Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl
konta uprzywilejowane

Największe ryzyko nie jest na zewnątrz. Jest w uprzywilejowanym dostępie

25.03.2026

NIS 2 i ENISA o kontach administracyjnych i systemach zarządzania

W poprzednim wpisie pokazaliśmy, że kontrola dostępu zaczyna się od polityki i zarządzania uprawnieniami.

Ale jest jeden obszar, w którym stawka rośnie wykładniczo.

Dostęp uprzywilejowany.

To moment, w którym użytkownik nie tylko „ma dostęp”, ale może:

  • zmieniać konfigurację systemów,
  • zarządzać bezpieczeństwem,
  • tworzyć i usuwać konta,
  • wpływać na dostęp innych użytkowników,
  • a w skrajnych przypadkach przejąć pełną kontrolę nad środowiskiem.

Dlatego ENISA traktuje konta uprzywilejowane i systemy administracyjne jako osobny, krytyczny obszar kontroli dostępu.

I bardzo jasno pokazuje jedno:
największe ryzyko nie wynika z liczby użytkowników, tylko z poziomu ich uprawnień.

Uprzywilejowany dostęp ma być wyjątkiem, nie standardem

ENISA wskazuje, że dostęp uprzywilejowany powinien być przyznawany:

  • tylko wtedy, gdy jest to niezbędne,
  • wyłącznie osobom posiadającym odpowiednie uprawnienia i kompetencje,
  • w zakresie minimalnym potrzebnym do wykonania zadania.

To oznacza, że organizacja powinna bardzo świadomie identyfikować:

  • kto potrzebuje dostępu uprzywilejowanego,
  • do jakich systemów,
  • w jakim zakresie,
  • i na jak długo.

Dostęp administracyjny „na stałe” dla wygody operacyjnej to dokładnie ten wzorzec, przed którym ENISA ostrzega.

Każdy dostęp uprzywilejowany musi być uzasadniony i udokumentowany

Wytyczne wymagają, aby organizacja:

  • posiadała proces autoryzacji dostępu uprzywilejowanego,
  • prowadziła rejestr takich uprawnień,
  • była w stanie wykazać, kto, kiedy i na jakiej podstawie otrzymał dostęp.

To nie jest poziom kontroli „dla audytu”.
To mechanizm, który pozwala ograniczyć ryzyko nadużyć i błędów.

W praktyce oznacza to, że dostęp uprzywilejowany:

  • nie może być nadawany „na maila”,
  • nie może być wynikiem ustnej decyzji,
  • nie może istnieć bez śladu w systemie.

Uprzywilejowane konto to nie zwykłe konto z większymi prawami

ENISA bardzo wyraźnie oddziela konta uprzywilejowane od standardowych kont użytkowników.

Wymagania są tu znacznie wyższe.

Polityka powinna zapewniać m.in.:

  • silne mechanizmy uwierzytelniania, w tym MFA,
  • indywidualizację kont,
  • ograniczenie zakresu uprawnień do minimum,
  • kontrolę sposobu korzystania z tych kont.

Jednym z kluczowych wymogów jest to, że konta administracyjne powinny być używane wyłącznie do działań administracyjnych.

Nie do:

  • przeglądania poczty,
  • korzystania z internetu,
  • pracy biurowej.

To bardzo praktyczna zasada, która znacząco ogranicza powierzchnię ataku.

Jedna osoba, jedno konto, jedna odpowiedzialność

ENISA wyraźnie wskazuje, że:

  • konta uprzywilejowane powinny być przypisane do konkretnych osób,
  • należy unikać kont współdzielonych,
  • każda aktywność powinna być możliwa do przypisania do konkretnego użytkownika.

To jest fundament odpowiedzialności.

Jeżeli organizacja nie potrafi powiedzieć, kto wykonał daną operację administracyjną, to nie ma realnej kontroli nad systemem.

W przypadkach, gdy konta współdzielone są nieuniknione, wymagane są dodatkowe mechanizmy:

  • ścisła kontrola dostępu,
  • logowanie działań,
  • możliwość przypisania aktywności do konkretnej osoby.

Dostęp uprzywilejowany powinien być tymczasowy

Jednym z ważniejszych kierunków wskazanych przez ENISA jest odejście od stałych uprawnień uprzywilejowanych.

Zamiast tego:

  • dostęp powinien być przyznawany na czas konkretnego zadania,
  • wygasać automatycznie,
  • być ponownie przyznawany tylko po przejściu procesu autoryzacji.

To podejście znacząco ogranicza ryzyko:

  • nadużyć,
  • przejęcia konta,
  • wykorzystania zapomnianych uprawnień.

Wszystko, co robi administrator, powinno być widoczne

ENISA wymaga pełnego logowania działań uprzywilejowanych.

W praktyce oznacza to:

  • rejestrowanie dostępu,
  • rejestrowanie operacji,
  • możliwość audytu działań,
  • wykrywanie nieautoryzowanych prób dostępu.

To właśnie w tym obszarze najczęściej wychodzą na jaw incydenty, które przez długi czas pozostawały niewidoczne.

Brak logów lub brak ich analizy oznacza brak kontroli.

Systemy administracyjne to osobna strefa bezpieczeństwa

Wytyczne ENISA bardzo mocno podkreślają, że systemy administracyjne:

  • nie mogą być używane do innych celów,
  • powinny być logicznie lub fizycznie odseparowane od pozostałych systemów,
  • muszą być odpowiednio zabezpieczone.

To oznacza, że środowisko administracyjne nie powinno mieszać się z:

  • środowiskiem użytkowników,
  • systemami aplikacyjnymi,
  • codzienną pracą operacyjną.

W praktyce najczęściej oznacza to:

  • osobne strefy sieciowe,
  • ograniczony dostęp,
  • dedykowane narzędzia.

Dostęp do systemów administracyjnych musi być szczególnie chroniony

ENISA wskazuje konkretne wymagania dla dostępu do systemów administracyjnych:

  • silne uwierzytelnianie,
  • szyfrowanie komunikacji,
  • kontrola dostępu,
  • logowanie i monitorowanie.

Dodatkowo:

  • dostęp powinien być ograniczony do uprawnionych osób,
  • wszystkie działania powinny być audytowalne,
  • próby nieautoryzowanego dostępu powinny być wykrywane i zgłaszane.

To pokazuje jedno:
system administracyjny to nie „kolejny system”.
To punkt krytyczny całej organizacji.

Logi to nie archiwum. To narzędzie kontroli

ENISA bardzo jasno wskazuje, że:

  • logi z systemów administracyjnych powinny być analizowane,
  • powinny być integrowane z centralnymi systemami monitorowania,
  • powinny wspierać wykrywanie incydentów.

To oznacza, że samo zbieranie logów nie wystarcza.

Organizacja musi:

  • wiedzieć, co jest rejestrowane,
  • umieć to analizować,
  • reagować na nieprawidłowości.

Gdzie organizacje najczęściej tracą kontrolę

W praktyce największe problemy w tym obszarze wynikają z:

  • nadmiernego przyznawania uprawnień administracyjnych,
  • braku rozdzielenia kont zwykłych i uprzywilejowanych,
  • współdzielonych kont bez możliwości identyfikacji użytkownika,
  • braku logowania działań,
  • braku przeglądów uprawnień,
  • mieszania środowisk administracyjnych z operacyjnymi.

To właśnie te elementy najczęściej pojawiają się w analizach incydentów.

Co ten obszar oznacza w praktyce

Z perspektywy NIS 2 konta uprzywilejowane to jeden z najważniejszych punktów kontroli ryzyka.

Bo to one decydują o tym:

  • kto może zmienić system,
  • kto może wyłączyć zabezpieczenia,
  • kto może stworzyć nowe konta,
  • kto może ukryć ślady działania.

Dlatego ENISA tak mocno naciska na:

  • ograniczenie dostępu,
  • kontrolę jego przyznawania,
  • pełną identyfikowalność działań,
  • separację środowisk,
  • ciągłe monitorowanie.

Co dalej w serii NIS 2

W kolejnym wpisie zamkniemy temat kontroli dostępu i przejdziemy do:

🔐 identyfikacji, uwierzytelniania i MFA

Czyli do pytania:
jak upewnić się, że użytkownik jest tym, za kogo się podaje i jak dobrać siłę uwierzytelniania do ryzyka.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Przejdź do treści