Regulacje zawarte w RODO wpłyną na wiele zagadnień związanych z IT i praktykami dotyczącymi bezpieczeństwa. Nowe przepisy wykraczają daleko poza obszar ochrony prywatności – rozporządzenie bezpośrednio wpływa na procesy IT w przedsiębiorstwach. Będą mieć znaczenie w zarządzaniu danymi, ich ochronie, rozwoju oprogramowania i administrowaniu systemami.

Tym samym wejście w życie RODO to dla działów IT wiele nowych wyzwań. Reguły polityki dotyczące zarządzania danymi i ich ochrony trzeba będzie zmodyfikować, dostosować do nowych przepisów wiele kluczowych procesów biznesowych, choćby w celu zagwarantowania prawa „do zapomnienia” i przenoszenia danych. W obliczu zagrożenia dotkliwymi karami i ze względu na tempo wprowadzania zmian przedsiębiorstwa muszą starać się ograniczyć do minimum ryzyko naruszenia bezpieczeństwa informacji


Skomplikowane, ale… proste

Z jednej strony RODO może być postrzegane przez pryzmat złożonych przepisów i schematów przepływu informacji oraz raportowania, ale z drugiej regulacje można uznać za całkiem proste. Ich zawiłość da się przełożyć na cztery łatwe do zrozumienia zasady, których należy przestrzegać:

1. zapobiec incydentowi naruszenia bezpieczeństwa,
2. jeśli się zdarzy, wiedzieć, jak do niego doszło,
3. zlikwidować jego skutki najszybciej, jak to możliwe,
4. udowodnić, że szkody zostały naprawione.

Dla wielu działów IT i zespołów ds. bezpieczeństwa wymienione cztery zasady nie są niczym nowym. Jednak nawet ci, którzy według nich postępują, będą musieli – wobec zagrożenia wysokimi karami – działać znacznie szybciej niż do tej pory. A to oznacza lepsze kontrolowanie  uprzywilejowanych użytkowników, czyli takich, którym przydzielono w systemie prawa administratora. Potrzebna będzie szczegółowa wiedza, kto, co i kiedy robił z najważniejszymi systemami i zasobami przedsiębiorstwa.


PAM – pomoc w zachowaniu zgodności

Uprzywilejowany użytkownik dysponuje dostępem do systemu na poziomie administratora albo „roota”. Dlatego może np. dodawać, modyfikować lub usuwać konta pocztowe na serwerze Microsoft Exchange Server. Takie prawa dostępu powinny być szczegółowo kontrolowane i łatwo odbierane, gdy nie są już potrzebne.

Zgodność z RODO wymaga śledzenia dostępu na poziomie administratora w każdym systemie, w którym przetwarzane są dane osobowe. Może to w przypadku międzynarodowej firmy odnosić się do zarządzania danymi i ich ochrony w wielu obszarach.

Dokumentowanie dostępu uprzywilejowanego jest niezbędne w przestrzeganiu przepisów RODO. Umożliwia je rozwiązanie PAM, które ułatwia także wewnętrzne i zewnętrzne audyty. Pokazuje ono na przykład, kto w firmie ma uprawnienia do modyfikowania reguł polityki ochrony danych.

Rozwiązanie PAM jest także zgodne z wprowadzaną przez RODO zasadą Privacy by Design. Przestudiowanie wielu głośnych przypadków kradzieży danych prowadzi do wniosku, że ochrona informacji powinna w pierwszym rzędzie objąć osoby o największych prawach dostępu. PAM jest sposobem na rozwiązanie tego problemu – umożliwia zarządzanie dostępem uprzywilejowanym uwzględniające wdrożenie, utrzymanie i odinstalowanie dowolnej aplikacji, obejmując cały cykl jej życia. Kontroluje także działania poszczególnych użytkowników, zapewniając, że są uprawnione, i dokumentując działanie tych osób.


Wallix Bastion spełnia wymagania RODO

Firma Wallix oferuje rozwiązanie PAM, które odpowiada na wyzwania związane z RODO. Pakiet Wallix Bastion łączy bogatą funkcjonalność PAM z prostotą instalacji i użycia. Implementację i wprowadzanie zmian na bieżąco ułatwia architektura pozbawiona agentów. Inne rozwiązania PAM wymagają instalacji specjalnego programowego agenta w każdym systemie, w którym zarządza się dostępem uprzywilejowanym. Jego użycie spowalnia wdrożenie PAM i może prowadzić do przerwania zarządzania dostępem, gdy rozwiązanie przestanie działać w wyniku kolejnej aktualizacji oprogramowania.

Wallix Bastion można instalować lokalnie, jak i w chmurze. Tworzy pojedynczą bramę dostępu, za pośrednictwem której administratorzy systemowi uwierzytelniają się w trybie single sign-on. Dzięki temu dział IT może zdefiniować politykę ochrony prywatności i wymuszać jej przestrzeganie od administratorów i pracowników w całym środowisku. Wśród kluczowych funkcji oprogramowania Bastion znajdują się:

• Access Manager – kontroluje dostęp do kont uprzywilejowanych, tworząc pojedynczy punkt definiowania reguł polityki zarządzania tymi kontami i wymuszania ich przestrzegania. Użytkownik uprzywilejowany prosi o dostęp do systemu za pośrednictwem Access Managera. Ten komponent posiada informacje, do którego systemu użytkownik może uzyskać dostęp i z jakim zakresem uprawnień. Tylko superadmin ma prawo dodawać, modyfikować i usuwać konta o uprzywilejowanym dostępie w Access Managerze.

• Password Vault – ten komponent sprawia, że uprzywilejowani użytkownicy nie znają rzeczywistych haseł do krytycznych systemów. Ręczne obejście zabezpieczeń fizycznego urządzenia staje się więc niemożliwe. Bastion przechowuje hasła w bezpiecznym „sejfie” i daje dostęp do systemu uprzywilejowanemu użytkownikowi, który zalogował się za pośrednictwem Access Managera. Password Vault wzmacnia ochronę prywatności zgodną z RODO, gwarantując, że administrator nie zmieni ustawień dotyczących zarządzania lub ochrony danych na lokalnym urządzeniu.

• Session Manager – śledzi wszystkie działania z wykorzystaniem uprzywilejowanego konta składające się na sesję. Jest pomocny w opracowywaniu bardzo szczegółowych raportów dla organów ochrony danych, których celem jest udokumentowanie incydentu.

Dystrybutorami rozwiązań firmy Wallix w Polsce są: Veracomp i Vemi.

 

Najważniejsze zalety PAM

Privileged Access Management jest tym obszarem zabezpieczeń, w którym za pomocą narzędzi i z zastosowaniem odpowiednich praktyk chroni się firmę przed przypadkowym lub umyślnym nadużyciem uprzywilejowanego dostępu. Rozwiązanie PAM:

• oferuje bezpieczny i łatwy sposób autoryzowania i monitorowania wszystkich użytkowników uprzywilejowanych we wszystkich systemach,
• przyznaje i odbiera przywileje użytkownikom systemów, w których są autoryzowani,
• zapewnia centralne i sprawne zarządzanie ochroną w systemach heterogenicznych,
• tworzy niemodyfikowalną ścieżkę audytu dla każdego działania uprzywilejowanego.

 

Zdaniem integratora

Marcin Gryga, IT Security Architect, netology

Wdrożenie systemu do zarządzania dostępem uprzywilejowanym Wallix jest szybkie i proste – podczas PoC pierwsze uruchomienie zazwyczaj nie zajmuje nawet godziny. Rozwiązanie umożliwia definiowanie kont uprzywilejowanych oraz odpowiednich do nich uprawnień. Monitoruje sesje administracyjne, więc administrator jest w stanie zweryfikować kto, kiedy i w jaki sposób logował się na konta uprzywilejowane. System klasy PAM nie tylko pomaga zminimalizować ryzyko włamań z wykorzystaniem uprawnień administracyjnych, ale także tworzy tzw. niezaprzeczalny ślad dowodowy dla kont uprzywilejowanych. W razie incydentu może się to okazać bardzo pomocne podczas współpracy z organem nadzorującym.

Rozwiązanie Wallix może służyć jako centralny punkt wejścia do firmy dla użytkowników z zewnątrz i być wykorzystywane do rozliczania prac podwykonawców. Rejestrowanie sesji ułatwia monitorowanie parametrów SLA. Natomiast dzięki automatycznej zmianie haseł ograniczone jest ryzyko skutecznego ataku typu brute-force. Bastion zapewnia też odtworzenie pełnej sesji, co może być dowodem w razie konfliktu z podwykonawcą lub sprawy sądowej.

 

Dodatkowe informacje:

Paweł Rybczyk, Business Developer CEE&Russia, Wallix, prybczyk@wallix.com