Liczba systemów informatycznych wykorzystywanych w każdej organizacji rośnie w zaskakującym tempie. Aby z nich korzystać, użytkownik musi dokonać autentykacji w każdym systemie z osobna (chyba że zostało wdrożone rozwiązanie single sign-on). Rosnąca liczba systemów oznacza pojawienie się problemu przydziału użytkownikom uprawnień. Kłopoty wynikające z dużej liczby kont w systemie, trudności weryfikacji, do kogo one należą oraz czy są nadal wykorzystywane, to sytuacje widoczne zwłaszcza podczas audytu infrastruktury IT. Najprościej byłoby zablokować konta, o których nic nie wiemy, i odczekać, aby użytkownicy sami się do nas zgłosili. Takie rozwiązanie nie wchodzi jednak w grę, gdy administrujemy systemem krytycznym dla działalności organizacji.

Rozmywanie odpowiedzialności

Można powiedzieć, że opisany problem nie pojawiłby się, gdyby każde konto w systemie było zakładane po uprzednim zautoryzowaniu tej operacji przez uprawnioną do tego osobę oraz gdybyśmy mieli "oficjalny papier" - dla każdego konta. Jeżeli polityka dostępu do systemu jest stosowana bez wyjątku, to faktycznie dokładnie wiemy, kto z niego korzysta. Jednak czy rzeczywiście jesteśmy w stanie odpowiedzieć na pytanie o to, kto, do czego i dlaczego ma dostęp do systemu w danej chwili?

Częstym zjawiskiem w dużych instytucjach jest współdzielenie kont przez użytkowników. Z taką sytuacją mamy do czynienia wtedy, gdy pracownicy nie mogą doczekać się dostępu do systemu, a muszą wywiązać się z powierzonych im obowiązków. Jeżeli system wykorzystywany jest sporadycznie, np. raz w miesiącu do wystawienia faktur, osoby odpowiedzialne za to zadanie korzystają z jednego konta, dzięki czemu mogą wykonać swoją pracę. W takim wypadku niemożliwe jest określenie, kto w danym czasie pracował w systemie i np. skasował informacje o płatnościach dla pracowników. Oczywiście jeżeli grupa osób współdzielących konto jest niewielka, można spróbować ustalić - z pewną dozą niepewności - kto jest odpowiedzialny za zmiany. Jednak gdy grupa użytkowników jest większa, określenie osoby odpowiedzialnej za wykonanie danej operacji nie jest wcale zadaniem łatwym.

Na żądanie użytkownika

Jak zabezpieczać się przed tego typu nadużyciami?

[...]

Autor zajmuje się projektowaniem i wdrażaniem rozwiązań technologicznych związanych z zarządzaniem tożsamością oraz dostępem. Jest konsultantem ds. bezpieczeństwa w firmie Infovide-Matrix SA.