II osa. Millise jalajälje jätad sina süsteemi – identiteedi ja juurdepääsude haldus

CYBERS 19. juuni 2019

Juurdepääsude haldamisel on hea järgida vähimate õiguste printsiipi (least privilege principle), kus kasutajale antakse just nii vähe õigusi, kui tal on vaja oma tööülesande täitmiseks. Kuigi nimi võib olla eksitav, rääkides vähimatest õigustest, siis mõte selle taga on anda täpselt vajalikud õigused – ei rohkem ega vähem, kui on vaja tööülesande täitmiseks. Õigusi on võimalik piirata mitmest aspektist:

  • aeg – piirata õiguste kehtivust ajas, nt 1.04.2019 – 30.06.2019; kehtiv kuni 2020 vms
  • funktsioon – lugemine, kirjutamine, kustutamine; raamatupidamine, turundus vms
  • andmed – arhiiv, Balti regioon, ärikliendid vms
  • loogika, arhitektuur jms piirangud – testkeskkond eraldatud toodangust; administraatoril õigus häälestada süsteemi toimimist, kuid mitte muuta andmeid andmebaasis vms

Näiteks kui müügiassistent ei koosta müügiaruandeid iga päev, siis peaks olema tema õigused piiratud konkreetselt nendele päevadele, mil ta neid vajab. Näiteks võiks arvutitöökoha administraatoril olla õigus muuta ainult nende seadmete konfiguratsiooni, millega seoses on talle laekunud tööülesanne ja sedagi ainult ajal, mil ta reaalselt sellega tegeleb.

Täiendavat tähelepanu vajavad eelispääsuga (privileged access) kasutajad ja kontod, millel on suur mõju süsteemi toimimisele või kogu organisatsiooni tegevusele ja seetõttu ka kõrgendatud oht tegevustega kaasnevatele kahjulikele tagajärgedele. Mis võiksid olla sellised kasutajad ja kontod, mis tunduvad pahalastele väga ahvatlevad, kui nad otsivad võimalusi kurja teha?

Nendeks võiks IT vaatest olla esmalt administraatorid, peakasutajad (power user) ja ka süsteemides vaikimisi defineeritud kontod, näiteks root, admin vms, mis tihtipeale on ühiskasutuses mitme füüsilise inimese poolt erinevatel ajahetkedel ja puudub võimalus tagantjärele üheselt tuvastada, kes täpselt mida, kus ja miks korda saatis.

Teiseks grupiks ulatusliku mõjuga kontodest on ärilises vaates olulisi otsuseid vastu võtvad isikud, nagu tegevjuht, pearaamatupidaja, ostujuht jms, kelle otsustega kaasnevad lisaks rahalisele aspektile ka organisatsiooni suurimaid riske mõjutavad detailid.

Kolmandaks grupiks võiks olla füüsilist juurdepääsu omavad osapooled – töötajad, koristaja, remondimees jms, ehk kõik inimesed, sest inimene on nõrgim lüli ja temalt on võimalik väga kergesti kätte saada turvalisust puudutavaid detaile füüsilise turbe kohta (mõni turvauks on sageli rikkis või mõne koridori signalisatsioon annab tihti alarmi) või esinedes telefonitsi IT-mehena või turu-uuringu küsitlejana tundmas huvi arvuti kasutuskogemuse vastu.

Kui tööle tuleb uus inimene, siis õiguste määramisel tuleks alustada vähimate õiguste tasemelt ja anda juurde õigusi vastavalt sellele, mida tingivad tema tööülesanded. See sunnib dokumenteerima ja lahti mõtestama olemasolevate ja vajaminevate rollide kasutamist ning teeb tervikuna läbipaistvamaks, kellel on millised õigused.

Kui rollide ja õiguste pilt on selgem, saab juurutada tegevused nende korras hoidmiseks (inventuurid, rollide lahusus, huvide konfliktid ja toksilised kombinatsioonid, elukaare haldus jms) ja lisaks sisemisele veendumusele süsteemi sihipärasest ning korrektsest kasutamisest, on võimalik seda tõendada ka välisele auditeerivale osapoolele.

Viimased postitused

26. sept. 2023

Mõistatuslik sumiseja – UVB-76

UVB-76 ehk the buzzer, on üks neist müsteeriumidest, mis on köitnud nii amatöörraadio entusiaste kui ka vandenõuteoreetikuid. Seekordses KüberCASTi saates on Saatejuhtidel Ronnie Jaanholdil ja Siim Pajusaarel külas Andrus Aaslaid – raadiosignaalide ja signaalianalüüsi entusiast, kes on hobikorras pühendanud aastaid UVB-76 ja sarnaste fenomenide uurimisele. Räägime fenomenist nimega UVB-76 mis oma olemuselt tundub lihtsalt sumisev raadiojaam kuid selle taga on peitumas palju muud.

Loe edasi
11. sept. 2023

Kes, mis ja miks on ISO 27001?

Saates räägitakse täpsemalt ISO 27001 standardist, selle vajalikkusest ning ka auditeerimisprotsessist. Selgeks saab see, et ISO 27001 sertifikaat on võimas tööriist infoturbe tagamiseks ja klientide usalduse suurendamiseks.

Loe edasi
28. aug. 2023

Tõus traditsioonilisest IT konverentsist tulevikku suunatud turvalisuse edendajani

Security Summit oli algupäraselt klassikaline IT konverents, mille peamiseks sihtgrupiks olid tehnilised spetsialistid. Konverentsi põhieesmärk on aga palju suurem – tõsta ühiskonna teadlikkust küberturvalisusest tervikuna. Seda mitte ainult IT-spetsialistidele, vaid kõigile, kes puutuvad kokku digitaalsete seadmete ja teenustega. Sel aastal on toimumas juba 14. Security Summit, olles suurem ja sisukam kui kunagi varem.

Loe edasi

Kas teil on probleeme küberkurjategijatega? Kas arvate, et olete ohus?

Pakume laiahaardelist valikut küberturvalisuse teenuseid, tooteid ja lahendusi. Vajaliku lahenduse paneme kokku vastavalt iga organisatsiooni vajadustele.