2F, token generujący kody jednorazowe;
- dane biometryczne, np. odcisk palca, rozpoznawanie twarzy.
Do uwierzytelniania wieloskładnikowego można wykorzystywać oprogramowanie, np. aplikację na smartfonie lub specjalne urządzenia, takie jak klucz U2F lub token sprzętowy. Rozwiązania bezhasłowe eliminują potrzebę wprowadzania haseł, używając kryptograficznych danych uwierzytelniających, takich jak klucz U2F odblokowywany odciskiem palca, skanem twarzy lub PIN-em, co zapewnia najsilniejszą ochronę. Nie można ich odgadnąć ani ponownie wykorzystać. Zmniejszają też ryzyko ataków typu brute force i niewłaściwego użycia, np. upowszechnienia danych dostępowych. A odcisk palca, twarz, kod PIN lub wzór są przechowywane lokalnie na urządzeniu. Warto zauważyć, że nie wszystkie rozwiązania MFA zapewniają taką samą ochronę przed atakami. Wiele zależy od sposobu ich wdrożenia. Jednak przy prawidłowym wprowadzeniu MFA jest to system zapewniający organizacjom i użytkownikom wiele korzyści:
- Bezpieczeństwo – eliminacja popularnych haseł, dostosowanie poziomu uwierzytelniania do uprawnień użytkownika, kontrola dostępu podwykonawców, wzmacnianie mechanizmów uwierzytelniania.
- Komfort użytkownika – pojedyncze uwierzytelnianie dla wszystkich aplikacji, usprawnienie zarządzania hasłami, integracja danych biometrycznych (np. Microsoft Windows Hello, Apple TouchID/FaceID, FIDO2).
- Standaryzacja i zgodność – zgodność z przepisami RODO, NIS2, CER, ułatwienie dostępu do aplikacji w kontekście zmian korporacyjnych.
Niektóre rozwiązania MFA łagodzą również ataki phishingowe. Zważywszy na jego powszechność odporność na phishing powinna być kluczowym czynnikiem przy wyborze rozwiązania silnego uwierzytelniania.
Uwierzytelnianie wieloskładnikowe nie jest jedynym rozwiązaniem ochrony tożsamości i dostępu, ale jest kluczowe do zapewnienia maksymalnie wysokiego poziomu bezpieczeństwa systemom i aplikacjom, a także kontroli nad fizycznym dostępem. W przypadku systemów informatycznych dobrym rozwiązaniem jest wprowadzenie zasady pojedynczego logowania (Single Sign On – SSO). Ważne, by aplikacje wykorzystujące to rozwiązanie mogły bezpiecznie zarządzać sesjami z limitami czasu bezczynności i maksymalnym czasem trwania sesji. Z kolei przy wdrażaniu MFA należy pamiętać o dokładnym kontrolowaniu zasobów wykorzystywanych do uzyskiwania dostępu, czyli zarówno urządzeń fizycznych takich jak tokeny i klucze U2F, jak i aplikacji oraz kart wirtualnych. System ten powinien również obsługiwać certyfikaty usług i urządzeń IoT. Właściwe wdrożenie zapewnia dwustronne uwierzytelnianie urządzeń, nawet bez dostępu do Internetu.
Łączymy technologie i doświadczenie, chroniąc ludzi i zasoby przed cyberatakami i zagrożeniami fizycznymi. Testujemy i udoskonalamy metody ochrony, reagujemy na incydenty i pomagamy bezpiecznie działać w dzisiejszym świecie. ⦁
squareTec
ul. Broniewskiego 4
85-316 Bydgoszcz
www.squaretec.pl