Jak si skvělý manažer poradí ve své firmě s ochranou dat pomocí autentizace
Ochrana identity a zabezpečení firemních dat a systémů je v dnešní době již zavedenou realitou a v podstatě již povinnou výbavou většiny firem, které potřebují ochránit svá důležitá data.
Během práce se přihlašujeme běžně do svého osobního počítače nebo různých systémů a je to v podstatě rutinní činnost. Stejné je to např. s přístupem do budov, popř. povolení či zamezení přístupu různých lidí na různá místa na pracovišti.
Pokud ale tuto rutinu musíme provádět několikrát denně, chceme mít zajištěnu vyšší bezpečnost při přihlašování a musíme si pamatovat více složitých hesel, tak se s tímto postupem již tak snadno nespokojíme. Navíc se nepřihlašujeme jenom my, ale i kolegové, a to ještě na různých úrovních přístupů a zabezpečení.
V tom případě již potřebujeme sofistikovanější řešení. Přinášíme vám tedy na toto téma přehled nejrůznějších technologií a zejména pohled na problematiku očima IT manažerů či majitelů firem, kteří bezesporu řeší zabezpečení svých dat dennodenně.
Ing. Petr Nepustil, vedoucí divize Produkce
Obsah:
Autentizace – co to je a k čemu slouží
Autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,… není nic jiného než postup, jak uživatel přesvědčí počítač (IT systém), že je to on a ne někdo, kdo se za něj vydává. Dobrý manažer, na rozdíl od lidí z IT oddělení ví, že autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,… ve firmě je něco diametrálně odlišného než autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,… k aplikacím, jako je např. Facebook. Nemluvě o cloudových službách, jako je např. Google Drive či Dropbox.
Majitel firmy Oracle Larry Ellison správně říká, že neexistuje žádný cloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… – je to jen počítač, který patří někomu jinému. V tom samozřejmě tkví potenciální nebezpečí – k datům může mít přístup více lidí. Co s tím? Pokud používáte ve firmě cloudJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré…, máte možnost si jej nechat zkonfigurovat tak, aby autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,… uživatelů probíhala přímo u vás. Díky tomu pak máte autentizaci pod kontrolou a když někoho např. propustíte, je možné mu zablokovat přístup úplně všude a v podstatě dříve, než opustí personální oddělení. A to je důležité!
Co chtít po IT oddělení a jak kontrolovat splnění cíle?
Dobrý manažer by neměl z principu nechat samotnou autentizaci pouze na lidech z IT oddělení. Je to vždy spolupráce obou entit. Manažer sám by totiž měl řídit rozdělení práv a IT oddělení vykonat práci samotnou. Pokud se celá věc nechá jen na IT oddělení, hrozí nebezpečí přístupu k citlivým datům pro nesprávné osoby a např. i potencionální demonstrace síly ze strany IT oddělení vůči zaměstnancům, kteří jsou z jejich pohledu problémoví apod.
Autorizace
Proč je autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,… důležitá, je nasnadě – firemní data je potřeba chránit před neautorizovaným přístupem. Autorizaceje určení oprávnění uživatele v daném kontextu. Autentizace nám řekne, kdo je uživatelem a autorizace pomocí tzv. ACL pak souborovému systému řekne, co uživatel může… je sestřenicí samotné autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,…. Autorizaceje určení oprávnění uživatele v daném kontextu. Autentizace nám řekne, kdo je uživatelem a autorizace pomocí tzv. ACL pak souborovému systému řekne, co uživatel může… je přidělení přístupu k datům (např. ke složce na serveru, kde je soubor mzdy.xls) nebo oprávnění k nějaké akci (např. poskytnutí slevy zákazníkovi). Uživatel je reprezentován svým účtem. Například p. Petr Novák má účet firma/pnovak a tomuto účtu jsou přidělena určitá oprávnění – autorizaceje určení oprávnění uživatele v daném kontextu. Autentizace nám řekne, kdo je uživatelem a autorizace pomocí tzv. ACL pak souborovému systému řekne, co uživatel může….
Důležité tedy je, jak spolehlivě autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,… dokáže ověřit, zda se skutečně jedná o p. Petra Nováka, než jej systém pustí „dovnitř“, aby mohl dělat svoji práci.
Opakovaná přihlášení
Správný manažer také ví, že p. Novák je najat na práci pro zákazníky, ve výrobě či v účtárně. Avšak ne na to, aby se přihlašoval (autentizoval) do svého počítače/systému. To mu v podstatě zabírá jen čas, který by měl využít jinak. Důležitá otázka tedy zní, jak to dlouho mu samotná autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,… trvá a jak často ji (jako průměrný zaměstnanec) vlastně během dne dělá.
Chcete-li mít bezpečné pracovní prostředí z pohledu ochrany dat, musí být každé zařízení bezpečně uzamčené. Běžní uživatelé se do pokušení mohou dostat velmi snadno – např. když kolega opustí svůj počítač, aby si uvařil kávu. A nechá přitom neuzamčený počítač s otevřenou tabulkou mzdy.xls. Řešením je vydání celofiremního pokynu, aby při nepřítomnosti zaměstnance byl vždy počítač uzamčený. Tím se samozřejmě zvýší bezpečnost, ale nastane menší problém – uživatel se po návratu z kávy musí přihlásit. Docílíme tím tedy toho, že se počet přihlášení k zařízení během jednoho dne neuskuteční pouze jednou, ale třeba i desetkrát. Pokud čtete tento článek a pracujete v nemocnici, tak se usmíváte správně – je to třeba čtyřicetkrát.
Prostě potřebujeme autentizaci, která je svižná a neobtěžující a může ji bez problémů provádět i v IT průměrně vzdělaný člověk. Rychlost a přiměřená jednoduchost je klíčem k pravděpodobnosti, že se zaměstnanci budou přihlašovat řádně a nebudou mít snahu „obcházet systém“.
Reálné problémy s jednoduchou autentizací
Nejčastější autentizační metodou je vložení jména a hesla. Je rozumně „levná“, všichni ji znají a v mnoha situacích nejde ani nic jiného použít. A určitě jste se setkali s tím, že vás IT oddělení, auditor nebo dokonce zákon nutili k tomu, abyste si jako heslo nastavili řetězec dlouhý 17 a více znaků s vysokou složitostí. Tím se dostáváme k další manažerské a zcela legitimní otázce – k čemu je to třeba, když např. PIN vaší kreditní karty má jen 4 číslice?
Mohou za to vaše Windows. Bohužel. Pokud máte Windows např. na svém pracovním notebooku a přihlašujete se do nich stejným jménem a heslem jako do sítě (tedy reálně stejně přes den v práci a doma večer), tak máte potenciální problém. Vaše heslo je na vašem notebooku uloženo v modifikované formě, které se říká „hashje otisk původní zprávy. Heslo, text, apod. je matematicky převedeno na kombinaci krátkého řetězce písmen a číslic o fixní délce znaků. Používá se především pro…“. Servery, ke kterým se autentizujete do sítě v práci, jsou uložené v serverovně s omezeným přístupem a nikdo se k nim jen tak nedostane. K vašemu počítači už ale ano. Útočník si z něj může nahrát soubor, který hashje otisk původní zprávy. Heslo, text, apod. je matematicky převedeno na kombinaci krátkého řetězce písmen a číslic o fixní délce znaků. Používá se především pro… vašeho hesla obsahuje a pokusit se z něj heslo zjistit. A když heslo není dostatečně bezpečné (délkou a složitostí), tak se mu to pravděpodobně podaří.
Dalším problémem navíc je, že ani dostatečně „bezpečné“ heslo není řešením. Vy jako manažer i vaši podřízení jste nakonec také jen lidé a váš dokonalý mozek příroda nestvořila proto, aby si generoval a pamatoval správná a bezpečná hesla. Případnému útočníkovi, který chce zjistit vaše heslo a má v rukách soubor z vašeho počítače s hashem, stačí pouze použít slovník. Což je jednoduše velká databáze všech hesel. A v těch nejlepších databázích je, i když je to k nevíře, třeba 96 % všech hesel, která kdy na celém světě byla použita.
Vícefaktorová autentizace
Proto používáme ve světě IT vícefaktorové autentizační systémyje sled několika procesů, kterými se ověří identita uživatelů. Tím se zvyšuje pravděpodobnost ověření skutečného uživatele a ne útočníka….. Tedy systémy, které podporují různézpůsoby prokázání totožnosti uživatele a které vám umožní použít dva najednou.
Možná jste už slyšeli, že vícefaktorová autentizaceje sled několika procesů, kterými se ověří identita uživatelů. Tím se zvyšuje pravděpodobnost ověření skutečného uživatele a ne útočníka…. znamená, že se uživatel přihlásí pomocí chytré karty. Tady vás musíme zklamat – není. Je to jiná metoda, než je jméno/heslo, ale je to opět jen jedna metoda autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,…. Vícefaktorové přihlašování skutečně znamená, že se uživatel přihlásí dvakrát různým způsobem.
Vraťme se nyní k manažerskému pohledu na věc – ve firmě je spousta systémů, které si nezaslouží přehnaně bezpečnou autentizaci. Ostatně taková karta, která vás pustí do budovy, na parkoviště nebo s ní můžete je v hromadné dopravě, nevyžaduje vlastně nic navíc. Ani PIN. Prostě stačí, že ji máte a že ji přiložíte k nějaké čtečce. Když kartu ztratíte, tak to nahlásíte na příslušném oddělení. Tam ztracenou kartu zablokují a vy dostanete novou. A uživatel to zpravidla udělá hned, protože do budovy či na parkoviště prostě potřebuje vstoupit. Stejně použitelné je to i např. pro záznam docházky.
Pro klíčový informační systém a ochranu důležitých dokumentů apod. je to ale nedostačující. Zde je vhodné a někdy i povinné použít některý druhý faktor – druhé přihlášení. Jako např. přihlásit se jménem a heslem a při tom použít kartu. Důležité je také si uvědomit, že není nutné a často ani možné, aby způsob přihlášení dvěma faktory na výkonném počítači s Windows byl stejný jako na telefonu nebo tabletu. Ty jsou třeba také výkonné, ale nelze k nim připojit stejná zařízení jako k počítači. Třeba čtečku pro kartu. Tím pádem musí být druhým faktorem pro přihlášení jiný způsob.
Náklady spojené s autentizací
Pro vícefaktorovou autentizaci tedy existuje vcelku široká nabídka specializovaných technologií. A doména Microsoft, kterou možná provozujete ve vaší firmě, mezi ně nepatří. To ale nemusí vadit – antivirus asi také máte od jiného výrobce, než je Microsoft. A zde je důležité poznamenat jednu důležitou věc – než pověříte IT oddělení, aby nějaký vhodný systém navrhlo, soustřeďte se na náklady. Nejlevněji vyjde téměř vždy to, co již ve firmě máte a provozujete. Ideálním kandidátem je právě onen čip. Buď v klasické plastové kartě (nebo jiné libovolné podobě) a který slouží k otevírání dveří, vjezdu na parkoviště, zadávání docházky, použití kopírky apod. Téměř všichni zaměstnanci ve firmě ho mají, všichni s ním umí zacházet a náklady na jeho pořízení jsou vlastně (téměř) nulové – protože jste jej už do firmy pořídili dříve a dáte mu jen nové využití.
Čipy a jejich čtečky
Abyste takový čip mohli použít k autentizaci na počítačích (mimochodem, na mobilech to určitě nepůjde), budete potřebovat použít čtečky čipů. Na ty se nyní v článku zaměříme více, protože čtečky mohou různí dodavatelé (namlsaní z dotovaných projektů) prodávat opravdu draho.
Technicky je totiž velký rozdíl, zda potřebujete čtečku použít jen k prokázaní totožnosti uživatele anebo zda s ní chcete počítač i ovládat. Tzn. karta je u zaměstnance přítomna = počítač je odemčený a zaměstnanec pracuje anebo karta přítomna není a počítač je uzamčený. Možná jste už někdy dříve souhlasili s nákupem drahé čtečky, protože byla potřeba jen v jednom provedení – a to pro účely personálního oddělení pro vydávání karet zaměstnancům. V případě druhého faktoru ve formě čipu se ale autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,… samotná týká VŠECH pracovišť. Čtečku čipů tedy nepotřebujete pouze jednu, ale desítky, stovky nebo tisíce. A roli v nákladech tak hraje každá koruna.
A tady je důležité upozornit na další věc – bezkontaktní čtečky a karty jsou v podstatě nesmrtelné. Pokud se ale rozhodnete pro karty kontaktní (nebo třeba USB tokeny apod.), pak musíte počítat s každým vsunutím a vysunutím. Klidně se totiž může stát, že po roce používání budete čtečku či kartu měnit. Proto vždy po dodavateli požadujte záruku, než podepíšete finální objednávku.
Přihlášení certifikátem
Dalším z faktorů (způsobů) autentizace, které lze využít, je přihlášení certifikátem. Ten je často uložen na kartě společně s tzv. klíči a karta může být chráněna PINem.
To je právě ta metoda, o které vám např. vypočítavý dodavatel může tvrdit, že je to dvoufaktorová autentizaceBezpečné přihlášení do počítače, cloudu, systému pomocí dvou důkazů potvrzujících identitu přihlašovaného. Například po zadání přihlašovacího uživatelského jména a hesla je druhým důkazem odeslání potvrzujícího…. Protože uživatel přece „vlastní“ kartu a může ji použít jen když zná její PIN. Není tomu ale tak. Systém, ke kterému se uživatel totiž přihlašuje, nemá žádnou možnost zjistit, zda má uživatel správně nastavený PIN (popř. je nastaven základní 1111), popř. jestli má vůbec certifikát na kartě. Existuje mnoho systémů, ve kterých server jednoduše akceptuje, pokud je k počítači připojena čtečka s vloženou kartou, která je tzv. „smart“. To je dobrá metoda a klidně ji pro autentizaci použijte. Ale pouze jako jeden faktor!
Musíme zmínit ještě další dvě záludnosti. Chytré karty s uloženými certifikáty nelze (až na úplné výjimky) znovu použít. Když váš zaměstnanec odejde, tak kartu skartujete a pro nového pracovníka použijete novou. Otázka tedy zní, kolik stojí jedna karta a jakou máte fluktuaci? Druhou záludností je vydání nového certifikátu a jeho cena. Pokud nejste velká firma, obvykle se vám nevyplatí vybudovat si certifikační systém sami. Necháte si certifikáty vydat na klíč od třetí strany. Pak tu tedy stojí další otázka nad novými náklady.
Když se na výše řečené podíváme jako manažeři zodpovědní za hospodářský výsledek (a ne jako „hračičkové“ z IT), tak je jasné, že si pro zodpovědné rozhodnutí potřebujeme srovnat nabídky od více dodavatelů. Zvláště ve větších instalacích se stává cena jedné licence nebo čtečky karet značným nákladem. Také nás bude určitě zajímat, zda čtečka umí použít karty, které už ve firmě či organizaci jsou, a jak obtížná bude vlastní instalace, konfigurace a správa celé technologie.
Řešte technické detaily
Poslední věcí, o kterou by se mohl a měl správný manažer zajímat, jsou technické detaily celého řešení autentizaceje proces, kterým ověříme identitu uživatele. Může jít o řetězec více autentizací po sobě, který pak označujeme dvoufaktorová nebo více faktorová autentizace. Autentizace osobním certifikátem,…. V našem článku se o nich vůbec nezmiňujeme (připravujeme si je na další číslo, pozn. redakce). Abychom vás ale neochudili a nepřipravili o důležité informace, máme pro vás radu – vyžádejte si od potencionálních dodavatelů reference. Pokud systém dodavatele ideálně používají ve více zemích světa, tam si ho pochvalují a zároveň např. pomocí Google recenzí nenajdete žádné stížnosti nebo popisy průšvihů, vše bude pravděpodobně v pořádku. Pokud byste ale zvolili použití řešení, které je nové a vypadá na první pohled skvěle, soustřeďte se na autory. Pokud se k nim dostanete a zafunguje mezi vámi chemie, jejich řešení použijte. Jen si tohoto dodavatele dopředu zavažte, ať vás v případě problémů „nenechá ve štychu“. Tak se to totiž v oblasti bezpečnosti běžně dělá.
A poslední rada – pokud plánujete nechat si vypracovat a zaplatit profesionální analýzu určitého řešení, nedělejte to – je to ekonomický nesmysl (pokud nejste z armády nebo výzvědné služby).
Další doporučení k bezpečnosti
V článku jsme zmínili nebezpečí spojené s tím, kdy se uživatelé přihlašují na počítače, který funguje s Windows registrovaným v doméně. To je vůbec nejčastější způsob, se kterým se v ČR můžete setkat. Dodatečně ochránit notebook, který zaměstnanec ztratí či mu byl ukraden, lze jen kryptováním disku. Uvnitř firmy zase počítače nejlépe ochráníte, když tam nenecháte potulovat nikoho cizího a když donutíte IT oddělení, aby neměli všude stejné heslo účtu Administrator. To se musí stále měnit a musí být na každém přístroji unikátní. A je v podstatě jedno, zda se jedná o Windows, Linux, MacOS nebo jiný OS. Když chcete, aby se uživatelé bezpečně autentizovali, musíte také chránit počítače, na kterých pracují.
Autorem článku je Ing. Václav Šamša z partnerské společnosti TDP a my mu děkujeme za svolení s jeho otisknutím v Manažerské příloze.
Ptáme se Petra Nepustila
Na závěr této části Manažerské přílohy jsme se také zeptali na několik otázek Ing. Petra Nepustila, který jako vedoucí divize Produkce má zkušenosti s nasazováním autentizačních zabezpečení z různých projektů.
Petře, proč bychom měli tyto bezpečnostní nástroje v organizacích používat? Přinese mi to něco?
Zásadním přínosem je samozřejmě bezpečnost. Než začneme tyto nástroje nakupovat, je potřeba dobře promyslet, aby tato bezpečnost ale nebyla na úkor uživatelského komfortu. Tzn. aby se uživatel nemusel složitě prokousávat několika ověřeními své identity i tam, kde to není z bezpečnostního hlediska nutné. S výběrem vhodného nástroje a nastavení přístupů a celého bezpečnostního systému svým zákazníkům v K-netu pomáháme. Pak teprve dojde k jeho realizaci.
Jaká je tedy odpověď na otázku, co to přinese? Komfortní, ale přitom stále bezpečné přihlašování do systému organizace.
To zní skvěle. Co všechno k tomu ale budeme potřebovat? Myslím tím softwarové, ale i hardwarové požadavky? (SW + HW)?
Začněme u Smart karty – to není nic složitého. Je integrovaná do Microsoft systému. Aby tedy fungovala, tak stačí jen Microsoft systém a nakonfigurování chování karty. Pak je ještě samozřejmě nutná čtečka Smart karet. U některých novějších IT zařízení je čtečka už jejich součástí, např. v klávesnici.
Taktéž Windows Hello či Touch ID, mobilní aplikace a tokeny, jsou vlastně jen speciální software integrovaný v moderních zařízeních (tablety, laptopy, mobily). Stejně tak Microsoft se svými M365 a Google už automaticky při přihlašování nabízejí dvoufaktorovou autentizaci.
U RFID je to trošku složitější. Protože pokud jej chceme použít k přihlašování uživatele, není tato technologie do ničeho implementovaná a je nutné software i hardware nakoupit, následně nakonfigurovat a nasadit do svého IT systému. Tzn. nejde jen o čtečky, ale také o server, na kterém ověřování bude fungovat.
A pokud chceme daný systém aplikovat k přihlašování do více aplikací, tak musíme v systému centralizovat identity, což vyžaduje software navíc. V tomto případě tedy jde o vyšší náročnost, na druhou stranu ale o pohodlnější správu a přístup při samotném provozu. I s tím zákazníkovi poradíme a společně najdeme vhodné řešení.
Jak složité je pak zavedený systém udržovat?
Složité to asi úplně není, ale je potřeba počítat s tím, že bude zapotřebí určitá práce IT oddělení či informatika. Třeba u Smart karty je vše náročnější v tom, že se musí řešit certifikáty – tzn. zajistit je, nahrát do systému, obnovovat po vypršení platnosti.
U RFID je to jednodušší, protože tam stačí zadat identifikační číslo čipu do systému a přiřadit mu potřebná práva.
U dvoufaktorové autentizaceBezpečné přihlášení do počítače, cloudu, systému pomocí dvou důkazů potvrzujících identitu přihlašovaného. Například po zadání přihlašovacího uživatelského jména a hesla je druhým důkazem odeslání potvrzujícího… je to podobné. Je nutné do systému zadat uživatele, informace o něm, např. telefonní číslo nebo token. Při každé změně je nutno změnu provést i v systému.
Kdo v organizaci pak tato zabezpečení vlastně bude používat?
Využívat tyto technologie může jakýkoli uživatel systémů. Nadneseně řečeno – od uklízečky (pokud pracuje i s PC) až po nejvyššího manažera. Samozřejmě, je možné definovat úroveň zabezpečení a použitou technologii na základě citlivosti a důležitosti dat, ke kterým má zaměstnanec přístup. Například dvoufaktorovou autentizaci budou asi hlavně využívat lidé přistupující z internetu k důležitým a citlivým datům společnosti.
Pojďme se podívat na celou problematiku z jiné strany. Jaké jsou náklady na taková opatření?
Je to velmi odlišné. Od nuly až do několik desítek, možná stovek tisíc. Záleží na vybrané technologii, účelu a rozsahu použití. Čím více potřebujeme chránit dat, tím složitější, časově náročnější a dražší opatření jsou. Proto je opět vhodné nejdříve s IT firmou konzultovat a analyzovat, co a jak je potřeba lépe chránit.
Jak složitá může vlastní implementace být?
Zde je stejná odpověď jako v předchozí otázce. Určitě je nutno s nějakou implementací počítat. Minimálně se základní konfigurací, kterou zvládne běžný informatik. Ale rozsáhlejší zásahy vyžadují složitější implementace, které se táhnou v řádu dnů až desítek dnů. Případně i více, ale to se už bavíme o velikých firmách.
Kdo všechno se musí podílet na technickém a organizačním nastavení pravidel pro jednotlivé oblasti (IT zdroje, aplikace, obsah aplikací)?
Tohle je dobrá otázka. Tyto věci často ve firmách všichni hází jen na IT oddělení. Ale myslím, že u přístupů, a zvláště u dvoufaktorové autentizaceBezpečné přihlášení do počítače, cloudu, systému pomocí dvou důkazů potvrzujících identitu přihlašovaného. Například po zadání přihlašovacího uživatelského jména a hesla je druhým důkazem odeslání potvrzujícího… to jenom o IT není. Zapojeny by měly být i personalistika, management a lidské zdroje, kteří by se měly podílet na tom, jak systém bude nakonfigurovaný. U nového uživatele se zapojují všichni správci potřebných aplikací, do kterých bude mít nový uživatel přístup. U komplexního systému Správě identit (IdMPojem spadá pod bezpečnost IT. IDM je někdy označováno také jako IAM a zajišťuje to, aby správný uživatel měl přístup ke správným datům či zdrojům…) to dokáže vše na pár kliknutí vyřešit sám personalista. Zadá iniciály, zařazení do organizačních jednotek. To „probublá“ systémem, uživatel se vytvoří, začne existovat a může se přihlásit, kam potřebuje. Tomu ale musí předcházet složitá a náročná příprava. Aplikace je proto velice drahá a vyplatí se jen pro velké organizace s častou změnou přístupů uživatelů. To jsme se ale už posunuli jinam. Správa identit je dosti obsažné téma, třeba pro samostatnou přílohu Loginu.
Bude organizace, která o těchto systémech uvažuje, potřebovat externí IT odborníky anebo jim postačí vlastní IT oddělení?
Většinou se vše řeší přes nějakou externí firmu, která systém nasadí a pak přes interní IT, které si to dále konfiguruje a zadává změny, které přijdou. Takže se většinou jedná o kombinaci obojího. Ale závisí to na společnosti. Velkým organizacím se na údržbu systému a konfiguraci oprávnění většinou vyplatí mít vlastní interní IT zaměstnance, protože ti nejlépe vědí, jak fungují jejich procesy. Určitě ale k tomu potřebují externí konzultanty a správce, který jim pomohou systém nadefinovat a následně v něm provádět složitější úpravy či řešit složité incidenty.
Co všechno se ve firmě vlastně může stát, když takový způsob přihlašování nebude mít?
Nejvíce hrozí zcizení identity, napadení, zneužití hesla a přístupu uživatele. V K-netu jsme nejednou řešili opravu dat po napadení organizace kryptoviremDruh ransomware (vyděračský software) je druh škodlivého programu, který šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Více na…. Přes slovníkový útokKdyž chce někdo odhadnout heslo (např. máte do emailu heslo „Kočička“), tak tento útok si vezme slovník a zkouší jedno heslo po druhém, až narazí… zjistili jméno a heslo k administrátorovi a vložili do systému kryptovirDruh ransomware (vyděračský software) je druh škodlivého programu, který šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Více na…. V momentě, kdyby měl administrátor dvoufaktorovou autentizaci, tak mají smůlu a nic takového se nestane.
Neuvědomuji si, že by někdo zneužil přihlašovací údaje lokálně, v rámci firmy. Nicméně v organizacích disponující citlivými daty, jako jsou banky, úřady, nemocnice je určitě obezřetnost na místě.
RFID a Smart karta funguje většinou lokálně, takže útok na tyto nástroje zvenčí je málo pravděpodobný.
Pro jaké a jak velké organizace se tato řešení vyplatí?
Tady ani tak nejde o velikost jako o to, s jak důležitými a citlivými daty pracují a co bude pro tyto organizace znamenat, když jim data někdo ukradne nebo poškodí. Jako příklad si vezměme školu. Pokud nebudou spravovat žádné citlivé údaje, tak jim bude hrozit „jen“ ztráta dat (které je lepší správně zálohovat). Bude to určitě menší ztráta, než když se to samé stane v bance.
Je vhodné se řídit pravidlem: čím citlivější data mám, tím víc by to měl řešit. Vezměme si příklad z našeho státu, kde jeho tzn. kritické složky k tomu mají přímo kybernetický zákon.
Mohu využít jinou autoritu pro ověření uživatele ve vlastní síti – např. přihlášení zaměstnance přes Google?
Ano, je možné využít i jinou autoritu a bývá to běžné. Záleží jen na systému, které autority si umí připojit, aby byl schopen uživatele identifikovat. Citrix ADCSlužba ADC v základu pomáhá aplikacím a webům řídit provoz uživatelů, aby nedocházelo k přetížení aplikace či webu v důsledku příliš velkého počtu naráz přistupujícího… má v rámci své služby schopnost se připojit a autorizovat uživatele např u Google, M365 apod.
V poslední době je stále populárnější FaceID či Windows Hello, tedy přihlašování biometricky. Co říkáš na tento způsob?
Oba způsoby jsou velmi bezpečné. Window Hello/Face ID je určitě pohodlnější způsob přihlašování, protože k tomu nic dalšího nepotřebujete. Na druhou stranu je ale nelze použít k autorizaci do všech systémů. Stále se totiž jedná o jednofaktorovou autentizaci a musí se tedy přidat druhý faktor.
Pojďme v zabezpečení ještě dál. Jaký je rozdíl mezi firemní Wi-Fi zabezpečenou přes rádius a Wi-Fi sítí zabezpečenou pass key?
Rádius je server, který umí ověřovat uživatele na základě jeho identity. Při přihlášení do Wi-Fi musí uživatel zadat své jméno a heslo. Tím je uživatel v síti autentizovaný. Lze snadno dohledat kdy, jak dlouho a na kterém zařízení byl na Wi-Fi připojen. Uživatelské jméno a heslo lze samozřejmě do zařízení uložit, takže se zařízení připojuje automaticky, jakmile je v dosahu sítě, aniž by se muselo stále zadávat.
Kdežto přihlašováním klasicky, tj. přes pass key, lze dohledat pouze v případě, kdy a jak dlouho se dané zařízení do sítě přihlásilo. Nedohledáme už ale konkrétního uživatele. Vstup do sítě je tedy v obou případech zabezpečené nějakým klíčem (heslem). Výhoda přes rádius je, že v případě útoku víme, kterého uživatele se to týká, komu např. bylo ukradeny přístupové údaje.
A poslední otázka – jaký má dopad nasazení zabezpečeného protokolu 802.1X na firemní LAN a uživatele, na jejich přihlášení do sítě?
802.1X je protokol, který funguje v rámci druhé vrstvy sítě, tzn. uživatel se nepřihlašuje, ale po zastrčení zařízení do zásuvky LANJe běžně označovaná zkratkou LAN (Local Area Network). Jedná se o propojení počítačů uvnitř organizace – nikoli však mimo budovu, či komplex budov. Více na…, jej systém ověří na základě MACFyzická adresa sítě je jednoznačný identifikátor síťového zařízení, který používají různé protokoly druhé (spojové) vrstvy OSI. Je přiřazována síťové kartě NIC bezprostředně při její výrobě… adresy a případně dalších parametrů ze síťové karty a umožní mu přístup do sítě. V momentě, kdy se do sítě připojí zařízení, které systém nezná, tak jej do sítě nepřipojí, i když je fyzicky kabelem do zástrčky připojeno.
Tento bezpečnostní systém využijí jen některé organizace, u kterých může tato situace nastat.
ZÁVĚR
Věříme, že vás tento článek obohatil, popř. vám pomůže nejen ke správnému pohledu a zamyšlení ohledně zabezpečení vašich zařízení a dat, ale dále i k výběru správného a vhodného řešení. My vám k tomu samozřejmě můžeme dopomoci a jako důvěryhodný systémový integrátor výrazně zkrátit cestu a ušetřit spoustu důležitých nákladů. Nebojte se nás tedy oslovit!