Nigdy nie ufać, zawsze weryfikować
Organizacje szukają różnych sposobów, aby przeciwstawić się cyberprzestępcom. Jednym z najnowszych trendów jest ograniczenie do minimum zaufania wobec użytkowników firmowych sieci.
IAM oraz PAM na fali wznoszącej
Na pewno kciuki za rozwój modelu Zero Trust trzymają dostawcy systemów IAM (Identity and Access Management) oraz PAM (Privileged Access Management). Oba rozwiązania służą do kontroli użytkowników sieci, a postępujący spadek zaufania pracodawców do personelu oznaczać będzie dla producentów tych produktów wzrost przychodów i zysków. Gartner przewiduje, że w 2024 r. globalne przychody w segmencie IAM mają osiągnąć poziom 19 mld dol., a więc o 5,3 mld dol. więcej niż w ubiegłym roku. Nieco mniej pieniędzy wpłynie na konta dostawców PAM, gdyż w 2024 r. ma to być 2,9 mld dol., co oznacza 50-procentowy wzrost w porównaniu z 2018 r. Analitycy tej firmy twierdzą przy tym, że ponad połowa incydentów naruszających bezpieczeństwo będzie efektem braku systemów do kontroli uprawnień.
IAM odpowiada za kontrolę dostępu do krytycznych informacji i pozwala kontrolować dostęp do krytycznych informacji. System oferuje możliwość pojedynczego logowania z dowolnego urządzenia, a także realizację mechanizmów uwierzytelniania dwuskładnikowego i wieloskładnikowego czy zarządzanie dostępem uprzywilejowanym. Technologie te zapewniają również możliwość bezpiecznego przechowywania danych dotyczących tożsamości i profilu.
– IAM powinien być podstawą w każdej firmie, która korzysta przynajmniej z kilku aplikacji oraz zarządza dostępami do zasobów dyskowych w chmurze, jak Sharepoint, Google Drive czy Dropbox. Wdrożenie PAM może być kolejnym krokiem, który podejmie taka organizacja – mówi Rafał Barański, CEO braf.tech.
PAM z kolei jest przeznaczony do kontroli poczynań administratorów IT. Jak wiadomo mają oni dostęp do najbardziej poufnych informacji, takich jak korespondencja mejlowa, lista płac czy treści zawieranych umów. Poza tym mogą dezaktywować zabezpieczenia IT – antywirusy, firewalle czy narzędzia do backupu. Niestety, zdarza się, że szerokie uprawnienia i możliwości ingerencji w infrastrukturę IT prowadzą do nadużyć.
– W Polsce systemy klasy PAM, IAM cały czas zyskują na popularności. Trendy cyberbezpieczeństwa płynące z krajów zaawansowanych technologicznie pokazują, że rozwiązania te stają się filarem bezpieczeństwa IT. Zmiany te mogą być powiązane także z planowaną aktualizacją regulacji i norm takich jak RODO czy ISO27001 – podkreśla Kamil Budek.
Zdaniem specjalisty
Badanie przeprowadzone przez Cisco wśród pracowników polskich firm umożliwiających pracę zdalną, wykazało, że narzędzia oraz procedury cyberbezpieczeństwa powinny zostać uproszczone. Pozwoli to nie tylko zaoszczędzić czas czy zwiększyć produktywność, ale przede wszystkim efektywniej chronić firmowe sieci. Według naszych danych stosunkowo niewielu polskich pracowników (około 13 proc.) korzysta obecnie z bezhasłowych sposobów uwierzytelniania. Dla przykładu, logowanie na podstawie rozpoznawania twarzy jest komfortowe jedynie dla 36 proc. osób. Taką samą opinię w stosunku do wykorzystania odcisku palca wyraziło już 61 proc. respondentów. Tylko 22 proc polskich pracowników wie o istnieniu w ich organizacji systemów pojedynczego logowania, które pozwalają na bezpieczny dostęp do platform i aplikacji bez logowania się za każdym razem. Ponadto tylko połowa pracowników zna i korzysta z VPN (48 proc.) oraz uwierzytelniania wieloskładnikowego (50 proc.).
Wśród rodzimych firm od kilku lat zauważamy wzrost zainteresowania rozwiązaniami do uwierzytelniania wieloskładnikowego, szczególnie dotyczy to dużych przedsiębiorstw. To odpowiedź na coraz bardziej wyrafinowane oszustwa finansowe, cyberataki oraz zmianę modelu pracy na hybrydowy. Uwierzytelnianie wieloskładnikowe obecnie to już nie opcja, ale konieczność. Kombinacja nazwy użytkownika i hasła przestała być wystarczającym zabezpieczeniem ze względu na zwiększoną ilość skutecznych ataków kończących się wyłudzeniem danych uwierzytelniających. Większość użytkowników nadal korzysta z tych samych poświadczeń logowania do wielu różnych zasobów, co również ułatwia zadanie cyberprzestępcom. Stosowanie uwierzytelniania wieloskładnikowego skutecznie eliminuje ten problem, ponieważ poza wprowadzeniem nazwy użytkownika i hasła, wymaga dodatkowej autoryzacji.
Klienci biznesowi mają zazwyczaj niewielką świadomość na temat korzyści, jakie niesie ze sobą wdrożenie mechanizmów uwierzytelniania wieloskładnikowego. Niesłusznie też uważają, że wiąże się to z dużymi nakładami finansowymi czy koniecznością posiadania wysoko wykwalifikowanej kadry technicznej. W rezultacie stosunkowo niewiele firm korzysta na co dzień z uwierzytelniania wieloskładnikowego. Natomiast najbardziej mobilizującym czynnikiem, który skłania do szybkiej adaptacji MFA, są różnego rodzaju regulacje. Dobrym przykładem jest niewątpliwie unijna dyrektywa PSD2, która wprowadziła do ustawy o usługach płatniczych w polskim porządku prawnym konieczność stosowania silnego uwierzytelnienia. Tym samym banki zostały zobligowane do uruchomienia minimum dwuetapowego procesu potwierdzania tożsamości klienta.
Podobne artykuły
NIS2 jako szansa na biznes
W październiku tego roku upływa termin przyjęcia przez wszystkie państwa członkowskie Unii Europejskiej dyrektywy NIS2. Czy dostawcy mogą liczyć na wzrost sprzedaży usług i rozwiązań cybersecurity?
SASE to przyszłość łączności i bezpieczeństwa
Odpowiedzią na postępujące rozproszenie danych i aplikacji, znajdujących się obecnie nie tylko w firmowej serwerowni, ale także w różnych usługach chmurowych, jest połączenie sieci i aspektów dotyczących bezpieczeństwa w pakiet rozwiązań o wspólnej nazwie SASE.
Wideokonferencje: czas na indywidualne rozwiązania
Powszechna praca zdalna i hybrydowa „rozpędziła” rynek rozwiązań do wideokonferencji. Nieuchronne wzrosty sprzedaży może hamować brak standaryzacji i interoperacyjności między poszczególnymi platformami.