CyberSec Update #10 – Kontrola dostępu a NIS2
Kontrola dostępu w kontekście wdrożenia NIS2: zasada najmniejszych uprawnień, zarządzanie kontami, uwierzytelnianie i funkcjonalność systemów
Jak zaprojektować skuteczną kontrolę dostępu w ramach NIS2
Rozpoczęło się odliczanie do wejścia w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wdrażającej w Polsce Dyrektywę NIS2. W tym czasie kontynuujemy razem z Andrzejem Broniewskim, Jarosławem Strasiem i Przemysławem Strzępkiem nasz cykl #RozpracowujemyNIS2 w ramach CyberSec Update nr 10. Tym razem, przygotowując się do Wielkanocy, przyglądamy się tematowi kluczowemu dla bezpieczeństwa organizacji – kontroli dostępu.
W cyberbezpieczeństwie obowiązuje zasada odwrotna niż przy świątecznym stole – nie zostawiamy miejsca dla nieproszonych gości. Efektywne zarządzanie dostępami to jeden z fundamentów bezpiecznego środowiska pracy i jeden z istotnych elementów wymaganych przez NIS2.
Pierwszą linią naszej obrony jest ograniczenie dostępu do informacji wyłącznie do osób, które faktycznie muszą je znać, i to jedynie w zakresie wynikającym z ich roli w organizacji oraz pracą nad danym projektem. Ta zasada najmniejszych uprawnień wymaga jednak odpowiedniego procesu – konieczna jest pełna kontrola nad tym, jak uprawnienia są przyznawane, a także ewidencjonowanie, komu, kiedy i w jakim zakresie udzielono dostępu. Właściwie zaprojektowany proces zarządzania kontami użytkowników to podstawa zgodności z NIS2. Ponadto, niezbędne będzie odpowiednie rozdzielenie obowiązków, aby żadna pojedyncza osoba nie mogła samodzielnie wykonać działań mogących zagrozić bezpieczeństwu (np. jedna osoba wprowadza zmianę, inna ją zatwierdza).
Kolejnym kluczowym elementem kontroli dostępu jest wdrożenie spójnych zasad identyfikacji i uwierzytelniania. Obejmuje to m.in. wymuszenie stosowania odpowiedniej siły haseł, ich regularną zmianę oraz konieczność stosowania uwierzytelniania wieloskładnikowego, przynajmniej w systemach i operacjach o podwyższonym poziomie ryzyka.
Nie można jednak zapominać, że nawet najlepsze rozwiązania bezpieczeństwa powinny pozostawać funkcjonalne. Zbyt rygorystyczne i niepraktyczne wymagania mogą przynieść efekt odwrotny do zamierzonego – użytkownicy zaczynają je obchodzić lub ignorować. Dlatego projektując System Zarządzania Bezpieczeństwem Informacji w organizacji m.in. w ramach wdrożenia NIS2, warto unikać typowych pułapek cyberbezpieczeństwa, które mogą osłabiać realny poziom ochrony.