Νέα εποχή, κίνδυνοι, cloud, υποκλοπές, εξωτερικοί συνεργάτες – τι τελικά, μπορεί να βοηθήσει στην πολυπόθητη ασφάλεια ενός εταιρικού δικτύου; Το Identity & Access Management δείχνει να προσφέρει τη λύση.

Το Identity and Access Management (IAM) αφορά τη συμφωνία ασφάλειας που εξουσιοδοτεί τους χρήστες με πρόσβαση σε εταιρικά συστήματα και πληροφορίες. Βοηθά στην αποφυγή της μη-εξουσιοδοτημένης πρόσβασης και χρήσης πληροφοριών που θα μπορούσαν να επηρεάσουν την επιχείρηση, τους συνεργάτες της, ή, ακόμη χειρότερα, τους πελάτες της.

Security to die for
«Θα μπορούσαμε να σου πούμε τι αφορά. Μετά, φυσικά, θα πρέπει να σε σκοτώσουμε». Αυτό είπαν στον Μάρτιν Μπίσοπ, ειδικό στη διαχείριση συστημάτων ασφαλείας, όταν ανακάλυψε ότι υπάρχει κάποιο άλλο σύστημα που μπορεί να αποκωδικοποιήσει όλα τα υπόλοιπα στον κόσμο. Αυτή η ιστορία δεν είναι πραγματική. Την επινόησαν κάποιοι σεναριογράφοι για τον Ρόμπερτ Ρέντφορντ και τον Σίντνεϋ Πουατιέ στην ταινία «Οι Αθόρυβοι». Οσο, όμως κι αν κάλπαζε η φαντασία των χολιγουντιανών σεναριογράφων εν έτει  1992 όταν κυκλοφόρησε η ταινία, δεν θα μπορούσε παρά να αποτελεί ένα καλό προοίμιο για το πόσο σημαντικά είναι τα συστήματα ασφαλείας – για τις δολοφονικές απειλές, ωστόσο, αμφιβάλλουμε.

Σενάριο ή πραγματικότητα;
Η ιστορία που ακολουθεί, ωστόσο, είναι πέρα για πέρα αληθινή: για περίπου τρία χρόνια, ένας junior χρηματιστής χρησιμοποιούσε κλεμμένα passwords και εσωτερικές πληροφορίες για να κάνει υποκλοπές σε μεγάλη γαλλική τράπεζα. Οι δραστηριότητές του ξεκίνησαν σε μικρή κλίμακα το 2005, αλλά έως το 2007, οι παραβιάσεις του είχαν αγγίξει τεράστια οικονομικά ύψη.

Αυτό που συνέβη, ήταν ότι με τη βοήθεια ενός assistant που εργαζόταν στην εν λόγω τράπεζα, ο χρηματιστής κατάφερνε να παρακάμπτει τις αδύναμες παραβλέψεις και ελέγχους του τραπεζικού συστήματος ασφαλείας, και μέχρι τον Ιανουάριο του 2008, όταν η τράπεζα αντιλήφθηκε την κλοπή, το ποσό ήταν καταστροφικό: 7 δισεκατομμύρια – το διπλάσιο από το καθαρό κέρδος της τράπεζας για εκείνη τη χρονιά.

Παρόλο που δεν είναι συχνά αυτά τα μεγέθη υποκλοπών, ωστόσο αποτελεί μια εξαιρετική ένδειξη για τα ρίσκα στα οποία μπορεί να υποπέσει μια επιχείρηση εάν δεν έχει λάβει όλα τα απαραίτητα μέτρα ηλεκτρονικής ασφάλειας. Μια άλλη μελέτη δείχνει τα πραγματικά μεγέθη: σε μια έρευνα που παρουσίασε ο CEO της McAfee, Dave DeWalt, το 2009, οι αμερικάνικες επιχειρήσεις έχασαν κατά μέσο όρο 4,6 εκ. δολάρια.

Money talks
Μια έρευνα της Gartner έδειξε αντίστοιχα αποτελέσματα, αφού εξέτασε τις τάσεις διαφόρων μεγάλων αμερικανικών επιχειρήσεων. Δεν χρειάζεται να αναρωτιέστε ποιες είναι οι δημοφιλέστερες: στην κορυφή των τάσεων είναι όσες αφορούν τη διαχείριση ταυτότητας.

Μάλιστα, όπως αποκάλυψαν, σκοπός τους ήταν να επενδύσουν μεγάλα ποσά στο άμεσο μέλλον. Ακόμη και όσοι είπαν ότι χρειάστηκε να το καθυστερήσουν λόγω της ύφεσης, σημείωσαν ότι παρόλα αυτά, το Identity and Access Management αποτελούσε τη βασική τους προτεραιότητα. Δεν μετρά, όμως, μόνο ποιος κατέκτησε την κορυφή, αλλά και ποιοι ήρθαν επόμενοι στη λίστα προτεραιοτήτων: data-loss prevention, anti-virus, firewalls and intrusion prevention…

Σχολιάζοντας τα ανωτέρω στοιχεία, ο διευθυντής ερευνών της Gartner, Vic Wheatman, είπε ότι βρίσκει «παράξενο» που το anti-virus, μια παλιά και γνωστή σε όλους εφαρμογή, βρίσκεται τόσο ψηλά, αλλά όσον αφορά τα firewall, σημείωσε ότι υπάρχει κίνηση στην εξεύρεση εφαρμογών firewalls νέας γενιάς.

Καθώς, όπως είπε, κατά τη διάρκεια του 2009, «κάποια έργα μπήκαν στη ντουλάπα λόγω της οικονομίας», τα μεγάλα έργα κεφαλαίου, μετατέθηκαν για αργότερα. Από το 1% του προηγούμενου έτους, για το 2010, τα έξοδα κεφαλαίου για IT security έπεσαν κατά 5% – αν και σύμφωνα με την Gartner, αυτό δεν είναι τραγικό, καθώς είχε υπολογισθεί μια μείωση μεταξύ 3 και 6 τοις εκατό.

Παράλληλα, βέβαια, αυξάνονται οι εφαρμογές cloud, φέρνοντας περισσότερα προβλήματα στη διαχείριση ασφάλειας. Μια μελέτη της IDG του 2009, έδειξε ότι περίπου 30% των ερωτηθέντων είχαν cloud εφαρμογές, και ένα 16% είχε στόχο να μεταφέρει κάποιες εφαρμογές του στο cloud εντός δώδεκα μηνών. Πάνω από το 80% των ίδιων ερωτηθέντων, ωστόσο, ανέφερε ότι δεν είχε καμία απολύτως στρατηγική ασφαλείας.


Yesterday, today, tomorrow
Ο ψηφιακός κόσμος μεταμορφώνει τον επιχειρηματικό κόσμο, άλλοτε με ευχάριστες εκπλήξεις, και άλλοτε με δυσάρεστες. Αυτό που κάποτε ήταν ένα άμεσο εταιρικό δίκτυο, τώρα είναι ένα συνδεδεμένο διαδίκτυο ανθρώπων και συσκευών. Πολύ συχνά, άνθρωποι εργάζονται εξ’ αποστάσεως, κουβαλώντας πάνω τους ευαίσθητες πληροφορίες σε notebooks και PDAs. Συνεργάτες και πάροχοι προσκαλούνται εντός των εταιρικών τειχών για να συνδέσουν τα δικά τους συστήματα και να μοιραστούν πληροφορίες, ενώ πωλητές και συμβαλλόμενοι αποκτούν πρόσβαση σε ιδιωτικές πληροφορίες.

Πολλά ανώτατα στελέχη μπορεί να μη γνωρίζουν με βεβαιότητα το αν οι πληροφορίες τους είναι ασφαλείς – και ότι μόνο οι σωστοί άνθρωποι έχουν πρόσβαση στις σχετικές εφαρμογές, δίκτυα και βάσεις πληροφοριών.

Πλέον, με την εισαγωγή των cloud υπηρεσιών, τις κινητές συσκευές, και τους χρήστες εξ’ αποστάσεως, υπάρχουν ακόμη περισσότερες πιθανότητες να λοξοδρομήσουν σημαντικές πληροφορίες. Στο ερώτημα του ποιος βρίσκεται πίσω από τις παραβιάσεις πληροφοριών, σύμφωνα με έρευνα της Verizon Business για το 2009, οι απαντήσεις που δόθηκαν ήταν οι εξής:
•74% ήταν αποτέλεσμα εξωτερικών πηγών
•20% προκλήθηκαν από insiders
•32% συνέβαλλαν και επιχειρηματικοί συνεργάτες
•39% περιλάμβανε πολλά μέλη.

And the winner is…
Την απάντηση σε όλα αυτά, έρχεται να δώσει το Identity & Access Management (IAM). Το ΙΑΜ αφορά την ταυτοποίηση, την εφαρμογή, τη διαχείριση και τον τερματισμό των ταυτοτήτων με πρόσβαση σε συστήματα πληροφοριών ενός οργανισμού. Μέρος αυτών των ταυτοτήτων είναι το εταιρικό ανθρώπινο δυναμικό, οι χρήστες συστημάτων, οι επιχειρηματικοί συνεργάτες, καθώς και τεχνικά αντικείμενα, όπως οι εκτυπωτές. Με όλες αυτές τις μεθόδους, όλες οι φάσεις του κύκλου ζωής του ΙΑΜ υπόκεινται επεξεργασίας σε ένα ενοποιημένο σύστημα.

Στόχοι μιας αποτελεσματικής στρατηγικής ΙΑΜ, είναι:
• Η διαχείριση όλων των προσωπικών δεδομένων μιας ταυτότητας, που επιτρέπουν ένα κεντρικό, εταιρικό ονομαστικό κατάλογο.
• Η κατανομή των ταυτοτήτων σε μονάδες πληροφοριών. Οι χρήστες εργάζονται με συγκεκριμένα δικαιώματα σε ειδικευμένα τμήματα προκειμένου να ολοκληρώνουν τις εργασίες τους στο δικό τους τομέα.
• Η ασφάλεια των εταιρικών πληροφοριών μέσω διαχείρισης ρίσκου σχετικά με τις ταυτότητες και τις άδειες πρόσβασης σε εταιρικές πληροφορίες.
• Ο αυτοματοποιημένος έλεγχος και οι διαδικασίες διαχείρισης για ΙΑΜ, προκειμένου οι εργασίες του να χαρακτηρίζονται από διαφάνεια, να εντοπίζονται, να είναι πιο αποτελεσματικές, ασφαλείς και απλές.
• Η ολοκληρωμένη διαχείριση κύκλου ζωής για τις ταυτότητες – από την πρώτη εφαρμογή μέχρι την ακύρωση.

Η αξία του ΙΑΜ επεκτείνεται πολύ παραπέρα από την ασφάλεια των desktops και των εφαρμογών.

Αφορά την ασφάλεια όλων των access points του δικτύου – είτε είναι interfaces στελεχών ή συνεργατών, wired, wireless, ή εξ’ αποστάσεως. Καθώς οι οργανισμοί ξεκινούν να ανακαλύπτουν όλες τις πτυχές του ΙΑΜ, οι περιπλοκότητες προβάλλουν το άσχημο πρόσωπό τους.

Τα ενοποιημένα περιβάλλοντα δικτύου, τα διαδικτυακά συστήματα, οι χιλιάδες χρήστες και οι σκόρπιες εφαρμογές σε μια ΙΑΜ στρατηγική απαιτούν τις καλύτερες εφαρμογές να συνδυαστούν με μια συνετή προσέγγιση. Δεν υπάρχει μια απλή, τετράγωνη λύση που μπορεί να εφαρμόσει το τμήμα ΙΤ για να διαχειριστεί κάθε περίπτωση.

Μάθημα ιστορίας
Στις περισσότερες εταιρείες και δημόσιους οργανισμούς, οι προσεγγίσεις για το ΙΑΜ διαφέρουν ποικιλοτρόπως και, αντίστοιχα, υποστηρίζονται από διάφορα συστήματα ΙΤ. Αυτό συμβαίνει επειδή οι διαδικασίες και εφαρμογές των εταιρειών, γίνονταν βήμα-βήμα, ανά τα χρόνια, σύμφωνα με τις εκάστοτε ανάγκες. Τα περιβάλλοντα επικοινωνίας Windows και τα περίπλοκα ERP συστήματα συνδέονταν με συστήματα ξενιστών.

Μετά, ήρθαν προσθήκες όπως το e-commerce και τα διαδικτυακά συστήματα που οδήγησαν σε λύσεις χρήστη και άδειας, σύμφωνα με κάθε μεμονωμένη εφαρμογή. Ετσι, η ευθύνη για το user administration έχασε το κέντρο του και έπειτα, εξελίχθηκε σε δύσχρηστο. Επίσης, οδήγησε και σε ασύμβατες δομές και οι επιπλέον λειτουργίες δεν επέτρεπαν τα υψηλά κόστη της διαχείρισης και του εξοπλισμού.

Αυτά τα γεγονότα, ωστόσο, δεν ταιριάζουν καθόλου με τα σύγχρονα αρχιτεκτονικά συστήματα. Η ποικιλία εφαρμογών, η σύνδεση με εξωτερικούς συνεργάτες, η ενοποίηση των παρόχων και το αυξανόμενο ρίσκο -γενικό και νομικό- έχουν αλλάξει τα δεδομένα.


3 steps to breakthrough
Ιdentity & Access Μanagement, κατ’ αρχάς σημαίνει την καθιέρωση ενός ξεχωριστού ηλεκτρονικού identification για όλους τους τύπους εφαρμογών. Μια ταυτότητα πρέπει πάντα να ερευνάται και να ορίζεται με διαφάνεια. Με τη βοήθεια μιας λύσης υποδομής, οι ακόλουθοι στόχοι ασφάλειας πρέπει οπωσδήποτε να υπολογισθούν:

• Εγγραφή: Στο πρώτο βήμα του ΙΑΜ, η ταυτότητα πρέπει να καθορίζεται και να καταγράφεται απερίφραστα. Για αυτό, η υποδομή ενός συστήματος ΙΑΜ πρέπει να προσφέρει τις σχετικές δυνατότητες ελέγχου στη μορφή της διαδικασίας εγγραφής. Συγκρίνεται μόνο με ένα γραφείο διαβατηρίων που πρέπει να ελέγξει τα χαρακτηριστικά του καθένα που κάνει αίτηση.

• Πιστοποίηση: Η πιστοποίηση διασφαλίζει την πλήρη άδεια μιας ταυτότητας για μια συγκεκριμένη εφαρμογή ή υπηρεσία. Κάθε πρόσβαση πρέπει να είναι αποτέλεσμα της πλήρους αναγνώρισης.

• Εξουσιοδότηση: Εάν μια εφαρμογή ή υπηρεσία έχει εξουσιοδοτήσει μια ταυτότητα, τότε μπορεί να λάβει πληροφορίες μόνο για τις λειτουργίες που της επιτρέπονται.

Business as usual
Τα στελέχη περιμένουν από το ΙΤ να ανταπεξέλθει στα νέα τους έργα, αλλά δεν περιμένουν ότι η ενοποιημένη end-user πρόσβαση θα είναι κάτι πολύπλοκο. Θέλουν άμεση πρόσβαση στα νέα συστήματα, είτε αυτά αφορούν τις νέες εφαρμογές, είτε τις εφαρμογές έπειτα από μια συγχώνευση, είτε τις εφαρμογές μέσω cloud. Τα επιχειρηματικά στελέχη τείνουν να είναι λίγο ανυπόμονα στις καθυστερήσεις εάν δεν είναι δυνατό να έχουν πρόσβαση.

Η δυσκολία, όμως, δεν σταματά με την εφαρμογή. Κάθε σύστημα απαιτεί την πιστοποίησή του, οι χρήστες χρειάζεται να έχουν μνήμη ελέφαντα για να θυμούνται τα άπειρα passwords, και η παραγωγικότητα χάνεται τόσο από τα στελέχη, όσο και από το τμήμα ΙΤ που πρέπει να ανακτήσει την πρόσβασή τους.

Το παράδειγμα μιας αμερικάνικης επιχείρησης, δείχνει ποια είναι τα προβλήματα της κακής εφαρμογής ασφάλειας ΙΑΜ, καθώς οδήγησε στην παράνομη πρόσβαση σε πληροφορίες, αλλά και στην οικονομική επιρροή των πελατών της. Εντός λίγων ημερών, αφού είχαν υπογράψει επιταγές ή είχαν πληρώσει με πιστωτική κάρτα, οι πελάτες είδαν ότι συναντούσαν κάποιες οικονομικές πολυπλοκότητες. Η εταιρεία κάλεσε ερευνητές, οι οποίοι αρχικά νόμισαν πως επρόκειτο για μια «απλή» περίπτωση hacker που είχε εισβάλλει στο εταιρικό σύστημα.

Αφού αντιλήφθηκαν ότι δεν συνέβη κάτι τέτοιο, οι ερευνητές άρχισαν να ελέγχουν τα πάντα και είδαν ότι η παραβίαση ήταν στην ουσία συνδεδεμένη με ένα default user account που είχε δοθεί σε όλους του τεχνικούς του παρόχου. Στήθηκε μια παγίδα, και βρέθηκε τελικά ο ένοχος, αλλά αυτό το παράδειγμα δείχνει τα ευάλωτα σημεία που έχει να αντιμετωπίσει μια επιχείρηση, καθώς και το πόση προσοχή πρέπει να δοθεί στην προστασία δεδομένων. 

Log in or log out?
Μια υποδομή ΙΑΜ πρέπει να προσφέρει τη δυνατότητα της απόδοσης των εν λόγω εξουσιοδοτήσεων, σε μια ταυτότητα. Σε αυτή την περίπτωση είναι απαραίτητες οι διαδικασίες έγκρισης – που σχετίζονται τόσο με τον επιχειρηματικό τομέα, όσο και τις νομικές παραμέτρους.

Ανάμεσα στους σημαντικότερους μηχανισμούς είναι το σύστημα εξουσιοδότησης, καθώς είναι ύψιστης σημασίας να καθοριστούν ευέλικτες, αλλά παράλληλα διαφανείς και ανιχνεύσιμες λύσεις, που μπορούν να ενοποιηθούν στο ΙΑΜ ως μέρος του εσωτερικού συστήματος ελέγχου ρίσκου. Λόγω των περίπλοκων απαιτήσεων των ξεχωριστών λειτουργιών, ο καθορισμός των ρόλων σε συνάρτηση με την εξουσιοδότηση είναι εξαιρετικά απαιτητικός, τόσο όσον αφορά τους εταιρικούς κανονισμούς, αλλά και για νομικούς λόγους.

Επομένως, πέρα από τις λειτουργικές απαιτήσεις, είναι σημαντικό να υπάρχει πλήρης γνώση για όλες τις υπόλοιπες παραμέτρους (νομικές, κλαδικές, θεσμικές), προτού γίνει η πλήρης ενοποίηση. Αυτοματοποιημένα τεστ, μηχανισμοί έγκρισης, εσωτερικοί έλεγχοι, συμμόρφωση – όλα αποτελούν Μέσα για τον καθορισμό των απαραίτητων λύσεων. Ο συνδυασμός software και hardware λύσεων, οι διαδικασίες ασφάλειας, οι έγγραφες αιτήσεις και μια ασφαλής βάση πληροφοριών, είναι οι βασικοί παράγοντες για ασφαλή διαχείριση εξουσιοδότησης. Οι κρίσιμης σημασίας λειτουργίες για την απαιτούμενη τεχνολογία, την οργάνωση και τις διαδικασίες για την υποδομή ΙΑΜ, φέρουν το επιθυμητό αποτέλεσμα.

Επίσης, καθώς η υποδομή ΙΑΜ πρέπει να παρέχει τεχνικές υπηρεσίες ταυτοποίησης και έλεγχου πρόσβασης, προκειμένου οι χρήστες να αποφύγουν τα post its όπου έχουν σημειώσει τα passwords τους (και έχουν κολλήσει στην οθόνη του υπολογιστή), μια καλή λύση είναι το single sign-on. Αυτό σημαίνει ότι ο χρήστης χρειάζεται να κάνει log-in μόνο μια φορά, και ότι οι περαιτέρω εξουσιοδοτήσεις δεν είναι απαραίτητες.

Company message
Το ΙΑΜ πρέπει να υποστηρίζει τους επιχειρηματικούς ρόλους, αλλά και τις επιχειρηματικές δομές. Η ευθύνη για το διαμερισμό των δικαιωμάτων πρόσβασης πρέπει να μεταφερθεί και στον τομέα του business, ώστε οι εξουσιοδοτήσεις να είναι σύμφωνες με το δικαίωμα ιδιοκτησίας πληροφοριών, έπειτα, αυτές να γίνουν δεκτές και από τα υπόλοιπα ενδιαφερόμενα μέλη, και να διαμοιραστούν μέσα από μια ασφαλή πλατφόρμα.

Παράλληλα, φυσικά, πρέπει να οριστούν και οι εξουσιοδοτήσεις ανά τμήμα. Η πρόσβαση στις ευαίσθητες πληροφορίες του οικονομικού τμήματος, πρέπει να αποτελεί ευθύνη μόνο του συγκεκριμένου τομέα. Αντίστοιχα, είναι σημαντικό να έχει μεγαλύτερες ελευθερίες το τμήμα ανθρώπινου δυναμικού. Αυτό είναι που θα καθορίσει σε μεγάλο βαθμό το εύρος πρόσβασης, αυτό γνωρίζει τα μέλη του ανθρώπινου δυναμικού, καθώς και τις εταιρικές αλλαγές ή μετακινήσεις, ανάμεσα σε άλλα.

Με άλλα λόγια, τα προσωπικά data, τα προσωπικά συστήματα, και οι προσωπικές διαδικασίες, οδηγούν στη σωστή κατανομή μέτρων ασφάλειας, και κατ’ επέκταση στις ασφαλέστερες εταιρικές αποφάσεις. Αυτό έχει ως αποτέλεσμα την καλύτερη επικοινωνία, και τη μεγαλύτερη ευθύνη όλων απέναντι στο ζήτημα του ρίσκου.