Kuidas korraldada ettevõttes salasõnade jagamist?

 

Järjest lisanduvate küberohtude maailmas tuleks asjad korraldada nii, et töötajatele ei jagata mitte paroole ühe või teise IT-süsteemi kasutamiseks, vaid kasutajaõigusi, kirjutab Datafoxi juhatuse liige Risto Kiilberg. Et seda efektiivselt ja turvaliselt korraldada, on mõistlik kasutusele võtta kasutajaõiguste halduse tarkvara nagu Thycotic Privilege Manager või Thycotic Secret Server.

 

Paljud ettevõtted on kokku puutunud olukorraga, kus töötaja lahkub ning keegi täpselt enam ei mäleta, millistele süsteemidele, andmebaasidele, pilvekeskkondadele või seadmetele tal ligipääs oli. Asja muudab keerukamaks see, kui kõigil neil ressurssidel on erinevad administraatorid või peakasutajad, kes kasutajaõigusi jagavad, muudavad ja kustutavad. Nii jäetakse sageli lahkunud töötajate kontod blokeerimata – uuringute järgi on näiteks USAs ligi kolmandikul töötajatest õnnestunud eelmise tööandja süsteemidesse sisse logida.

 

Teine probleem on see, et kui salasõnu jagab töötajatele administraator, toob see kaasa lisariske. Paljud paroolid on ühele konkreetsele inimesele teada ning sageli jagatakse neid krüpteerimata sõnumite või e-posti vahendusel, mis võimaldab küberkurjategijatel infovahetusse sekkuda ja salasõnad teada saada.

 

Paroole teab vaid server, mitte administraator

Kõige mõistlikum viis töölt lahkunute kontode blokeerimiseks ja üldse paroolide jagamise korraldamiseks on spetsiaalne kasutajaõiguste halduse tarkvara. Üldine filosoofia on siin see, et administraator ei jaga paroole, vaid kasutajaõigusi. Paroolid loob spetsiaalne tarkvara või server ning ei administraator ega ükski teine inimene peale konkreetse kasutaja seda salasõna ei tea. Haldussüsteem vahetab ise parooli teatud kindlaksmääratud aja järel või sulgeb konto siis, kui inimene oma töö mingi IT-ressursiga lõpetab.

 

Nii on võimalik jagada keskselt ühest kohast kasutajaõigusi kõigile võrguressurssidele, veebisaitidele, seadmetele, andmebaasidele, IT-süsteemidele. Õigusi andes saab ära määrata, mida konkreetne töötaja saab kõnealuses süsteemis üldse teha – mis tasemel andmeid vaadata, mida muuta, milliseid rakendusi käivitada jne. Kogu töötaja tegevus mistahes süsteemis salvestatakse kas logide, videopildi või klaviatuurivajutustena. Eriti kriitilisele ressursile ligipääsu andmiseks võib seada tingimuseks, et inimese kasutajaõigused peab kinnitama mitu administraatorit. Kui töötaja ametikohta vahetab või tööl lahkub, käib tema kasutajaõiguste sulgemine paari hiireklikiga.

 

Thycoticu lahendused kasutajaõiguste automaatseks halduseks

Datafoxi partneriks on identifitseerimise turvalahenduste arendaja Thycotic, kes pakub mitut lahendust kasutajaõiguste automatiseeritud halduseks. Thycotic Privilege Manager võimaldab keskselt hallata mistahes IT-ressursside kasutajaõigusi, luua paindlikke turvapoliitikaid eri tasemel õigusteks ning omada pidevat ülevaadet administraatoriõigustest erinevates lõppseadmetes, rakendustes ja kontodes. Samuti saab selle tarkvara kaudu lubada või blokeerida rakenduste käivitamist ning saada raporteid rakenduste kasutamisest ja pahavara blokeerimisest. Automaatne kasutajaõiguste haldus vähendab oluliselt ka kasutajatoe ja administraatorite koormust, kes muidu peaksid panustama hulgaliselt tööaega korrektsete õigustega kasutajakontode loomisele.

 

Keerukamateks lahendusteks sobib Thycotic Secret Server, mis võimaldab keskselt juhtida kasutajaõigusi piiramatus hulgas seadmetes ja rakendustes ning kohandada kogu süsteemi paindlikult vastavalt konkreetse ettevõtte vajadustele. Secret Serveriga saab näiteks luua ka keskse ja krüpteeritud parooliseifi, saada täieliku ülevaate kõigis süsteemides kasutusel olevatest eri tasemel kasutajaõigustest, jagada, muuta ja kustutada kasutajaõigusi, juhtida töövoogu kasutajaõiguste jagamiseks ning delegeerida ligipääse. Samuti on võimalik monitoorida ja salvestada, mida konkreetne kasutaja IT-süsteemides teeb, et avastada võimalikke väärkasutusi. Nii Privilege Manageri kui ka Secret Serverit saab kasutada pilveteenusena või ettevõttes kohapeal asuvas füüsilises serveris.

 

Kui soovid lisainfot kasutajaõiguste halduse lahenduste kohta, siis kirjuta:

Ristoymmargune

 

 

Risto Kiilberg

[email protected]

 

 

 

 

 

 

Loe lisaks:

Kohtutäituribüroo Andrei Krek võttis kasutusele meie loodud rakenduse Simpledsk

Kanaliülene teenindusplatvorm Zendesk jagas tooted viieks paketiks