Még az elemzők is hatalmas felkiáltójellel figyelmeztetnek az IT-rendszerekhez kapcsolódó hozzáférési jogosultságok biztonsági kockázataira. A kiberbűnözők ugyanis ma már nem frontálisan támadnak, hanem az óvatlan alkalmazottak révén szerzik meg a cégek, intézmények kritikus adatait.
Több mint 20 éves IT-biztonsági szakértői múlttal a hátam mögött a saját tapasztalataim is azt támasztják alá, amire a Gartner tavaly júniusi iparági elemzése hatalmas felkiáltójellel figyelmeztet. Arra, hogy a biztonsági incidensek döntő többsége ma már – sőt a kutatócég felmérése szerint 2023-ra akár a 75 százalékuk is – a hozzáférési jogosultságok nem megfelelő kezelése miatt következik, következhet majd be.
A jogosultságok megadásánál felejthetőek a bevett gyakorlatok
Egyszerűen azért, mert a vállalatok, szervezetek a megszokások, a bevett gyakorlatok alapján állapítják meg, hogy ki, mihez férhet hozzá a szenzitív adatokat rejtő informatikai rendszereikben. A gyakorlat sokszor sajnos az, hogy az új dolgozók felhasználó jogosultságait a régi dolgozók szerepköreinek (jogainak) lemásolásával hozzák létre. Azok pedig szintén régi és mindig csak kiegészített, de teljes körűen soha felül nem vizsgált jogok sokaságából állnak.
A szerepkörökből nem emelik ki értő módon az idő közben szükségtelenné válókat. Emiatt terjednek a felesleges, túlzott és kockázatos jogosultságok, amelyekről az alkalmazottak többnyire nem is tudnak. Ebből lesznek aztán akár véletlen, akár szándékosság folytán a biztonsági vészhelyzetek.
Jó pár alkalommal magam is szembesültem ezzel a kihívással. Néhány éve egy hazai bank IT-security vezetőjeként olyan biztonsági incidens felderítésén dolgoztam, ami a számlaegyenlegek módosításához való jogosultsággal kötődött össze.
A visszaélést elkövető fiókhálózati dolgozó pont azt használta ki, hogy kiosztották neki és a többi fióki dolgozó kollégának is ezt a fajta hozzáférést, holott a munkájuk elvégzéséhez erre nekik nem lett volna szükségük. Arra a jogosultságra ugyanis csak a back office területnek volt szüksége. A problémát megoldottuk, de megelőzhettük volna a krízishelyzetet a jogosultságok előzetes és megfelelő mélységű feltérképezésével.
Jelentősen megváltoztak az adathalászati módszerek
Fontos látnunk, hogy ugyan a csúcstechnológiás védekezési mechanizmusok, megoldások erős védvonalként állnak ellen a külső behatolási kísérleteknek, de a trend már jó ideje nálunk is az, hogy a kiberbűnözők, az információkkal visszaélő profi adathalászok a frontális támadás helyett az a munkavállalók – önként vállalt vagy rákényszerített módon való – bevonásával szerzik meg.
Döbbenetes tény, hogy a magyar vállalatok háromnegyedénél is fordult már elő kisebb vagy nagyobb adatszivárgás. Ráadásul az adatokhoz való illetéktelen hozzáférés a cégek figyelmetlenségének, az alkalmazottak szabályozatlan jogosultságainak kihasználásával valósult meg.
A szaporodó adatlopások, az egyre sikeresebb adathalász próbálkozások, a zsarolóvírus támadások pedig vészcsengőként kell, hogy visszhangozzanak a vezetők, cégtulajdonosok fejében.
Rendszeres felülvizsgálatot igényelnek a jogosultságok
Egyértelmű, hogy korántsem elég a tűzfalak mögé rejteni a vállalati dokumentumokat. Akár felhőben, akár saját rendszereken tárolják a cégek az adataikat, csak akkor csökkenthetik igazán az őket fenyegető rizikót, ha pontosan meghatározzák és időről – időre felülvizsgálják, hogy személy szerint ki, mihez férhet hozzá, és elejét veszik a túlzott, a szükségtelen, illetve az összeférhetetlenséget jelentő jogosultságok kiosztásának.
Ez egy olyan gyökérprobléma a cégeknél, amelyet, ha nem kezelnek a súlyának megfelelően, akkor előre kódolják az információk, adatok illetéktelen kezekbe kerülését, ami a pénzügyi kockázatokon túl piaci versenyhátrányt is jelenthet a számukra.
Ennek a kihívásnak a preventív kezelésében a következőket ajánlott figyelembe venniük a vállalati és informatikai vezetőknek. A társosztályok (hr, pénzügy, jog) és külső szakértők bevonásával, valamint a megfelelő eszközökkel rendszeresen vizsgálják meg a felhasználóikat és a jogosultsági tartalmaikat.
Mérjék fel továbbá a reális kockázatokat, és zárják ki, amennyire csak lehet azokat a hozzáféréseket és felhasználókat, amelyek egyrészt a kihasználatlanságuk miatt a licencek szempontjából is csak viszik a pénzt, másrészt potenciálisan lehetőséget adnak bármilyen vállalati információ tudatlanságból fakadó, vagy rossz szándékú kiszivárogtatásának.
A szerző: az XS Matrix alapítója, a TheFence stratégája