O-STA

O pravici do nadzora sistemskih uporabniških računov

10.1.2014
Observe IT, vodilni dobavitelj izdelkov za napredno spremljanje in snemanje uporabniške aktivnosti na ključnih strežniških sistemih, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,

predstavlja razmislek o problematiki nadziranja sistemskih oz. privilegiranih uporabniških računov (npr. root) in predvsem o moralni dilemi takega nadzora. Je sprejemljiva ali ne? Je moteča ali ne? O tem si lahko zastavimo nemalo vprašanj in morda tudi nekoliko podvomimo vase.

Ali je prav, da podjetja budno spremljajo in beležijo vsa dejanja "zaupanja vrednih" uporabnikov znotraj informacijskega sistema organizacije?

Vaš odgovor je lahko vneti "Da!", ali pa prizadeti "Ne!", kar je običajno odvisno predvsem od vaše vloge v podjetju. Morda pa še niste prepričani, saj vidite obe plati medalje in vam ni tako enostavno odgovoriti na to vprašanje. V tem primeru vam bo mogoče pomagalo razmisliti o prednostih nadzora nad dejanji uporabniških računov oz. ljudi, ki so si pridobili zaupanje in imajo dostop do občutljivih podatkov.

Najprej naj izpostavimo statistike o vse več in več podatkovnih kršitvah, ki se dogajajo povsod, in o veliki verjetnosti, da bo razkritje občutljivih podatkov povzročilo veliko zaskrbljenosti med kupci, partnerji, delničarji in drugimi s podjetjem povezanimi organizacijami in osebami. Forrester-jeva nedavna raziskava 'Understand the State of Data Security and Privacy' ugotavlja, da je 25% vseh kršitev varnosti podatkov posledica zlonamernega dejanja osebe znotraj organizacije. Če se kršitve dogajajo, jih 92% običajno sploh ne odkrijejo tudi z orodji SIEM ne, za odkritje 64% ugotovljenih incidentov pa sploh niso zaslužne žrtve same, temveč druge organizacije. Privilegiran uporabnik v finančni ustanovi lahko dokaj enostavno krši več sto, tisoč ali celo več milijonov zbirk osebnih podatkov strank, veliko nedolžnih ljudi, ki organizaciji zaupajo svoje osebne podatke, bo izpostavljeni kraji identitete in morebitni finančni škodi. Glede na dosedanje izkušnje je velika verjetnost, bo oškodovana organizacija to izvedela šele iz TV dnevnika, sledila bo katastrofalna izguba strank, krhanje odnosov s partnerji, gnev delničarjev, milijonska škoda. Okrevanje bo težko, dolgotrajno, včasih celo nemogoče.

Torej, če razmislimo, bomo kaj hitro spoznali, da lahko največ škode naredijo kršitve podatkov kot posledica dejanj privilegiranih uporabnikov, bodisi zaposlenih oseb ali zunanjih izvajalcev, ki so si pridobili zaupanje organizacije oz. so edini sposobni narediti določena opravila. Ali ni potem smiselno, imeti implementiran nekakšen nadzor, budno oko Velikega Brata, ki spremlja praktično vsako dejanje privilegiranega uporabnika? V veliki organizaciji danes na žalost ni več dovolj osredotočiti rešitve IT varnosti na nevarnosti od zunaj, potreba po varnosti podatkov upravičuje interni nadzor dejanj privilegiranih uporabnikov z obsežnimi pravicami dostopa do strežnikov.

Med bolj skritimi prednostmi spremljanja privilegiranih računov lahko naštejemo tudi:

• ljudje, ki vedo da jih nekdo opazuje, ali pa da se njihova dejanja nekam beležijo, se pravilneje obnašajo, to velja tudi za zaposlene in še bolj za zunanje izvajalce;
• finančne koristi, ki so posledica povečanja produktivnosti sodelavcev;
• prihranjeni stroški zaradi zmanjšanja količine izpadov in izgubljenih delovnih ur;
• doseganje kompletnejše strategije IT varnosti, posledično tudi veliki prihranki;
• izpolnjevanje skladnostnih predpisov, ki zahtevajo revizijsko sledljivost;
• tudi poenostavljeno pripravljanje revizijskih poročil pomeni manj stroškov;
• in ne nazadnje - v bodoče ne bo več neupravičenega kazanja s prstom in užaljenosti med sodelavci, saj sedaj imamo na razpolago trdne dokaze o dejanjih in odgovornosti.

Na splošno, seveda, se lahko privilegirani uporabniki počutijo užaljeno, kot da niso vredni zaupanja med opravljanjem svojega dela in / ali kod da nekdo vdira v zasebnost? Pa kaj? Nadzor ni uperjen osebno proti njim, cilj nadzora je varnost informacijskega sistema organizacije. In govora je o nadzoru na delovnem mestu, kjer, konec koncev ni prostora za zasebne zadeve, kajne? Sploh pa ne predlagamo popolnega nadzora delovnega mesta, temveč le aktivnosti privilegiranih računov, s katerimi bi naj sodelavci delali le del časa preživetega v službi.

Nadzor pomeni zaščito podatkov in varnost podatkov je bolj pomembno od nekaj moralnih dilem, drži? Mi menimo, da je to popolnoma res.

Prevod: Robert Lubej

Povezava do domače strani:

http://blog.observeit.com/

### ### ###

O Observe IT

Observe IT je dobavitelj programskih rešitev za napredno spremljanje in beleženje tj. snemanje uporabniških aktivnosti na ključnih strežniških sistemih. Brez ovir se seveda lahko uporablja tudi za spremljanje dela na delovnih postajah, a primarni interes so strežniki, na katerih tudi ni težav o poseganju v zasebno sfero zaposlene osebe, saj se na strežnikih nikoli ne počnejo zasebne stvari. Podjetje je bilo ustanovljeno leta 2006, njegova vodilna motivacija je 'poenostavitev življenja' IT vodjem in varnostnim strokovnjakom. Naloge rešitve Observe IT so:

· snemanje uporabniške aktivnosti na strežniku - celotna seja se posname v obliki video posnetka sestavljenega iz množice zaslonskih slik (screenshot);
· ustvarjanje tekstovnih dnevniških zapisov o aktivnosti vseh aplikacij znotraj uporabniške seje, tudi za tiste aplikacije, ki nimajo svojega notranjega sistema za kreiranje dnevnikov;
identifikacija deljenih uporabniških računov ('admin', 'root') in zaznavanje kraje identitet;
· podpora forenzičnim preiskavam - enostaven dostop do vseh shranjenih podatkov - dnevnikov in posnetkov - napredno iskanje, analize in poročanje;
· enostavna integracija s SIEM rešitvami;
· popolno pokritje - vsi uporabniki, vse aplikacije, vsi protokoli in vse oblike delovnih okolij, vse vrste uporabniških sej.

Več o podjetju, katerega sedež je v Izraelu, najdete na spletnih straneh: http://www.observeit-sys.com.


Dodatne informacije:
Matic Knuplež, inženir IT varnosti
matic.knuplez@real-sec.com

REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com