Finanse i gospodarka

Rafał Wyroślak: Świadomy użytkownik rękojmią bezpieczeństwa

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

wyroslak.rafal.01.400x228Wypowiedź dla aleBank.pl: Rafał Wyroślak - Przedstawiciel Cyberark

Rafał Wyroślak: Powinniśmy jako zarządzający mieć wiedzę na temat tego, skąd użytkownik pobrał uprzywilejowane uprawnienia, kiedy je pobrał i kiedy je wykorzystywał. Te uprawnienie nie może być współdzielone przez szereg administratorów, szereg osób zarządzających naszymi systemami informatycznymi, gdyż nie mamy świadomości, który z nich wykonuje operacje uprzywilejowane. W momencie wystąpienia problemu, ataku cybernetycznego, wystąpienia błędu z tytułu pracy użytkownika – świadomego, nieświadomego – potrzebujemy informacji o tym kto, kiedy i jak wykonał daną czynność. Kolejna sprawa – musimy się przed takimi błędami chronić. W jaki sposób? Kontrolować uprzywilejowany dostęp do kluczowych elementów systemów informatycznych w sposób prosty, przejrzysty i skuteczny. Nie może być tak, że nasz współpracownik pozyskuje uprawnienia do kluczowego systemu w firmie od kolegi, który prosi go o wykonanie prostej czynności. To hasło tkwi potem w jego świadomości. Nie jest potem zmieniane, krąży pomiędzy współpracownikami i daje prostą drogę do problemu. Gdy hasło sobie gdzieś ktoś zapisze, osoba trzecia w sposób nieuprawniony je posiądzie, ktoś dokona włamania na komputer administratora i w prosty sposób hasło wykradnie od osoby, która proceduralnie nie powinna mieć dostępu do kluczowego systemu informatycznego. Kolejnym elementem, o którym trzeba pamiętać jest to, że hasła trzeba zmieniać. Tylko jak je zmieniać, gdy jest ich kilkaset, kilka tysięcy, kilka zaawansowanych systemów bazodanowych, osób w korporacji jest bardzo dużo? Mamy teoretycznie politykę bezpieczeństwa, która mówi o tym, że hasła powinny być zmieniane, osoby z jakiej grupy powinny uzyskać dostęp do systemu, jednak fizycznie nie możemy tego kontrolować. Mówi o tym dokument, ale nie mamy żadnych informacji, żadnego raportu o tym jaki użytkownik i kiedy dostęp do systemu, do hasła posiadł, czy hasło zostało zmienione wczoraj, czy jest odpowiednio długie, czy zostało zmienione z odpowiednią, narzuconą polityką.

Maciej Małek: Kto ma w budowie bezpieczeństwa rolę wiodącą i jak zarząd dowiaduje się o poziomie i zakresie niezbędnych nakładów, także finansowych?

RW: Jednostką wiodącą są działy zarządzania ryzykiem, działy bezpieczeństwa, działy administracyjne. To one dbają o to, żeby to ryzyko zmniejszać. W jaki sposób? Zrobiły pierwszy krok – mają polityki i teraz trzeba je egzekwować. Czy są to nakłady duże czy małe? W stosunku do korzyści jakie odnosimy, informacji, jaką pozyskujemy nakład jest bardzo niewielki. Zarząd, który prosi o raport kto ma dostęp do naszych systemów, kiedy go uzyskiwał, audytorzy, którzy wykonują sprawdzenie naszych systemów, bardzo szybko, w przejrzysty sposób, pojedynczym kliknięciem dostają raport o użytkownikach, grupach osób, które mają dostęp do systemu, jak ten dostęp jest reglamentowany, jak bezpieczeństwo jest nadzorowane. To nie jest już współdzielone hasło, zapisane w zeszycie, sejfie. To jest najważniejsze.

MM: Z punktu widzenia luki bezpieczeństwa, jak często powinniśmy przeprowadzać strestesty?

RW: O tym mówi polityka banku. W przedsiębiorstwach mamy narzuconą pod nadzorem KNFu rekomendację D, która wyraźnie mówi, że strestesty powinny być czasowo wykonywane. W przypadku rozporządzenia Prezesa Rady Ministrów i spółek Skarbu Państwa też mamy instrument prawny, który nakazuje przedsiębiorstwu wykonywanie przynajmniej raz w roku takich testów. Jak to się ma do tożsamości uprzywilejowanej? W rzeczywistości ma się nijak. Strestest to jest wykonanie próby włamania do systemu operacyjnego, który poza hasłem nie jest chroniony w żaden sposób. Nie mamy informacji o tym czy ktoś próbuje trzydzieści razy dziennie wpisać hasło. Czasami próbujemy wdrażać systemy typu SIEM, ale nie mamy informacji o tym, że ktoś wieczorami próbował hasło wpisać ponownie. Zatem wykonanie strestestu i sprawdzenia jakie mamy systemy, hasła, czy są odpowiednio chronione, zmieniane – to też jest strestestem dla kont uprzywilejowanych w naszym banku.

MM: Czy zatem poziom regulacji odpowiada zaawansowaniu technicznemu tych narzędzi, które na co dzień wspierają nasz core biznes?

RW: Rekomendacja D, o której jest głośno i która powinna być zaimplementowana do końca tego roku, nakreśla bardzo wyraźnie jak powinna być sprawowana kontrola nad systemami informatycznymi. KNF, jako organizacja sprawująca nadzór nad wszystkimi instytucjami finansowymi w Polsce, bardzo dobrze wykonała swoją pracę. Powiedziała jasną rzecz: tam są nasze pieniądze, pieniądze naszych klientów, którzy nam ufają i musimy zwiększyć nie tylko fizyczny poziom bezpieczeństwa, ale także elektroniczny. Tam gro informacji, gro transakcji jest wykonywanych. Jest to jeden z najnowocześniejszych dokumentów, który być może nie bardzo dokładnie precyzuje jakie to powinny być narzędzia ale w sposób klarowny mówi, że powinniśmy wiedzieć kto i kiedy uzyskał dostęp do naszych systemów informatycznych, kto jakie transakcje wykonywał – to już nasuwa kolejne pytania – jaki system powinniśmy zaimplementować żeby spełnić rekomendację, aby tę informację posiadać, aby takiemu organowi jak KNF powiedzieć, że my doskonale wiemy kto i kiedy używał naszego systemu, jakie operacje na nim wykonywał. To prawo jest gotowe. Musimy je tylko w sposób prosty, zewnętrznymi narzędziami zaimplementować i spełnić tę Rekomendację.

aleBank.pl

Zobacz rozmowę w wersji wideo: Rafał Wyroślak: Świadomy użytkownik rękojmią bezpieczeństwa