5 błędów w podejściu do dostępu awaryjnego
Na kanale GRC Ninja pojawił się kolejny odcinek dotyczący zarządzania dostępem awaryjnym i uprzywilejowanych w systemach ERP / IT. Eksperci GRC ds. bezpieczeństwa SAP Filip Nowak oraz Andrzej Partyka bazując na swoich doświadczeniach zdefiniowali 5 najczęściej popełnianych błędów przy konfiguracji oraz zarządzaniu dostępem awaryjnym i uprzywilejowanym do systemu SAP.
Wsparcie systemu – czyli czas na mądre korzystanie z systemu GRC
Po zakończonym wdrożeniu systemu klasy GRC, przychodzi okres wsparcia systemu. W tym czasie śledzimy jak wdrożone rozwiązanie nabiera kolorów i w praktyce jest wykorzystane przez firmy. Niektóre robią to wzorcowo, inne nieustannie zmagają się z nowymi zaleceniami audytorów finansowych, którzy badając sprawozdania finansowe zwracają uwagę na słabości w obszarze dostępu uprzywilejowanego. Jakie są te najczęstsze błędy? Na co warto zwrócić uwagę projektując rozwiązanie? Jak ich uniknąć o tym możecie usłyszeć w najnowszym odcinku na kanale GRC Ninja. W tej serii na poziomie Ekspert, wspominamy o 5 błędach w obszarze zarządzania dostępem awaryjnym, które zostały rozłożone na części pierwsze przez naszych ekspertów.
1. Nadmierne używanie dostępu awaryjnego
Rozpoczynając pracę w systemie ERP (SAP), konsultanci mają możliwość korzystania z uprzywilejowanych kont (Firefighter), co zapewnia im specjalne uprawnienia ułatwiające wykonywanie bieżących zadań. Niestety, nie zdają sobie sprawy z konsekwencji wynikających z nadmiernego wykorzystania tych kont awaryjnych, co generuje znaczną ilość pracy dla kontrolerów, którzy analizują logi operacji wykonanych w systemie. Efektem tego nieumyślnego działania jest częste pomijanie audytów sesji oraz zaniedbywanie kontroli dostępu do systemu. Z tego powodu ważne jest, aby dostęp awaryjny był stosowany jedynie w określonych sytuacjach, dla których został pierwotnie przeznaczony, a nie jako powszechne rozwiązanie w codziennej pracy. Szeroki, awaryjny dostęp (tak zwane uprzywilejowane konta lub konta typu „Firefighter„) jest przeznaczony do użytku w sytuacjach nagłych lub sytuacjach wymagających natychmiastowej interwencji.
Oto kilka przykładów sytuacji, w których może być odpowiednie korzystanie z takiego dostępu:
Awaria systemu: Gdy występuje awaria krytycznego systemu lub aplikacji, a normalne procedury nie pozwalają na szybką reakcję w celu naprawy lub przywrócenia funkcjonalności, dostęp awaryjny może umożliwić szybki dostęp do narzędzi lub uprawnień niezbędnych do naprawy problemu.
Zagrożenie bezpieczeństwa: W przypadku wykrycia poważnego zagrożenia dla bezpieczeństwa systemu, uprzywilejowany dostęp może być wykorzystywany do szybkiej identyfikacji, zablokowania lub naprawy naruszeń bezpieczeństwa.
Nagła konieczność interwencji: Kiedy występuje nagła potrzeba interwencji w systemie lub aplikacji, a standardowe uprawnienia nie wystarczają do podjęcia niezbędnych działań, szeroki dostęp awaryjny może być używany w celu skutecznej interwencji. To często może się pojawić w trakcie go-live projektu, lub wgrania dużej porcji zmian do systemu ERP (SAP).
Problemy z wydajnością systemu: W przypadku nagłych spadków wydajności systemu, dostęp awaryjny może umożliwić szybkie działania mające na celu diagnozę i naprawę problemu, co przyczyni się do przywrócenia optymalnej wydajności systemu.
Należy jednak pamiętać, że korzystanie z szerokiego dostępu awaryjnego powinno być ograniczone tylko do rzeczywistych sytuacji nagłych, ponieważ nadmierna i nieuzasadniona jego użyteczność może prowadzić do nadmiernego ryzyka i zagrożeń dla systemu oraz danych. Ważne jest, aby stosować zasady ostrożności i przestrzegać procedur związanych z takimi uprawnieniami, unikając nadmiernego i niekontrolowanego ich wykorzystywania w codziennej pracy.
Zbyt częste korzystanie z kont awaryjnych (takich jak uprzywilejowane konta typu „Firefighter”) może prowadzić do szeregu negatywnych skutków i konsekwencji, które mogą mieć wpływ na funkcjonowanie systemu oraz bezpieczeństwo danych. Oto kilka potencjalnych skutków nadmiernego używania tych kont:
Ryzyko bezpieczeństwa: Częste logowanie się na konta awaryjne zwiększa ryzyko naruszenia bezpieczeństwa systemu. Im więcej osób korzysta z tych kont, tym większe prawdopodobieństwo, że dane dostępu mogą zostać skompromitowane lub wykorzystane w sposób niezgodny z zasadami bezpieczeństwa.
Brak śledzenia działań: Nadmierna praca na kontach awaryjnych może prowadzić do pomijania odpowiedniej dokumentacji i śledzenia operacji wykonywanych przez użytkowników. To z kolei może utrudnić audyt, analizę i śledzenie działań w systemie, co jest istotne w przypadku incydentów bezpieczeństwa lub audytów.
Naruszenie zasad zgodności: W przypadku systemów, które podlegają regulacjom prawno-organizacyjnym (np. PCI DSS, GDPR), nadmierne korzystanie z kont awaryjnych może prowadzić do naruszenia wymogów zgodności, które wymagają ścisłego monitorowania dostępu i działań użytkowników.
Zwiększone ryzyko błędów: Używanie kont awaryjnych bez konieczności w nagłych przypadkach może prowadzić do błędów operacyjnych lub nieprzemyślanego działania, co z kolei może spowodować poważne problemy w systemie lub aplikacji.
Obciążenie systemu: Nadmierna liczba użytkowników pracujących na kontach uprzywilejowanych może generować dodatkowe obciążenie dla systemu, co może wpłynąć na jego wydajność i stabilność.
Dlatego też ważne jest, aby korzystać z kont awaryjnych tylko w sytuacjach, dla których zostały one pierwotnie przeznaczone – czyli w przypadku pilnych, awaryjnych zadań, które nie mogą być wykonane za pomocą standardowych uprawnień. Regularne szkolenia i świadomość pracowników na temat właściwego i kontrolowanego korzystania z tych kont są kluczowe dla zapewnienia bezpieczeństwa i sprawnego funkcjonowania systemów informatycznych.
2. Brak kontroli działań realizowanych na kontach awaryjnych
Drugi błąd jest połączony z opisywanym wcześniej gdzie mamy sytuację, że w ogóle kontrola nie jest przeprowadzona. Wynika to ze zbyt dużej liczby logów, których kontroler nie jest w stanie efektywnie przejrzeć. Następnie nie można określić jakich zmian dokonano w systemie na koncie awaryjnym. Brak kontroli działań na kontach uprzywilejowanych może prowadzić do różnorodnych negatywnych skutków, w tym:
Zwiększone ryzyko bezpieczeństwa: Brak monitorowania działań na uprzywilejowanych kontach może prowadzić do nieuprawnionego dostępu do krytycznych zasobów lub danych. To z kolei może spowodować ich utratę, kradzież lub manipulację, narażając organizację na ryzyko cyberataków lub naruszeń bezpieczeństwa.
Trudności w wykrywaniu incydentów: Bez śledzenia działań na takich kontach, trudniej jest wykryć potencjalne incydenty bezpieczeństwa lub działania nieautoryzowane, co może prowadzić do opóźnionej reakcji na zagrożenia lub nawet uniemożliwić ich wykrycie w odpowiednim czasie.
Brak zgodności z przepisami: W niektórych sektorach i branżach istnieją wymogi prawne dotyczące monitorowania i raportowania działań użytkowników, w tym również tych korzystających z kont uprzywilejowanych. Brak odpowiedniej kontroli może prowadzić do naruszeń przepisów i regulacji prawnych.
Ryzyko nadużycia uprawnień: Bez monitorowania działań na kontach uprzywilejowanych istnieje ryzyko nadużycia tych uprawnień przez pracowników lub osób trzecich. Umożliwia to podejmowanie działań, które przekraczają zakres uprawnień i mogą naruszyć integralność systemu lub danych.
Trudności w audytach i śledzeniu incydentów: Brak kontroli działań na uprzywilejowanych kontach utrudnia audyty, analizę incydentów i śledzenie działań użytkowników w systemie. To z kolei utrudnia rekonstrukcję zdarzeń lub odpowiedź na pytania dotyczące działań wykonanych w przeszłości.
Dlatego właściwe monitorowanie i kontrola działań na uprzywilejowanych kontach są kluczowe dla zapewnienia bezpieczeństwa systemów, zapobiegania incydentom bezpieczeństwa oraz zachowania zgodności z przepisami i regulacjami branżowymi. Regularne audyty i śledzenie działań użytkowników są niezbędne, aby minimalizować ryzyko wystąpienia incydentów oraz zapewnić transparentność i wiarygodność działań podejmowanych na tych kontach.
3. Brak wiedzy kontrolera firefighter na temat wykonywanych czynności w trakcie sesji
Największa liczba błędów często wynika z braku wiedzy lub nieznajomości danego systemu. Nawet jeśli kontroler jest dobrze zaznajomiony z ogólnymi wymaganiami dotyczącymi bezpieczeństwa, może mu brakować szczegółowej znajomości specyfiki danego systemu, takiego jak np. SAP, który posiada bardzo rozbudowane i skomplikowane możliwości funkcjonalne. W rezultacie podczas przeprowadzania kontroli logów z działań realizowanych na kontach Firefighter może nie zwracać uwagi na konkretne działania, które mogą negatywnie wpływać na stabilność całego systemu. To prowadzi do nieskuteczności kontroli, a szkodliwe działania pozostają niewykryte. Brak uwagi lub niezauważenie szkodliwych działań wpływających na stabilność systemu podczas kontroli może skutkować kilkoma niekorzystnymi konsekwencjami:
Bezpieczeństwo systemu i danych: Ignorowanie pewnych działań, które mogą mieć wpływ na stabilność, może również otworzyć furtkę dla ataków bezpieczeństwa lub zagrożeń, które mogą zaszkodzić integralności systemu lub danych.
Koszty naprawy: Niezidentyfikowane błędy lub problemy, które pozostają niewykryte podczas kontroli, mogą prowadzić do konieczności późniejszych napraw, co z kolei generuje dodatkowe koszty związane z utrzymaniem systemu.
Utrata zaufania i reputacji: Powtarzające się problemy wynikające z braku skutecznej kontroli mogą obniżyć zaufanie użytkowników do systemu lub instytucji odpowiedzialnej za jego zarządzanie, co może negatywnie wpłynąć na reputację firmy lub organizacji.
4. Ręczna obsługa procesu wynikająca z braku narzędzia klasy GRC
Brak implementacji odpowiedniego narzędzia klasy GRC często wynika z chęci oszczędności lub przekonania, że przy aktualnym rozmiarze firmy (niewielka liczba użytkowników) narzędzie to nie jest konieczne. W dłuższej perspektywie czasu i z uwagi na rosnącą liczbę działań, które muszą być wykonywane ręcznie (np. zwykłe blokowanie/odblokowanie użytkownika, pobieranie logów, analiza ręczna danych, pilnowanie aby każda sesja została sprawdzona, etc), prowadzi to do narastania kolejnych problemów. Manualne pobieranie i zapisywanie logów po każdej sesji może okazać się nieefektywnym rozwiązaniem. Brak odpowiedniego narzędzia do kontroli wynikający z małej liczby użytkowników podważa cały proces audytu i kontroli logów. Sytuacja, w której brak jest zaimplementowanego narzędzia kontroli w firmie lub organizacji z powodu chęci oszczędności lub przekonania, że przy niewielkiej liczbie użytkowników nie jest to potrzebne, może skutkować kilkoma negatywnymi konsekwencjami:
Brak efektywności operacyjnej: Manualne wykonywanie operacji, które mogłyby być zautomatyzowane przez odpowiednie narzędzie, może prowadzić do straty czasu i zwiększenia pracy administracyjnej. To z kolei może obniżyć ogólną efektywność działania zespołu IT lub personelu odpowiedzialnego za zarządzanie systemem.
Zwiększone ryzyko ludzkiego błędu: Wykonywanie ręcznych operacji, takich jak blokowanie/odblokowanie użytkowników, może zwiększać ryzyko ludzkich błędów, co z kolei może prowadzić do nieprawidłowych działań lub naruszeń bezpieczeństwa w obszarze dostępu uprzywilejowanego.
Problemy z audytem i zgodnością: Brak narzędzia do automatyzacji kontroli i zapisywania logów może wpłynąć na trudności z audytem oraz utrzymaniem zgodności z regulacjami i wymogami prawno-organizacyjnymi.
Brak skalowalności: W miarę rozwoju firmy lub organizacji, niewdrożenie odpowiedniego narzędzia może prowadzić do trudności w skalowaniu procesów, co może generować problemy w przyszłości.
Utrata danych lub informacji: Manualne zarządzanie danymi lub logami po każdej sesji może prowadzić do błędów lub utraty informacji, co z kolei może skutkować niekompletnymi lub niewystarczającymi danymi do analiz w obszarze dostępu awaryjnego.
Dlatego też, choć w początkowej fazie firmy może wydawać się, że narzędzie do automatyzacji kontroli nie jest potrzebne z powodu niewielkiej liczby użytkowników, warto rozważyć jego wdrożenie z myślą o przyszłym rozwoju i zapewnieniu efektywności, bezpieczeństwa oraz zgodności działań. Skutkiem niedoinwestowania w odpowiednie narzędzia może być konieczność późniejszego naprawiania powstałych problemów oraz utrudnienie rozwoju firmy w dłuższej perspektywie czasu.
5. Zbyt szeroki dostęp dla kont FireFighter
Sytuacja taka występuje, gdy firma uruchamia proces, nie mając wcześniej zdefiniowanego i przemyślanego konceptu ról oraz uprawnień. Tworzenie kont FireFighter zaczyna się od stworzenia kont posiadających pełny dostęp w systemie. W efekcie, w sytuacjach, gdzie wystarczyłoby utworzenie konta FireFighter z dostępem do wyznaczonego modułu, użytkownik otrzymuje pełne uprawnienia, które pozwalają na dostęp do poufnych danych, narażając firmę na niepotrzebne ryzyko. Może to dotyczyć niedoświadczonego konsultanta, który nieświadomie podejmuje działania, wpływając na cały system. Sytuacja, w której tworzone są konta FireFighter z pełnymi uprawnieniami, zamiast ograniczonych do niezbędnych modułów lub funkcjonalności, może prowadzić do kilku negatywnych skutków:
Ryzyko błędów i przypadkowych działań: Nadmierna ilość uprawnień dla użytkowników, którzy nie są w pełni świadomi zakresu tych uprawnień, może prowadzić do przypadkowych działań lub błędów. To z kolei może powodować awarie systemowe lub problemy z danymi.
Zwiększone ryzyko utraty danych: Pełne uprawnienia dla użytkowników, którzy nie powinni mieć dostępu do wszystkich danych, zwiększają ryzyko utraty danych lub ich niewłaściwego wykorzystania.
Brak kontroli i audytu: Nadmiernie przyznane uprawnienia mogą prowadzić do utraty kontroli nad działaniami użytkowników. Trudniej będzie śledzić i audytować, kto i w jaki sposób korzysta z tych szerokich uprawnień, co z kolei może utrudnić identyfikację ewentualnych zagrożeń lub nieprawidłowości.
W rezultacie, nadanie zbyt szerokich uprawnień użytkownikom może prowadzić do poważnych konsekwencji dla bezpieczeństwa systemu, danych oraz wydajności firmy. Jest to zagrożenie zarówno dla samej organizacji, jak i dla jej klientów czy partnerów biznesowych. Dlatego istotne jest, aby nadawać uprawnienia zgodnie z zasadą zasady najmniejszych przywilejów, czyli przyznawania jedynie tych uprawnień, które są niezbędne do wykonania określonych zadań, aby zminimalizować ryzyko wystąpienia wspomnianych problemów.
W trakcie rozmowy Andrzej i Filip omawiają rozwiązania dla poszczególnych sytuacji. Film z całej rozmowy znajdziesz na kanale GRC Ninja na YouTube
Podsumowanie
W trakcie korzystania z systemu zawsze pojawią się błędy. Znajomość opisanych sytuacji pozwoli na świadome zarządzanie i korzystanie z dostępu awaryjnego i uprzywilejowanego. Ta rozmowa skupiła się na błędach popełnianych w projektowaniu dostępu awaryjnego. Omówiono również ryzyka związane z nadmiernymi uprawnieniami użytkowników, którzy pracują na kontach uprzywilejowanych oraz brakiem świadomości czy narzędzi do kontroli. Nadmierne przyznawanie uprawnień może prowadzić do bezpieczeństwa danych, problemów z audytem oraz narażać na błędy systemowe. Podkreślono znaczenie zasady najmniejszych uprawnień, tylko tych niezbędnych do realizacji zdań na kontach awaryjnych. Wdrożenie odpowiednich narzędzi do zarządzania uprawnieniami specjalnymi – uprzywilejowanymi oraz monitorowania tych działań jest kluczowe. Świadome korzystanie z narzędzi automatyzujących procesy oraz systematyczne audyty w celu śledzenia działań stanowią fundament bezpiecznej i efektywnej operacyjności systemów IT. Stabilność, zgodność z przepisami oraz ochrona danych są priorytetami, które wymagają odpowiedzialnego podejścia do zarządzania uprawnieniami i monitorowania infrastruktury IT, co jest niezbędne w erze ciągłych zmian technologicznych i dynamicznego środowiska biznesowego.