Aby se zahradník nestal kozlem aneb jak ohlídat správce IT
Správci ohlídají uživatele, ale kdo ohlídá správce? Už řadu let firmy používají identity management, který střeží, kdo k jejich informačním systémům přistupuje a co v nich dělá. Ale zcela opomíjejí, že stejným způsobem je třeba hlídat i ty, kteří celé IT nastavují. Více se dočtete ve sloupku šéfa delivery týmu v NEWPS Davida Čečelského.
Provést kyberútok tak, že prolomíte šifrovanou komunikaci nebo rozluštíte hesla, je poměrně složité. Mnohem jednodušší je získat, ať už jakýmkoli způsobem, přístup jako jiný oprávněný uživatel. Proto je zásadním prvkem zabezpečení informační infrastruktury identity management neboli správa identit – software, který střeží, jaký uživatel k systému přistupuje a co v něm dělá. Na trhu jsou taková řešení desítky let a běžně se používají.
Jenže jsou tu ještě obrazně řečeno zahradníci, kteří se mohou stát kozly, a to jsou správci IT v dané instituci. Na ně pamatuje privileged identity management – software, jenž hlídá, co dělají ti, kteří mají oprávnění nastavovat v systému konfigurace, jinak též majitelé správcovských účtů. Toto řešení je dostupné už více než deset let. Ale za celou svoji praxi jsem se s ním u zákazníků nesetkal. Dělali jsme řadu výběrových řízení, ale nakonec jsme privileged identity management nikde nezavedli.
Přitom z mého pohledu je to naprosto zásadní věc. Jen pro ilustraci: pro běžné uživatelské účty se zcela běžně nastavují různé restrikce ohledně délky a komplexnosti hesla a vynucují se pravidelné změny. Na administrátorské účty se však obvykle tyto restrikce nevztahují – respektive nejsou zde nastaveny. Přitom takových správcovských účtů mohou být v jedné společnosti klidně i desítky.
Privileged identity management samozřejmě stojí peníze, zavádí omezující pravidla, která obtěžují přímo „ajťáky“ například dvoufaktorovým ověřením některých operací, a navíc ukládá záznamy o jejich činnosti. IT správci by tím vlastně šli sami proti sobě. Jenže tahle bezpečnostní díra může být opravdu nebezpečná. Stejně jako když se kriminálníkem stane policista nebo mafiánem soudce.
Ing. David Čečelský
Delivery Director
NEWPS.CZ s.r.o.
