Van egy IT biztonsági terület, amely bár igazán nem tekinthető újnak, de még mindig gyerekcipőben jár a hazai cégeknél: ez a jogosultságkezelés, amelyet sajnos mostohagyerekként kezelnek, cégmérettől függetlenül. Bár akadnak olyan vállalatok, melyeknél valamiféle kötelezettségből kifolyólag - például törvényi előírások miatt - odafigyelnek erre is, egy nagy részük még mindig nem ébredt rá az IDM rendszerek használatának fontosságára. Sok helyen faék egyszerűségű megoldásokkal igyekeznek felülkerekedni ezen a kérdéskörön, s így számtalan olyan gyenge láncszem kerül a gépezetbe, amelyek később komoly - akár erkölcsi, akár anyagi - károkat okozhatnak a cégnek.
Rengeteg ilyen hibalehetőségre derül fény a különféle belső vizsgálatoknál, ahogy az általunk végzett auditok során is igen gyakran szisszen fel egy-egy döntéshozó, amikor szembesül vele, mennyi feleslegesen kiadott jogosultsággal van tele a rendszer. Legtöbbször már az IDM bevezetés első fázisánál meglepetés éri a cégeket, milyen rejtett buktatóról nem volt tudomásuk.
Hazai tapasztalatok
Magyarországon vannak olyan szektorok, ahol a megfelelően kialakított jogosultságkezelés alapvető elvárás. Ilyen például a pénzügyi és banki szektor, ahol fontos az elszámoltathatóság azzal kapcsolatban, hogy egyrészt ki, mikor, kinek, milyen hozzáférési engedélyeket kért és állított be, másrészt ez milyen jóváhagyási folyamaton ment keresztül. A legnehezebb ezeket az információkat azonososítható módon együtt kezelni.
A vállalatok egy tekintélyes része persze látja, hogy jogosultság menedzsmentre szükség van. Kialakítanak ad-hoc folyamatokat, megneveznek jóváhagyókat, beállítókat. Ám amennyiben ezek a folyamatok nem automatizáltak, azzal fognak szembesülni, hogy jelentős terhet ró az IT-ra a folyamatok működtetése, a jogosultság ellenőrzésekhez riportok, kimutatások készítése. Ha SLA-t is vállaltak a folyamatokra, akkor ezek mérését is meg kell oldani. Mindez jelentős erőforrásokat von el az IT-tól, ráadásul ez tipikusan az a munka, amit a rendszergazdák rosszul viselnek. Mivel ezek a fennakadások a folyamatokat is lassítják, így az IT mellett az üzleti oldalon is elégedetlenséget szítanak.
Még mindig léteznek olyan cégek, amelyek úgy gondolják, elegendő az Active Directory-ban (röviden AD) menedzselni a felhasználókat és jogosultságaikat. Ilyenkor általában kimarad a számításból, hogy léteznek olyan alkalmazások, amelyeket nem integráltak az AD-vel, ámde használatban vannak a cégnél. Ezeknél teljesen eltérő módon kell kiosztani a jogosultságokat, így később könnyen a feledés homályába merül, kinek, mit engedélyeztek velük kapcsolatban.
Az esetek többségében képtelenség átlátni az így kiosztott hozzáféréseket, bár ez sok esetben nem okoz azonnali gondot. Idővel azonban érkezik a probléma is, ha más nem akkor, amikor egy kolléga elhagyja a céget. Egy idilli világban, mielőtt elválnak útjaik, a cégvezető és az ex-munkatárs barátságosan megöleli és jó kívánságokkal halmozza el egymást. De lássuk be, e jelenet azért viszonylag ritkán zajlik le felmondások és elbocsátások során. Ám ha egy távozó kolléga viszi magával a céges hálózatokhoz, alkalmazásokhoz, Facebook és LinkedIn fiókokhoz, honlapokhoz hozzáférést biztosító jogosultságait is, az rosszabb esetben akár anyagi vagy erkölcsi veszteséghez is vezethet, az esetleges bosszúhadjárat “sikerének” függvényében (sokszor még csak admin jogkör sem szükséges egy komolyabb károkozáshoz). Ráadásul a különféle felhő alkalmazások, közösségi oldalak, blogok általában nincsenek összekötve az AD-val, így meglehetősen körülményes utólag összeszedni, hogy a távozó kollégának mégis mihez volt hozzáférése. Mellesleg a legkedvesebb, a cég iránt végsőkig lojális kollégával is előfordulhat, hogy ő maga is képtelen megmondani, mi mindenhez kapott már hozzáférést a cégnél az elmúlt évek alatt, pláne, ha azok egy részével csak a ”jobb ha ő is eléri” felkiáltással ruházták fel, de sosem használta. E jogosultságok - például egy banki hozzáférés - már kiosztásra kerültek, s bármikor rossz kezekbe kerülhetnek, ami visszaélésekhez vezethet.
A kilépők megmaradó jogai mellett másik fájó pont lehet az érzékeny adatok hozzáféréseinek kezelése. Az adatvagyon egy részét kiemelten kell kezelni: itt azt is fontos látni, hogy ki az, akinek közvetlen (nem AD csoporton keresztüli) hozzáférése van vagy ki kapott hozzáférést jóváhagyás nélkül. Ezeket a kérdéseket rendkívül nehéz megválaszolni egy IDM rendszer nélkül.
De akad még példa bőven: ha egy cégnek - bármilyen okból - egy másik vállalat weboldalához van hozzáférése korlátlan ideig, az idő múlásával ez is előidézhet váratlan és kellemetlen helyzeteket. Naív dolog elvárni (bár sokan megpróbálják), hogy az adott cég küldjön időnként egy írásos összefoglalót a ráruházott elérések felülvizsgálatához. Ráadásul egy ilyen lista összeállítása és átnézése egyaránt körülményes, s legtöbbször nem is lehet kellően alapos. Emellett frissen tartani is meglehetősen zűrös egy efféle nyilvántartás-szerűséget, pláne ha e-mailben vagy papíron zajlik az egyeztetés.
Tiszta sor persze, hogy egy IDM rendszer esetében is csak az kerül rögzítésre, amit a cég a rendszerhez kapcsolt. De ilyenkor legalább online és offline is összeköthetjük a különböző rendszereket, így aztán egy esetleges kilépésnél átlátható képet kapunk az aktuális helyzetről. Egy ilyen központi nyilvántartással teljes rálátásunk van mindenre, s akár automatikusan elindíthatunk egy teljes körű jogosultság törlési folyamatot. Arról nem beszélve, hogy mennyivel kényelmesebb és gyorsabb, ha - megfelelő jogosultsággal persze - bármely illetékes azonnal lekérheti a távozó kolléga összes hozzáférésének listáját, ahelyett, hogy ezzel a kéréssel még egy operátort is feltartana… pardon, felkeresne. :)
Távmunka és irodai munka esetén egyaránt előnyös
Bár az ember elsőre azt gondolná, hogy a jogosultságkezelés csak az irodán belüli munkát érinti, a COVID-19 járvány kapcsán sokan szembesülhettek azzal, hogy bizony az otthonról végzett távmunka esetében is sok esetben hasznosnak bizonyul, ha tisztában vagyunk, kinek, mire van jogköre. A közvetlen kontaktus - illetéktelen hozzáférés egy magára hagyott gépről az irodában, vagy egy váratlan betörés során rossz kezekbe kerülő céges laptop otthon - okozta rizikót is könnyebb keretek közé szorítani, ha tudjuk, mihez kell nyúlni egy váratlan incidens esetén.
Emellett az is egyértelmű, hogy nem csak a bankszektor az, amelynél kötelező az IDM rendszerek bevezetése. Jól jöhet minden olyan cégnek, amelyek – a 2013 évi L tv., információbiztonsági törvény rendelkezései alapján - kritikus alkalmazásokkal dolgoznak, vagy ahol száz főnél nagyobb a létszám és több alkalmazást is használnak a szerteágazó szervezetben.
Változó rendszerbeállítási körülmények, de egyértelmű haszon
Maradt még egy lényeges kérdés: miként és mennyi idő alatt lehet bevezetni egy cégnél az IDM megoldásokat? Nos, azt kell mondjuk, hogy tapasztalataink szerint ez igen változó.
Fogódzóként leszögezhetjük, hogy minden ilyen bevezetés egy részletes felméréssel kezdődik, amikor személyesen elbeszélgetünk az ügyféllel, és átnézzük, melyek azok a fájó pontok, amelyek számára nehézséget okoznak. Ha tudjuk, milyen problémák merültek fel, már tudunk javaslatot tenni, s megtaláljuk a megfelelő megoldást.
A felmérés és a bevezetés időtartama változó. Bár nem jellemző, de előfordul, hogy akár egy-két évet is igénybe vesz, attól függően, hogy az adott szervezet mennyire érett a rendszer bevezetésére. De szerencsére a legtöbb esetben belátható időn belül sikerül kialakítani a szükséges adatstruktúrát és kiosztani az egyedi azonosítókat, amelyek alapján már a megfelelő fiókokhoz, felhasználókhoz rendelhetők a jogosultságok. Sokat gyorsíthat a folyamaton, ha eleve rendelkezésre állnak a szükséges HR adatok, alkalmazások és így rövid idő alatt auditálható a rendszer. Ha az alapokat összeraktuk, jöhet a finomhangolás, míg végül kialakul a tökéletes és átlátható jogosultságkezelő rendszer. Bár az IDM megoldások bevezetése nem egyszerű, a folyamatot megkönnyíti, hogy rengeteg sztenderd megoldásra lehet építeni. Az pedig már csak hab a tortán, hogy a biztos alapokra épített rendszer kellően testreszabható ahhoz, hogy tökéletesen idomíthassuk az ügyfél igényeihez.
Mindent egybevetve tehát megéri mind az idő, mind az anyagi ráfordítást egy IDM rendszer bevezetése, szinte bármely közepes vagy nagyobb cég esetében. Rengeteg kellemetlen helyzettől - és akár anyagi kártól - kímélhetjük meg a céget, egy ilyen megoldással.
