Automatické a bezpečné přidělování oprávnění pro vstup do systémů v KB

01. září 2016

POTŘEBA: Jak maximálně snížit riziko zneužití přístupových oprávnění do citlivých firemních aplikací?

Komerční banka (stejně jako mnoho dalších společností podobné velikosti a struktury) denně čelí riziku zneužití přístupových oprávnění do jednotlivých systémů.

Banka od roku 2006 využívá pro správu přístupových oprávnění do jednotlivých IS/IT systémů IdM (Identity Management) řešení od společnosti IBM, a sice ITIM/ISIM. V současnosti se jedná o více než 10 000 aktivních uživatelů v desítkách připojených aplikací.

Tak velké prostředí s sebou neslo obrovské riziko zneužití. Jak to?

Příčinou byl samotný princip fungování aplikace. Přidělování oprávnění bylo totiž schvalováno pouze v momentu jejich přidělení / odebrání a jejich přidělení nebylo časově nijak omezeno. (Opakovaná certifikace přiřazených oprávnění pouze podle interního předpisu v praxi nepřináší potřebný stupeň jistoty.)

V Komerční bance je navíc mnoho osob s dlouhou pracovní historií v rámci banky (navíc často na několika různých pozicích), u nichž docházelo ke kumulaci přístupových oprávnění.

Na tento nevyhovující stav Komerční banku upozornilo hned několik auditních nálezů (interní audit KB nebo audit mateřské společnosti Société Générale).

Kromě naší reputace na trhu byl jedním z důvodů, proč v létě 2013 Komerční banka oslovila právě TRASK i fakt, že právě my jsme do banky svého času IdM řešení zaváděli. Na odstranění problému s přístupovými oprávněními jsme ihned začali společně pracovat.

Chtěli jsme především, aby s tím v Komerční bance měli ve výsledku co nejméně práce.


ŘEŠENÍ: Automatizace přidělování oprávnění podle aktuální potřeby přes naši aplikaci

Naším řešením je aplikace nazvaná Access Rights Review (ARR). Její hlavní síla je v pravidelné automatizaci recertifikace přístupových oprávnění. Každý z tisíců zaměstnanců je získává podle principu „need-to-know“ (tj. jen tehdy, když je pro svou práci potřebuje). Recertifikace se také např. automaticky spustí při změně pracovní pozice. To odstraňuje problém kumulace oprávnění u jedné osoby.

Aby vlastníci oprávnění měli s revizemi co nejméně práce, aplikaci jim prostřednictvím e-mailových notifikací oznamuje významné milníky (ať jde o plánování nebo spuštění revize či prodlení u konkrétního zaměstnance.

To vše v přehledném, intuitivním a uživatelsky přívětivém rozhraní.

Výčet všech hlavních přínosů našeho řešení najdete níže.

Hlavní přínosy naší expertízy z pohledu banky jako celku...

Úroveň 1: z pohledu banky jako celku

  • Přístupová oprávnění se nyní přidělují podle momentální potřeby (princip „need-to-know“)
  • Využití a zajištění principů „Separation Of Duty“ (SoD)
  • Eliminace rizik plynoucích ze zneužití přístupových oprávnění interním zaměstnancem nebo externím spolupracovníkem
  • Odstranění problémů, na které poukázaly auditní nálezy

... z pohledu vedoucích pracovníků...

  • Přehledné rozhraní pro provedení revize
  • Automatická spuštění pravidelných revizí (vedoucí pracovník nemusí „ručně“ kontrolovat dodržení požadované periody)
  • Automatické spuštění revize při změně pracovní pozice
  • Systém e-mailových notifikací o naplánování revize, spuštění, požadavcích v prodlení atd.
  • Možnost delegovat jednotlivé revize na další pracovníky
  • Podrobné informace o minulých revizích (včetně komentářů)

... z pohledu vlastníků oprávnění/rolí...

  • Přehledné rozhraní pro provedení revize
  • Přehledná interakce s nadřízenými manažery (vlastníkovi oprávnění se zobrazí komentáře z revizí)
  • Systém e-mailových notifikací

... z pohledu oddělení Security a Audit

  • Přehled o průběhu recertifikací díky speciálním pohledům v GUI
  • Možnost přesměrování revize na jiného odpovědného pracovníka (např. v případě dlouhodobé nepřítomnosti manažera)
  • Sada reportů týkající se průběhu, rozpracovanosti, požadavků v prodlení atd.

... z pohledu IT oddělení...

  • Automatizovaný proces bez nutnosti interakce IT oddělení

... a z pohledu Boardu

  • Sada statistických reportů o průběhu revizí v celé KB

Naše cesta k řešení

V první fázi projektu jsme zvážili možné přístupy. Jednou z variant bylo využít nativní funkcionality ITIM, tzv. recertifikačních politik. Po detailní analýze jsme ale toto řešení zamítli, především z důvodu technických limitů nativního řešení (třeba dlouhodobě vysoký počet běžících požadavků, který by výrazně komplikoval např. proces pro diagnostiku chyb v tehdejší verzi implementace ITIM).

Vítězné řešení nakonec spočívalo ve vytvoření samostatné recertifikační aplikace a její následné integraci do ITIM.

Aplikace ukládá data do vlastního schématu v databázi datového skladu pro ITIM (DB2) a má vlastní uživatelské rozhraní.

V rámci tohoto rozhraní provádí koncový uživatel veškeré své aktivity jako např.:

  • Prodloužení/zamítnutí oprávnění
  • Připojení komentáře
  • Delegace revize na jiného uživatele (zrušení delegace)
  • Vygenerování uživatelských reportů atd.

ITIM je využíván jako datový zdroj pro recertifikaci, iniciátor (časovač) jednotlivých akcí, nástroj pro auditing jednotlivých operací a samozřejmě jako rozhraní pro „enforce“ výsledků revize do cílového systému.

Součástí tohoto řešení je i pokročilý systém emailových notifikací pro jednotlivé účastníky schvalovacího procesu. Jedná se například o notifikaci o blížícím se spuštění revize pro daný útvar, upomínací notifikace pro revize ve zpoždění oproti definovaným intervalům, eskalační notifikace a další.

V rámci dalších etap implementace jsme řešení rozšířili například o možnost opakovaného spouštění recertifikací pro konkrétní organizační jednotku v rámci jednoho roku.

Závěr

Naše aplikace Access Rights Review (ARR) přinesla, z pohledu informační bezpečnosti, vlastníkům aplikací funkční a naprosto bezpečné řešení.

Díky pravidelné a automatizované recertifikaci přístupových oprávnění pro více než 10 000 zaměstnanců banky má každý z nich jen taková přístupová oprávnění, jakou pro svou práci potřebuje. A to ne paušálně, ale podle momentální potřeby.

Pokročilý systém e-mailových notifikací a komentářů zajišťuje, aby během správy schvalovacího procesu všichni zúčastnění (manažeři i vlastníci aplikací) vždy přesně věděli, co a kdy udělat.

Oddělení security a auditu má o všem dokonalý přehled a možnost v případě potřeby okamžitě reagovat.

A protože celý proces je automatizovaný, IT oddělení se může naplno věnovat vlastní agendě.