Jak bezpiecznie zarządzać tożsamością cyfrową?
„Tożsamość cyfrowa jest jednym z najważniejszych elementów, który powinien być chroniony przez przedsiębiorstwo. Z punktu widzenia systemów Identiti Management czyli zarządzania i ochrony tożsamości mówimy o autoryzacji, autentykacji i życiu tożsamości cyfrowej użytkownika” – mówił Dariusz Kupiec.
Dodał, że źle zaimplementowane systemy zarządzania tożsamością cyfrową mogą tworzyć zagrożenia dla państwa i dla poszczególnych organizacji.
Czytaj także: Raport Cyberbezpieczeństwo | CyberArk – Ochrona Tożsamości | Wyzwania dla tradycyjnego myślenia o ochronie przed cyberatakami
Tożsamość cyfrowa pracownika czy jego roli?
Mówiąc o tożsamości cyfrowej w danej organizacji należy określić czy pracownik ma mieć indywidualną tożsamość cyfrową, czy też powinna być ona przypisana do jego określonej roli – wskazywał Dariusz Kupiec.
„Jeśli mamy księgową, która ma uprawnienia do systemu finansowego, to nie powinna mieć np. uprawnień do dokonywania przelewów z konta głównego organizacji. Jest to element procedury przedsiębiorstwa, który może być zaimplementowany w systemie informatycznym” – wyjaśniał.
Dodał, że w większych firmach nie jest możliwe kontrolowanie uprawnień wszystkich pracowników na poziomie indywidualnym.
Określił sytuacje, w których powinien być udzielany czasowy dostęp do określonych części systemu. Ważne jest, aby dostępu do systemu na podstawie danej tożsamości cyfrowej nie uzyskała osoba postronna.
Podawał przykłady pracowników zewnętrznych firm serwisowych. W takich sytuacjach dostęp do systemu może być wydawany nawet na kilkanaście minut.
„Jeżeli ktoś uzyska, dajmy na to, skompromitowane nasze hasło, to nawet bez naszej wiedzy może się włamać do systemu organizacji i skorzystać z tych uprawnień” – mówił Dariusz Kupiec.
Uprawnienia pracownika wraz z jego awansami, ewentualną degradacją, zmianą stanowiska pracy czy odejściem z organizacji powinny być we właściwym momencie zmieniane lub odbierane. Czasowe nadawanie uprawnień jest dobrym sposobem na zachowanie kontroli nad dostępem pracowników do różnych zasobów cyfrowych firmy.
Czytaj także: Wydarzenia i Opinie | Safebank 2023 | Ochrona tożsamości
Wnioski z Sarbanes–Oxley Act
Nasz rozmówca przywołał amerykańską ustawę Sarbanes–Oxley Act, która m.in. dotyczy uprawnień pracowników i regulaminów wewnętrznych w organizacjach.
Na przykład uznaje za niedopuszczalne nakładanie się na siebie uprawnień pracownika. Jak w przypadku już wspomnianej księgowej w organizacji.
Dostosowanie się do tych przepisów niweluje znacząco ryzyko fraudu w organizacji.
Jak stwierdził Dariusz Kupiec – najsłabszym ogniwem w dostępach do systemów organizacji są ludzie, najczęściej pracownicy zatrudnieni na najniższych szczeblach firmy. Ponad 80 procent ataków zaczyna się od użytkowników.
Zaatakowanie organizacji od wewnątrz już po pozyskaniu haseł od pracownika, jest dużo łatwiejsze od ataku z zewnątrz – zaznaczył nasz rozmówca.
Zagrożenia socjotechniczne, polegające na zmanipulowaniu przez przestępców pracowników, są coraz częstsze. W ostatnim czasie oszuści korzystają z tzw. deepfake’ów, gdzie podszywają się pod głos, a nawet wizerunek przełożonych pracowników.
Jednak jak przyznał Dariusz Kupiec – sposobem na obronę nawet przed tak skonstruowanymi atakami są odpowiednie szkolenia pracowników oraz wbudowane w system organizacji tzw. podwójne autoryzacje.
„Nawet jeżeli użytkownik zostanie zhakowany, ale jeśli dany przelew nie był wcześniej zaplanowany, to podlega dodatkowej autoryzacji innego pracownika” – mówił.
Wskazywał, że na przykład przelewy od określonej wysokości powinny być wykonywane po dodatkowej autoryzacji innego pracownika, przy zastosowaniu innych reguł lub po przeczekaniu danej dyspozycji przez jakiś czas.
