Töötajate digiidentiteedi kaitse eeldab korralikke autentimisreegleid, kuid enamik inimesi ei suuda meeles pidada kümneid masingenereeritud salasõnu, mida korrapäraselt muudetakse. Sisuliselt on see võimalik vaid paroolihalduse lahendust kasutades, kirjutab infoturbejuht Janar Randväli.
Kuna tänapäeval rünnatakse esmalt pigem kasutajat kui tehnoloogiat, siis on digitaalsest identiteedist saanud kriitiline vara, mida tuleb igati kaitsta. Paraku on sageli nii, et mida kõrgemaks digiidentiteedi turvataset tõsta, seda ebamugavamaks kipub muutuma ka töötajate elu. Tihti tunnetatakse seda karmide paroolireeglitega kokku puutudes, olgu siis nõutud 16-kohalised suur- ja väiketähtede ning numbrite ja erimärkidega salasõnad, regulaarsed paroolivahetused, keeld võtta kasutusele mõnda varasemat salasõna või ristkasutada seda mitmes IT-süsteemis vms. Nende reeglite järgimise muudab mugavamaks paroolide halduslahendus ilma, et küberturvalisuses tuleks teha järeleandmisi.
Lihtsamad paroolihalduse lahendused
Lihtsamad paroolihalduse lahendused on sisuliselt turvalised kohad kasutajate erinevate salasõnade hoidmiseks, kuid erinevalt paberile trükitud paroolidest kuskil seifis on digilahendusel mitu eelist. Esiteks on seal alati kehtivad versioonid erinevatesse keskkondadesse pääsemiseks vajalikest salasõnadest, mida saab hõlpsasti automaatseks sisselogimiseks kasutada (AutoFill) või vajadusel ka käsitsi sisselogimisaknasse kopeerida.
Teiseks võimaldavad õigesti seadistatud turvareeglid koos taoliste äppidega muuta kasutajatele sisselogimise väga intuitiivseks ja mugavaks, kaotamata seejuures turvalisuses. Sel puhul genereeritakse usaldusväärsesse seadmesse sertifikaat, mis tõendab sessiooni ja kasutaja ei pea igal sisselogimisel end MFA-ga autentima. Üheks eelduseks on siin, et kasutatakse ettevõtte kontrollitud turvalist seadet. Kolmas oluline eelis on see, et kui arvuti või nutiseade juhtub kaduma minema või see varastatakse, saab distantsilt paroolihalduri sisu tühjaks pühkida, et kurikaeltel puuduks võimalus töötaja nimel IT-süsteemidesse siseneda.
Lihtsamatest paroolihalduse lahendustest võib soovitada Keeper Security tooteid, mis töötavad pilvepõhiselt, nii et ettevõttel pole süsteemi juurutamiseks vaja kasutada enda riistavaralist taristut. Osadel Keeper Security lahendustel on ka privilegeeritud kasutajaõiguste halduse funktsionaalsus (PAM), mis aitab korraldada kogu valdkonda: anda, muuta ja tühistada salasõnu, määrata iga kasutaja õiguste tase erinevates süsteemides, jälgida nende sihipärast kasutamist jne.
Paroolihaldurisse tuleks lubada ka töötaja erakontode salasõnad
Nii Keeper kui ka paljud teised paroolihalduse lahendused võimaldavad luua igale kasutajatele mitu paroolitaskut (wallet), nii et lisaks tööalastele paroolidele saab inimene seal hoida salasõnu isiklikule e-postile, sotsiaalmeedia rakendustele vms ligipääsemiseks. Inimese eraparoolide turvaline hoidmine on ka ettevõtte huvides ning seda tasub igati soodustada, kuna see tõstab üldist turvataset ja vähendab küberriske. Kui töötaja peaks vastupidiselt heale tavale kasutama sama parooli mitmes keskkonnas, võib isiklike salasõnade lekke korral juhtuda, et mõnega neist saab ligi ka ettevõtte IT-süsteemidele. Samuti suurendab töötaja isikliku info leke võimalust, et ka ettevõte satub küberkurjategijate radarile kui ründe potentsiaalne sihtmärk. Näiteks isikliku meilikonto ülevõtmise järel on pahalastel võimalik saata töötaja nimel petukirju, paludes raamatupidajal muuta pangakonto töötasu ülekandmiseks vms.
Mugav paroolide meelespidamise lahendus motiveerib inimest kasutama iga teenuse jaoks erinevaid salasõnu. Paljud lahendused annavad paroolide korduvkasutamisest ja lekkimisest nii kasutajale endale kui ettevõtte administraatoritele automaatse teavituse, mis võimaldab teha kiiresti paroolivahetusi, et hoida ära konto kuritarvitusi.
Kui inimene kasutab töötegemiseks isiklikku nutiseadet ning lahkub töölt või muutuvad tema tööülesanded ja sellest lähtuvalt ka vajadused IT-süsteemidele ligi pääseda, saab administraator distantsilt ettevõtte paroole sisaldava walletisisu kustutada. Sellisel juhul pole ohtu, et salasõnad jäävad näiteks veebilehitseja mällu alles ning neid saab kurjasti ära kasutada. Inimese töölt lahkudes tuleb samaaegselt tema kontod süsteemides kustutada või jagatud ühiskonto korral parool muuta.
FIDO2-võtmed on seni osutunud sissemurdmiskindlaks
Kui on soov või vajadus paroolihaldurit ennast turvata ning veel üks turvakiht luua, tasub kaaluda FIDO2-võtmeid nagu YubiKey. FIDO2 (fast identity online) füüsilisel võtmel on sertifikaat, mida ei saa sarnaselt ID-kaardi kiibil oleva võtmega kloonida, kopeerida või kustutada. Seda ainulaadset sertifikaati kasutades on võimalik sisse logida kõigisse IT-keskkondadesse, mis toetavad FIDO2-protokolli – seda teevad kõik suuremad teenusepakkujad maailmas alates Microsoftist, Google’st, Apple’st, Amazonist jne. Kui konkreetne süsteem seda ei toeta, on võimalik see tõsta eraldi võrku täiendava turvaperimeetri taha ning rakendada sellesse võrku sisselogimiseks FIDO2-protokolli.
Paroolivabaks sisselogimiseks ühendatakse YubiKey arvuti USB- või Lightning porti, nutitelefoni korral saab kasutada kontaktivaba lähiväljasidet (NFC) nagu pangakaartidel. FIDO2-võtme kasutamine muudab küberturvalisuses tööstusstandardiks kujunenud kaheastmelise autentimise kolmeastmeliseks, mistõttu turvalise paroolihalduriga kombineeritult ei ole seda tänapäeval teadaolevalt lahti murtud. Kaheastmeline autentimine (2FA) küll vähendab oluliselt turvariske, kuid kurikaeltel on võimalik kasutajale petukirju saates sisselogimisinfo välja trikitada, mida on ka Eestis juhtunud. YubiKey või sarnase toote kasutamisel on aga kasutajalt vaja füüsiline võti kätte saada. See võidakse küll varastada või kaotada, kuid võtme autentimissertifikaadi saab kohe distantsilt tühistada ning osade võtmemudelite kasutamist turvata täiendavalt sõrmejäljega. FIDO2 puhul on soovitav luua ka varuvõti, mida hoitakse turvalises kohas ja võetakse kasutusele põhivõtme kadumisel.
FIDO2-võtmeid ei ole alati vaja kõigile töötajatele, kuid nende kasutamist võiks kaaluda näiteks raamatupidajate ja ettevõtte juhtide kontode kaitsmiseks, kuna nende kaudu liigub kogu ettevõtte raha. Samuti võiks võtmed soetada IT-administraatoritele ja süsteemide peakasutajatele, kelle kontosid üle võttes saaksid kurikaelad endale suured õigused, et luua uusi kasutajaid või varjatud tagauksi IT-keskkondadesse, krüpteerida andmeid lunavaraga või teha muul viisil olulist kahju.
Kõrge turvatasemega kasutajaõiguste halduslahendused
Kui ettevõttel on vajadus veelgi kõrgema turvataseme järele, võib soovitada näiteks Delinea kasutajaõiguste halduslahendusi Privilege Manager või Secret Server, mis on oma võimalustelt nagu kaugmaa raketisüsteemid. Nendega saab terviklikult korraldada erinevates süsteemides kontode, salasõnade ja kasutajaõiguste jagamist, muutmist ning tühistamist, delegeerida ligipääse või anda ühekordseid kasutajaõigusi, muuta kriitilisele ressursile ligipääsuõiguste andmine mitmeastmeliseks ning salvestada töötaja tegevust mistahes süsteemis logide, videopildi või klaviatuurivajutustena. Samuti saab nende lahenduste kaudu luua paindlikke turvapoliitikaid eri tasemel õigusteks, lubada või blokeerida rakenduste käivitamist ja saada selle kohta raporteid ning omada pidevat ülevaadet administraatoriõigustest erinevates süsteemides, lõppseadmetes ja rakendustes. See võib osutuda väga vajalikuks, kui pead tõendama oma tegevuste õigsust erinevates keskkondades.
Töötajaid juba kurdavad paroolireeglite üle, kuid need vajaksid veelgi karmistamist? Võta meiega ühendust ning vaatame kogu valdkonna üle alates nõuetest salasõnadele ja kasutajaõiguste jagamise protsessist kuni tehniliste lahendusteni:
Janar Randväli
Infoturbejuht
See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.
Loe lisaks:
Datafoxi objektsalvestusteenus pakub soodsat võimalust suurte andmemahtude majutamiseks