Tapatybių ir prieigos valdymas: kodėl dabar tinkamas laikas juo pasirūpinti

Tapatybių ir prieigos valdymas: kodėl dabar tinkamas laikas juo pasirūpinti

2018-07-16

Dar visai neseniai naujo kompiuterio suteikimas darbuotojui reikšdavo šventę skyriuje ir kelias darbo valandas diegiant reikalingas programas bei personalizacijas IT administratoriui.  Šiandien darbuotojai darbui naudoja po kelis įrankius, tarp kurių kompiuteris, ne būtinai pagrindinis, o IT skyriai turi užtikrinti, kad tie įrankiai būtų pakeičiami taip greitai ir dažnai kaip to reikia verslo plėtrai užtikrinti, klientų poreikiams patenkinti, darbuotojų motyvacijai pakelti, darbui iš namų pritaikyti ir kitiems poreikiams, kuriuos diktuoja didelė šiuolaikinių organizacijų veiklos dinamika. Prie visų šių poreikių prisidėjo dar vienas iššūkis –  nuo 2018 m. gegužės 25 d. organizacijos privalo vykdyti duomenų apsaugą remiantis BDAR. Holistiniu požiūriu vertinant organizacijų IT skyriams kylančius vis naujus uždavinius, galima tvirtai teigti, kad tapatybių ir prieigos valdymas (toliau IAM – angl. identity and access management) informacinių technologijų srityje tampa viena pagrindinių kasdienės veiklos sričių.

Dabartinė situacija Lietuvoje su tapatybių ir prieigos valdymu

Iš vykdomų įvairaus profilio ir skirtingų sričių informacinių technologijų diegimo projektų Lietuvos klientams matome, kad tapatybių ir prieigos valdymas vykdomas tiesiog suteikiant darbuotojams prieigą prie jų naudojamų informacinių sistemų. Dažniausiai tam naudojama priemonė – Microsoft Window Server Active Directory tarnyba, kurios pagalba papildomai dar yra valdomi darbuotojų kompiuteriai. Atrodytų, kad didelių problemų šioje vietoje nėra. Tačiau vykdomų projektų metu (programinės ir kompiuterinės įrangos inventorizacijos, sistemų migravimai, kompiuterinių tinklų apjungimai su debesų kompiuterijos paslaugomis, kt.) dažnai pastebime šiuos IAM sprendimų trūkumus:

  • IAM nėra atskiras procesas, bet tik sistemų administratoriaus darbo dalis, prižiūrint bendrą sistemų veikimą – prieigą kontroliuoja IT, bet ne funkcinių padalinių atstovai. Dažnai kyla naujų sistemų integravimo į esamą IAM problemų, kai sistemų įsigijimu rūpinasi funkcinių padalinių vadovai, neatsižvelgdami į turimą IAM ir jo funkcines galimybes;
  • organizacijose nėra aiškių taisyklių, kaip darbuotojai yra įtraukiami į IAM (virsta sistemų vartotojais) ir iš šios sistemos pašalinami, kaip jiems suteikiamos prieigos teisės prie skirtingų resursų, kaip turi būti kontroliuojamas vartotojų prieigos galiojimas. Dažnai tai būna iš praktikos nusistovėjusi tvarka, kuri nėra niekaip oficialiai dokumentuota ir patvirtinta;
  • proceso ir taisyklių nebuvimas įtakoja tai, kad IAM vykdomas ad-hoc principu – vartotojų teisės valdomos kiekvienam vartotojui atskirai, menkai išnaudojamas prieigos teisių valdymas remiantis vartotojų grupėmis ir šabloniniais teisių rinkiniais, IAM duomenų bazėse laikomi pasenę ir nebenaudojami vartotojų profiliai, vartotojai turi perteklines arba nepakankamas teises;
  • vartotojų teisių suteikimas ir koregavimas vyksta pagrinde rankiniu būdu, naudojant aptarnavimo tarnybos (angl. helpdesk) užklausas. Todėl šis procesas yra neefektyvus, ilgai trunkantis bei ribojantis darbuotojų produktyvumą;
  • didesnėse organizacijose naudojamas didelis kiekis sistemų, kurios naudoja skirtingas vartotojų duomenų bazes, kurias reikia atskirai administruoti. Vartotojams tenka naudoti keletą vartotojų profilių, atsiminti skirtingus slaptažodžius. Darbuotojai bandydami supaprastinti prisijungimą prie sistemų naudoja nesudėtingus slaptažodžius, skirtingose sistemose naudoją vieną ir tą patį slaptažodį, kartais jį užsirašydami ir laikydami darbo vietoje;
  • nesant centralizuotos ir efektyviai veikiančios IAM infrastruktūros, organizacijos gana sudėtingai diegia tokias papildomas IAM priemones kaip vieningas prisijungimas (angl. single sign on), kelių lygių autentifikavimas (angl. multi factor authentication), savitarnos tarnyba slaptažodžių keitimui ir prieigos teisių valdymui, sąlyginė prieiga (angl. conditional access), prieigos prie sistemų kontrolė (kas, kur, kada, su kokiomis teisėmis gali jungtis ir jungėsi konkrečiu metu praeityje) ir t.t. Šios priemonės yra naudingos siekiant tinkamai valdyti vartotojų tapatybes ir jų prieigą prie IT sistemų pagal Bendrojo duomenų apsaugos reglamento reikalavimus, organizacinius ir techninius kibernetinio saugumo reikalavimus.

Tik vienai iš 10 Lietuvos organizacijų būtų galima parašyti 7 balus iš 10, vertinant jų IAM organizavimą ir įgyvendinimą. Situacija lėtai keičiasi, nes vis dar manoma, kad IAM vykdymas – tai IT skyriaus atsakomybė. Didžiausi ir esminiai pokyčiai vyksta tik tose organizacijose, kur šio proceso vykdymo atsakomybė bei kontrolė yra perduodama žmogiškųjų išteklių skyriaus arba net vadovybės atstovams.

Kodėl dabar?

Šiuo metu daugelis įmonių vykdo savo IT ūkių transformaciją iš nuosavos infrastruktūros turėjimo (angl. on-premise) į debesų kompiuterijos paslaugų naudojimą. Šios transformacijos metu dažnai yra peržiūrima ir atnaujinama IAM tvarka. Tai įtakoja debesų kompiuterijos modelio SaaS (angl. software as a service) dominavimas tarp kitų debesų kompiuterijos paslaugų teikimo būdų. Šiame modelyje SaaS resursų priskyrimas ir apskaita vykdoma skaičiuojant vartotojų, kurie naudojasi resursais kiekiu, valdant jų teises skirtingų paslaugų lygiu. Todėl debesų kompiuterijos paslaugų teikėjai verčia organizacijas naudotis jų resursais pagal gerąsias IAM praktikas ir jas taikyti organizacijų vidinėse sistemose, kad būtų galima apjungti šias dvi aplinkas į vieną bendrą centralizuotą IAM infrastruktūrą. Tad vienas iš faktorių, skatinančių IAM valdymo tobulinimą – debesų kompiuterijos SaaS tipo paslaugų greitas populiarėjimas Lietuvos organizacijų tarpe. Kitas svarbus faktorius – BDAR įsigaliojimas ir finansių nuobaudų taikymas dėl šio reglamento reikalavimų neužtikrinimo. Didelė dalis šio reglamento rekomendacijų yra susiję su informacinių sistemų vartotojų tapatybių valdymu bei nurodo, kad tapatybės turi būti valdomos, nuolatos kontroliuojamos ir užtikrinama, kad vartotojai prieina tik prie tų sistemų, kurios yra būtinos jų darbo atlikimui. Taip pat yra reikalaujama, kad IAM turėtų ne tik valdyti ir kontroliuoti vartotojų prieigą, bet tuo pačiu ir nuolatos kaupti audito įrašus, susijusius su IAM veikla, bei turėti priemones jų analizei, ataskaitų teikimui realiu laiku, nesankcionuotų prieigų identifikavimui ir atsakingų asmenų informavimui incidento identifikavimo momentu. Ši reikalavimų dalis dažniausiai nebuvo vykdoma organizacijų su standartinėmis IAM priemonėmis ir iki šiol tik viena kita turi technologines galimybes jų įgyvendinimui. Tad didinant BDAR reikalavimų vykdymo priemonių sąrašą organizacijų viduje, primygtinai rekomenduojama vienu iš pirmų veiksmų atskirti IAM kaip atskirą veiklos vykdymo procesą, priskirti atsakingą už jį pareigybę, peržiūrėti esamą IAM tvarką, įvesti standartines rašytines IAM taisykles bei su laiku pradėti diegti papildomas IAM technines priemones (pvz.: kelių lygių autentifikavimas, privilegijuotų tapatybių valdymas). Net ir organizacinių BDAR priemonių įgyvendinimas reikalauja atlikti dali IAM audito užduočių:

  • identifikuoti duomenų, kuriuos reikia apsaugoti, šaltinius bei saugojimo vietas;
  • nustatyti darbuotojus ir jų grupes (pagal pareigybes, pagal ofiso lokaciją, pagal šalį, t.t.), kurie gali dirbti su apsaugotais duomenimis;
  • oficialiai įforminti, kas nustato ir kas patvirtina atskirų darbuotojų ar jų grupių teises darbui su apsaugotais duomenimis;
  • parengti matricą, kurioje būtų nustatomas ryšys tarp apsaugotų duomenų šaltinių / saugojimo vietų (tame tarpe informacinių sistemų) ir darbuotojų / darbuotojų grupių;
  • numatyti priemonių sąrašą, kurių pagrindu būtų užtikrinama, kad nebus pažeisti ryšiai, numatyti aukščiau įvardintoje matricoje. Taip pat įvardinamos priemonės, kurios bus naudojamos ryšių pažeidimų identifikavimui ir atsakingų asmenų informavimui.

Organizacijose vykstant minimiems pokyčiams, įtakotiems debesų kompiuterijos paslaugų įsisavinimo ir BDAR reikalavimų priemonių stiprinimo, IAM sutvarkymas turėtų būti vienas pirmųjų darbų, kuriuos turi atlikti organizacijos. Tai svarbu atlikti nuo pat pradžių, kitu atveju, vėliau IAM infrastruktūra bus formuojama pagal įdiegtų sistemų ir technologinių priemonių galimybes, o ne realius organizacijų reikalavimus. Gerųjų IAM praktikų taikymas tokiu atveju bus sudėtingas uždavinys. Turint efektyvų IAM procesą, pradėti taikyti debesų kompiuterijos paslaugas ar diegtis BDAR priemones būtų daug paprasčiau, nes joms bus galima aiškiai suformuoti reikalavimus ir atsirinkti tokias, kurios stiprins tiek IAM proceso kokybę, tiek didins organizacijos lankstumą debesijos paslaugų pagrindu, tiek papildys BDAR priemonių sąrašą naujomis funkcinėmis galimybėmis.

 

Rimas Kareiva
IT sprendimų projektų vadovas