Centralizuotas slaptažodžių valdymas: kam jo reikia ir kokias rizikas jis eliminuoja?

Verslui susiduriant su įvairiomis išorinėmis ir vidinėmis kibernetinėmis grėsmėmis, kryptingai taikoma ir visą organizaciją apimanti IT saugumo politika įgauna vis didesnę svarbą. Viena iš tokios politikos įgyvendinimo priemonių yra centralizuotas slaptažodžių valdymas. Jis gali padėti organizacijoms pašalinti dažniausiai daromas klaidas, susijusias su slaptažodžių naudojimu, bei eliminuoti dažnai pasitaikančias kibernetinio saugumo spragas. Apie šios politikos pranašumus ir ją įgyvendinti padedantį slaptažodžių valdymo sprendimą „Keeper“ pasakoja „Baltnetos“ produkto vadovė Donata Marcevičiūtė.

Slaptažodžių politikos reikšmė

„Saugūs slaptažodžiai yra viena iš didelio kibernetinio saugumo paveikslo dalių, kuriai ne visada skiriama pakankamai dėmesio. Kadangi slaptažodžiai plačiai naudojami įvairiuose organizacijos lygmenyse ir įvairių darbuotojų, atskirų slaptažodžių praradimo rizika gali atrodyt kaip menkavertė, tačiau, deja, praktika rodo kitaip“, – sako D. Marcevičiūtė.

Kadangi slaptažodžiai plačiai naudojami įvairiuose organizacijos lygmenyse ir įvairių darbuotojų, atskirų slaptažodžių praradimo rizika gali atrodyt kaip menkavertė, tačiau, deja, praktika rodo kitaip.

Pavyzdžiui, paaiškėjus vieno iš darbuotojo, kuris turi prieigą vos prie kelių įmonės veikloje naudojamų sistemų ir ribotos informacijos, prisijungimo duomenims, greičiausiai nebus padaryta didelė žala organizacijos mastu. Kita vertus, tokių kenkėjiškų atakų tikslas gali būti kur kas sumanesnis: pasinaudojus žemo organizacinio lygmens prisijungimu prie sistemų dažnai siekiama užvaldyti kur kas daugiau privilegijų turinčias paskyras, o galiausiai – ir visą organizacijos infrastruktūrą.

„Įgiję galimybę prisijungti prie visos įmonės infrastruktūros, kibernetiniai nusikaltėliai gali sunaikinti svarbius duomenis, nutekinti jautrią įmonės ar jos klientų informaciją, užšifruoti įmonei kritiškai svarbius duomenis ir vėliau reikalauti išpirkos už juos“, – sako „Baltnetos“ atstovė.

Todėl slaptažodžių politikos nebuvimas organizacijoje tampa pažeidžiamumu, kuriuo sumaniai pasinaudojus galima padaryti reikšmingą žalą verslo procesams ar visai organizacijai.

Klaidos, kurias daro organizacijos

Kaip pastebi „Baltentos“ specialistai, organizacijoms neturint veiksmingos slaptažodžių politikos, jos ir jose dirbantys darbuotojai kibernetines rizikas gali sukurti keliais iš pirmo žvilgsnio didelės grėsmės nekeliančiais būdais.

„Mūsų pokalbiai su klientais rodo, kad jie yra linkę atlikti trečiųjų šalių prieigų auditus maždaug kartą per pusmetį. Vis dėlto tai yra pakankamai ilgas laiko tarpas, partnerystės keičiasi dažniau ir tokiu atveju prisijungimą prie vidinių resursų turi šalys, kurios nebėra susijusios su organizacija“, – pastebi D. Marcevičiūtė.

"Jei organizacijoje nėra vieningos slaptažodžių saugojimo, valdymo ir administravimo sistemos, tampa itin sunku užtikrinti, kad visi vartotojai naudotųsi gerąsias saugumo praktikas atitinkančius slaptažodžius".

Užkirsti kelią šioms ir kitoms rečiau pasitaikančioms klaidoms organizacijos gali pasitelkusios slaptažodžių valdymo sprendimą. Toks sprendimas padeda įgyvendinti vieningą slaptažodžių politiką, užtikrina saugių slaptažodžių naudojimą ir iki minimumo sumažina su tuo susijusią kibernetinių atakų riziką. Jis taip pat gali būti patogesnė alternatyva darbuotojams, dėl to jie bus linkę juo labiau pasikliauti bei naudotis.

Rinkoje lyderiaujantis „Keeper“ sprendimas

„Baltneta“ savo klientams siūlo rinkoje pripažinimą pelniusį „Keeper“ slaptažodžių valdymo sprendimą. Kaip pastebi D. Marcevičiūtė, keletą pastarųjų metų nominuojamas tarp geriausių tokio tipo sprendimų, neturėjusių jokių saugumo incidentų.

„Keeper“ veikia SaaS (software as a service) principu, todėl jam įdiegti nereikalinga fizinė infrastruktūra, o vartotojų slaptažodžiai yra saugomi debesyje. Be to, „Keeper“ programinė įranga veikia zero-knowledge principu, kuris reiškia, kad debesyje saugomi vartotojų slaptažodžiai yra užšifruojami, o juos gali iššifruoti tik jų savininkas, kuris prie asmeninės slaptažodžių spintos prisijungia su master slaptažodžiu. Todėl niekas kitas (net ir „Keeper“ darbuotojai) neturi techninių galimybių pamatyti šių slaptažodžių.

Kitas „Keeper“ pranašumas – platus sprendimo pritaikomumas ir paprastas naudojimas. „Šis sprendimas turi desktop ir mobile versijas, jis gali būti pasiekiamas per interneto naršyklę su specialiu įskiepiu. Asmeninėje slaptažodžių saugykloje vartotojas gali importuoti ir saugoti naudojamus slaptažodžius, kurti naujus įrašus neapsiribojant prisijungimo duomenimis prie tam tikrų aplikacijų, saugoti SSH/API raktus, bankinių kortelių ir kitų dokumentų duomenis“, – sprendimo pranašumas vardija D. Marcevičiūtė.

„Keeper“ sprendimas vartotojams taip pat suteikia galimybę saugiai pasidalinti prisijungimo duomenimis organizacijos viduje ar su trečiosiomis šalimis numatant iš anksto apibrėžtą galiojimo laikotarpį ir taip eliminuojant nevaldomų prieigų riziką.

Galiausiai, pats vartotojas gali matyti, kurie jo slaptažodžiai neatitinka organizacijos nustatytų saugumo standartų, yra aptikti viešoje erdvėje ar tamsiajame internete, ir juos pasikeisti.

Tiesa, vartotojas gali pasinaudoti ir „Keeper Fill“ funkcija, kuri padeda sukurti unikalius ir kompleksiškus slaptažodžius bei jų neparodo net pačiam darbuotojui. Pasak D. Marcevičiūtės, toks sprendimas aktualus siekiant padidinti saugumą IT skyriuje, jei organizacija nori būti tikra, kad prie jos kritinės infrastruktūros, tokios, kaip serveriai ar tinklo įranga, priėjimą turintys darbuotojai negalėtų matyti tiesioginės prisijungimo informacijos.

Centralizuotas paskyrų valdymas

„Keeper“ sprendimas suteikia galimybę naudotis administravimo konsole, kuri veikia kaip visų vartotojų asmenines slaptažodžių saugyklas valdanti sistema. Pasak D. Marcevičiūtės, tai organizacijai suteikia dar kelis papildomus pranašumus.

Per „Keeper“ administravimo konsolę galima matyti visus organizacijos darbuotojus, kurie naudojasi asmeninėmis slaptažodžių saugyklomis, kurti ar konfigūruoti atitinkamas vartotojų grupes, matyti naudojamų slaptažodžių būklę (jų saugumo lygį, atitikimą galiojančiai saugumo politikai, galimą nutekinimą) ir, prireikus, paskatinti vartotojus nedelsiant imtis reikalingų veiksmų.

Ši konsolė taip pat leidžia nustatyti bendrą slaptažodžių politiką, kuri automatiškai taikoma visiems vartotojams, pavyzdžiui, slaptažodžių kompleksiškumas, galimybės jais dalintis ir panašiai. Per konsolę galima nustatyti, kad visi vartotojai naudotųsi 2FA (two-factor authentication) prisijungimu prie asmeninių saugyklų, drausti prisijungimus iš tam tikrų IP adresų ar apriboti VPN prieigą.

„Baltneta“ siūlo visapusį palaikymą

Klientams „Baltneta“ gali pasiūlyti ir programinę įrangą, ir užtikrinti tolesnį sprendimo palaikymą. Tai apima „Keeper“ platformos įdiegimą ir konfigūravimą, konsultacijas sprendimo vystymo ar papildomų integracijų klausimais (pavyzdžiui, integracija su tapatybės valdymo sprendimu), vartotojų mokymus bei sprendimo naudojimo ir administravimo instrukcijų parengimą.

"Keeper" slaptažodžių valdymo sprendimas gali pasitarnauti kaip viena iš priemonių, kuri padės atitikti TIS2 (angl. NIS2) direktyvos sugriežtinimus, kurie įsigaliojusios nuo 2024 metų spalio 17d.

„Pasirinkus šį slaptažodžių valdymo sprendimą organizacijoje, mes galime suteikti nemokamas asmenines slaptažodžių spintas visiems organizacijos darbuotojams asmeninėms paskyroms valdyti. Taip pat svarbu atkreipti dėmesį, kad slaptažodžių valdymo sprendimas gali pasitarnauti kaip viena iš priemonių, kuri padės atitikti TIS2 (angl. NIS2) direktyvos sugriežtinimus, kurie įsigaliojusios nuo 2024 metų spalio 17d.“, – sako „Baltnetos“ atstovė.

Norėdami išsamesnės konsultacijos ar pasiūlymo „Keeper“ slaptažodžių valdymo sprendimui, susisiekite su „Baltneta“ telefonu 8 700 80088 arba užpildykite čia esančią formą https://www.balt.net/slaptazodziu-valdymo-sprendimas