NIS 2 i ENISA o identyfikacji, uwierzytelnianiu i MFA
W poprzednich dwóch wpisach tej serii uporządkowaliśmy fundamenty kontroli dostępu:
- politykę dostępu i zarządzanie uprawnieniami,
- konta uprzywilejowane i systemy administracyjne.
Ale jest jeden element, który spina to wszystko w całość.
Tożsamość.
Bo nawet najlepiej zaprojektowana polityka dostępu nie ma znaczenia, jeśli organizacja nie potrafi jednoznacznie odpowiedzieć na pytanie:
kto próbuje uzyskać dostęp do systemu i czy naprawdę jest tym, za kogo się podaje?
Właśnie dlatego ENISA w NIS 2 tak dużą wagę przykłada do:
- zarządzania tożsamościami,
- uwierzytelniania,
- oraz stosowania mechanizmów wieloskładnikowych.
To nie jest już warstwa techniczna.
To jeden z głównych mechanizmów kontroli ryzyka.
Tożsamość ma swój cykl życia
ENISA podchodzi do tożsamości w sposób systemowy.
To nie jest moment utworzenia konta.
To cały proces zarządzania jego istnieniem.
Organizacja powinna:
- utrzymywać pełny rejestr tożsamości,
- obejmujący użytkowników, administratorów i tożsamości systemowe,
- zawierający m.in. dane identyfikacyjne, zakres uprawnień oraz okres aktywności.
To oznacza, że każda tożsamość:
- powinna mieć jasno określonego właściciela,
- powinna być powiązana z konkretną osobą lub systemem,
- powinna być zarządzana od momentu utworzenia aż do usunięcia.
Tożsamość, która „po prostu istnieje”, to ryzyko.
Jedna tożsamość, jedna osoba
ENISA bardzo wyraźnie podkreśla zasadę:
👉 jedna tożsamość powinna odpowiadać jednej osobie
To fundament odpowiedzialności i audytowalności.
Każde działanie w systemie powinno być możliwe do przypisania do konkretnego użytkownika.
Dlatego organizacje powinny:
- unikać współdzielonych kont,
- zapewnić unikalne identyfikatory użytkowników,
- utrzymywać spójność między systemami a danymi HR.
Jeżeli nie wiadomo, kto wykonał daną operację, to z perspektywy bezpieczeństwa oznacza, że kontrola nie istnieje.
Tożsamości systemowe też są użytkownikami
Jednym z ważniejszych elementów wytycznych ENISA jest uwzględnienie tożsamości nieosobowych.
Systemy, aplikacje, integracje i usługi również posiadają tożsamości i uprawnienia.
Organizacja powinna:
- identyfikować takie tożsamości,
- przypisywać im właścicieli,
- określać cel ich użycia,
- monitorować ich aktywność.
To szczególnie istotne, bo tożsamości systemowe często mają szerokie uprawnienia i rzadko są przeglądane.
Tożsamości trzeba regularnie przeglądać
ENISA wymaga, aby organizacje:
- regularnie przeglądały aktywne tożsamości,
- usuwały lub dezaktywowały te, które nie są już potrzebne.
Wytyczne wskazują, że przeglądy powinny odbywać się cyklicznie, a nie jedynie przy okazji incydentu.
To oznacza, że:
- konta nie mogą „zostawać na zapas”,
- dostęp nie może być utrzymywany „na wszelki wypadek”,
- brak aktywności powinien prowadzić do wyłączenia tożsamości.
To jeden z najprostszych i jednocześnie najczęściej pomijanych mechanizmów redukcji ryzyka.
Uwierzytelnianie to nie tylko hasło
ENISA bardzo szeroko podchodzi do tematu uwierzytelniania.
Nie wskazuje jednej technologii, ale określa zasady.
Organizacja powinna stosować metody uwierzytelniania adekwatne do:
- poziomu ryzyka,
- klasyfikacji aktywów,
- rodzaju dostępu.
W praktyce oznacza to wykorzystanie różnych mechanizmów, takich jak:
- hasła,
- MFA,
- tokeny,
- certyfikaty,
- klucze sprzętowe,
- biometria,
- SSO i standardy federacyjne.
To ważna zmiana myślenia.
Nie chodzi o to, czy mamy MFA.
Chodzi o to, czy sposób uwierzytelniania jest adekwatny do ryzyka.
Zarządzanie danymi uwierzytelniającymi to proces
ENISA bardzo konkretnie opisuje zasady zarządzania danymi uwierzytelniającymi.
Organizacja powinna zapewnić m.in.:
- bezpieczne przekazywanie danych logowania,
- wymuszanie zmiany haseł przy pierwszym użyciu,
- zmianę danych uwierzytelniających przy podejrzeniu kompromitacji,
- blokowanie kont po określonej liczbie nieudanych prób logowania,
- wygaszanie sesji po czasie bezczynności.
Dodatkowo:
- dane uwierzytelniające powinny być przechowywane w sposób bezpieczny,
- domyślne hasła powinny być zmieniane natychmiast,
- użytkownicy powinni być świadomi zasad bezpiecznego korzystania z danych logowania.
To pokazuje, że uwierzytelnianie to nie tylko mechanizm logowania.
To pełen proces zarządzania ryzykiem związanym z dostępem.
MFA to standard, nie opcja
Jednym z najważniejszych elementów tego rozdziału jest podejście do uwierzytelniania wieloskładnikowego.
ENISA wskazuje, że:
- MFA powinno być stosowane tam, gdzie jest to uzasadnione ryzykiem,
- siła uwierzytelniania powinna być dopasowana do klasyfikacji zasobu,
- szczególnie istotne jest stosowanie MFA dla systemów dostępnych zdalnie.
Wytyczne wskazują również różne poziomy siły MFA:
- rozwiązania odporne na phishing,
- rozwiązania o średnim poziomie bezpieczeństwa,
- rozwiązania traktowane jako ostateczność.
To bardzo ważne rozróżnienie.
Nie każde MFA daje ten sam poziom ochrony.
Uwierzytelnianie powinno reagować na ryzyko
ENISA wskazuje, że uwierzytelnianie nie musi być statyczne.
Organizacje mogą:
- stosować dodatkowe mechanizmy przy dostępie do bardziej wrażliwych systemów,
- zwiększać poziom uwierzytelniania przy podejrzanych działaniach,
- różnicować wymagania w zależności od kontekstu.
To podejście pokazuje kierunek rozwoju:
👉 uwierzytelnianie jako dynamiczny mechanizm kontroli ryzyka
Gdzie organizacje najczęściej popełniają błędy
W praktyce problemy w tym obszarze wynikają najczęściej z:
- współdzielonych kont,
- słabych mechanizmów uwierzytelniania,
- braku MFA w kluczowych systemach,
- braku kontroli nad tożsamościami systemowymi,
- nieusuwania nieaktywnych kont,
- niewłaściwego zarządzania hasłami.
To właśnie te elementy są najczęściej wykorzystywane w realnych incydentach.
Co ten obszar oznacza w praktyce
Z perspektywy NIS 2 tożsamość staje się jednym z głównych punktów kontroli bezpieczeństwa.
To oznacza, że organizacja musi:
- wiedzieć, kto ma dostęp,
- potrafić to potwierdzić,
- kontrolować sposób uwierzytelniania,
- reagować na zmiany ryzyka,
- utrzymywać aktualność tożsamości.
Bo jeżeli nie kontrolujesz tożsamości, to nie kontrolujesz dostępu.
Zamknięcie bloku o kontroli dostępu
Tym wpisem zamykamy 3-częściowy blok dotyczący kontroli dostępu w NIS 2:
1️⃣ polityka dostępu i uprawnienia
2️⃣ konta uprzywilejowane
3️⃣ identyfikacja i uwierzytelnianie
To jeden z najbardziej praktycznych obszarów całych wytycznych ENISA.
Bo to właśnie tutaj najczęściej dochodzi do:
- nieautoryzowanego dostępu,
- nadużyć,
- i eskalacji incydentów.
Co dalej w serii NIS 2
W kolejnych wpisach przejdziemy do:
📊 zarządzania aktywami i klasyfikacji informacji
🔒 bezpieczeństwa fizycznego i środowiskowego
Czyli do tego, co organizacja faktycznie chroni i gdzie ta ochrona ma swoje granice.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!