W wielu naszych wcześniejszych opracowaniach pisaliśmy o zagrożeniach związanych z atakami koncentrującymi sią na próbach kompromitacji tożsamości użytkownika, przejęciu jego danych logowania i wykorzystania ich do przeprowadzenia prób rekonesansu, a w efekcie ostatecznym przejęciu i wykorzystaniu aktywów atakowanej organizacji. Cyberataki, które skupiają się na takich właśnie metodach, stały się na przestrzeni ostatnich kilku lat jednym z najlepszych sposobów na przejęcie kontroli nad środowiskami informatycznymi. Cyberprzestępcy są w stanie bez skrupułów wykorzystać wszelkiego rodzaju podatności oraz fakt, że wiele organizacji zarządza danymi tożsamości pracowników w sposób niedostateczny. Dzięki temu mogą oni osiągnąć cele takie jak kradzież danych, pieniędzy czy poprzez ataki typu ransomware zahamowanie działalności całej firmy.
Między innymi ze względu na coraz większe ryzyko zaburzenia działalności instytucji, w tym finansowych, Parlament Europejski opublikował rozporządzenie, o którym pisaliśmy we wczorajszym artykule – DORA puka do drzwi. Ma ono na celu wzmocnienie bezpieczeństwa sektora finansowego w zakresie zarządzania ryzykiem związanym z ICT (z ang. Information and Communication Technologies). DORA dotyczy wszystkich podmiotów w sektorze finansowym, takich jak banki, ubezpieczyciele, fundusze inwestycyjne i dostawcy usług finansowych.
Mimo że akty wykonawcze nie zostały jeszcze zatwierdzone i opublikowane, postaramy się dziś przybliżyć różne aspekty wykorzystania systemów klasy IGA\IAM w kontekście zapewnienia zgodności z rozporządzeniem DORA. Organizacje, które podlegają tej regulacji będą musiały wykazać, że wdrożyły wszystkie ustalenia związane z zarządzaniem ryzykiem z ICT.
Jak IAM odpowiada na ustalenia określone w DORA?
Rozwiązania do zarządzania tożsamością i dostępami mogą tu odgrywać kluczową rolę z tego względu, iż pozwalają wdrożyć w sposób zorganizowany i uporządkowany procesy określające adekwatny do pełnionych obowiązków poziom dostępu do danych organizacji nie tylko dla jej pracowników, ale również dostawców zewnętrznych. Umożliwiają także okresowy przegląd dostępów, co redukuje niepotrzebne ryzyko związane z ich nadmiarowym przyznawaniem.
- Regularna ocena ryzyka (ICT Risk Management)
Dla obszaru zarządzania ryzykiem systemy do zarządzania dostępem (IAM) mogą pełnić istotną funkcję w raportowaniu, kto i dlaczego ma przyznany dostęp do określonej aplikacji czy zbioru danych. Co więcej, nie jest to tylko raportowanie określonego stanu, ale również kontrolowanie z wykorzystaniem różnych mechanizmów (np. zarządzanie przez role), kto taki dostęp powinien mieć i na jak długo. Istotną korzyścią, jaką oferuje IAM jest zautomatyzowanie wszystkich procesów związanych z tworzeniem czy wyłączaniem kont w zgodności z cyklem życia tożsamości w organizacji (JML) – unikamy niezamkniętych dostępów naszych niezadowolonych pracowników czy dostawców zewnętrznych nieświadomych ryzyka związanego np. z możliwością przejęcia ich poświadczeń, często z wysokim stopniem dostępu.
- Raportowanie incydentów cybernetycznych (ICT-Related Incident Reporting)
Jednym z bardziej znaczących obowiązków, jakie wymusza zgodność z DORA, jest wymóg rejestrowania i zgłaszania wszelkiego rodzaju incydentów związanych z bezpieczeństwem ICT. Prawidłowo wdrożone rozwiązanie IAM daje nam możliwość szybkiego określenia, do jakich obszarów środowiska IT dana tożsamość ma nadane uprawnienia i dostępy. Pozwala również na określenie, kto i kiedy oraz na jakim obszarze wykonał operację związaną z nadaniem tychże uprawnień i dostępów. Zauważmy, że posiadanie centralnego repozytorium danych o tożsamościach i ich uprawnieniach zapewnia szybkie raportowanie, do jakich danych tożsamości konta związane z incydentem bezpieczeństwa miały dostęp i na jakie inne obszary incydent mógł mieć wpływ.
- Ciągłe monitorowanie (Digital Operational Resilience Testing)
Spełnienie tego punktu regulacji rozporządzenia DORA związane jest z koniecznością realizacji okresowych testów infrastruktur IT pod kątem zapewnienia odporności na zagrożenia przed atakami cybernetycznymi, w tym również przeprowadzania testów penetracyjnych. Samo posiadanie systemu IAM oznacza, że także ten system musi być skontrolowany, a co za tym idzie – procesy przez niego realizowane. Dzięki temu organizacja weryfikuje, czy zadania związane z zarządzaniem uprawnieniami, tworzenie i wyłączanie kont, nadawanie i odbieranie uprawnień, okresowe kampanie recertyfikacyjne są realizowane zgodnie z procedurami i z polityką bezpieczeństwa firmy. Sam system IAM umożliwia nam natomiast wdrożenie reguł, które pozwalają na bieżąco monitorować takie zdarzenia jak naruszenia reguł SoD czy niezgodności związane z kontami (np. włączone konta AD zwolnionych pracowników czy kontraktorów).
Czy IAM jest niezbędny do zapewnienia zgodności z DORA?
DORA ma pomóc organizacjom z obszaru finansowego w zwiększeniu ich odporności na zagrożenia czyhające we współczesnej przestrzeni cyfrowej. Coraz większe skomplikowanie systemów, wykorzystywanie zasobów chmur publicznych, przenoszenie do chmury całego środowiska informatycznego oraz ciągłe zwiększanie liczby różnych typów tożsamości, które muszą być zarządzane w sposób prawidłowy, wprowadzają coraz to nowe obszary, które należy objąć ochroną. Odpowiednio dobrane narzędzia, takie jak rozwiązania IGA i IAM, niewątpliwie ułatwiają osiągnięcie celu.