Как обеспечить надежную систему контроля за доступом к данным с помощью ролевой технологии
Все больше организаций отмечают, что их сотрудники — из простого любопытства или из других, менее благовидных побуждений — заглядывают в учетные записи общественных деятелей. В результате почти каждую неделю мы получаем известия об отстранении от должности или даже увольнении того или иного чиновника. Автор данной статьи рассматривает средства, с помощью которых такие организации могли бы уменьшить вероятность подобных утечек конфиденциальной информации. Речь идет об использовании автоматических систем контроля на ролевой основе, действующих по всей организации.
Сотрудники организаций, занятых в самых разных отраслях, все чаще убеждаются, что подглядывание в чужую учетную запись может закончиться для них потерей работы. Природное любопытство, заставляющее их просматривать частные данные о политиках и других знаменитостях, становится причиной увольнений и судебных приговоров.
Подобные проступки, совершаемые на рабочем месте, по большей части не связаны со злонамеренным желанием украсть персональную информацию — обычно служащие просто используют бреши в корпоративной политике обеспечения конфиденциальности, даже не сознавая, что тем самым они нарушают закон о неприкосновенности личной жизни и подвергают риску фирму, в которой работают. В качестве примера можно упомянуть скандал в Verizon: 22 ноября 2008 г. стало известно, что эта компания уволила нескольких сотрудников, заглядывавших в журналы с записями телефонных звонков избранного, но тогда ещё не вступившего в должность президента Барака Обамы. Политики и звезды ничем не отличаются от остальных людей, они тоже пользуются сотовыми телефонами, подают заявления на оформление паспорта и обращаются за медицинской помощью в больницы. Работники учреждений, вовлеченных в эти процедуры, должны понимать, что если речь не идет о производственной необходимости, попытка хоть краем глаза заглянуть в конфиденциальные записи — очень плохая затея. Однако настоящая проблема здесь заключается не столько в естественном человеческом любопытстве, сколько в плохой организации контроля за доступом пользователей к корпоративным данным.
Президент Обама чаще других становится жертвой такого рода вторжений в личную жизнь: только в прошлом году было зафиксировано три случая несанкционированного проникновения в его учетные записи. И подобные случаи становятся распространенным явлением в компаниях, хранящих важную личную информацию о знаменитостях.
Организации спешат заявить, что у них имеется специальная политика, связанная с доступом к конфиденциальной информации, однако слишком часто такая политика имеется лишь на бумаге — в документе, хранящемся в отделе информационной безопасности или в службе, ответственной за соблюдение регулирующих норм. Наивно верить, что сотрудники начнут придерживаться этой политики в своей повседневной практике лишь потому, что пройдут курс соответствующей подготовки.
Примеры утечки конфиденциальной информации вследствие несанкционированного подглядывания
Паспортные данные кандидатов на политические посты
Весной 2008 г. сотрудники Государственного департамента США незаконно получали доступ к паспортным данным кандидатов на пост президента — Барака Обамы, Джона Маккейна и Хиллари Клинтон. Вскоре после того как это стало известно, трое служащих госдепа предстали перед судом и признали себя виновными в незаконном доступе к персональной информации. Последнее из этих судебных дел было улажено 28 января 2009 г., после того как Джеральд Людерс признался, что с июля 2005-го по февраль 2008-го он подключался к имеющейся в госдепе Системе электронных записей о паспортных данных (PIERS) и просматривал заявления на получение паспорта от более чем полусотни политиков, актеров, музыкантов, спортсменов, представителей СМИ и т. п.
Водопроводчик Джо
В октябре 2008 г. компьютеры правительственных организаций в Огайо были незаконно использованы для доступа к информации о Сэмюеле Джозефе Вурцельбахере, известном также как “Водопроводчик Джо”. В ходе предвыборных дебатов 15 октября 2008 г. кандидаты в президенты Барак Обама и Джон Маккейн многократно упоминали об этом человеке. В последующие дни сведения о водительских правах и о внедорожнике Вурцельбахера были трижды незаконно считаны из базы данных управления по автомобилям штата Огайо.
Медицинский центр Калифорнийского университета в Лос-Анджелесе
В марте 2008 г. из публикации в “Лос-Анджелес Таймс” стало известно, что медицинский центр Калифорнийского университета уволил 126 сотрудников. Эти люди несанкционированно получали данные записей Бритни Спирс и Фарры Фосетт, а один из них продал полученную таким образом информацию общенациональной газете, нарушив тем самым закон о перемещаемости и подотчетности страхования здоровья (HIPAA).
Медицинский центр Шендса в Джексонвилле
В октябре 2008 г. двадцать сотрудников медицинского центра Шендса в Джексонвилле, в том числе несколько медсестер, работников приемного отделения и отдела по взаимодействию с пациентами, были уволены за осуществление незаконного доступа к медицинской карте спортсмена Ричарда Коллиера. Коллиер был госпитализирован более чем на месяц после того, как получил несколько пулевых ранений.
Предотвращение утечки конфиденциальной информации
Что может сделать организация для предотвращения подобных нарушений? Надо особое внимание обращать на то, чтобы предоставляемые сотрудникам права доступа действительно соответствовали их служебным обязанностям. Между тем нередко у сотрудников по мере их продвижения по служебной лестнице накапливаются права и привилегии, уже не являющиеся необходимыми для выполнения новых функций. То же происходит и при переводе работников в другие подразделения и при их временном назначении на какие-либо должности внутри организации.
Когда статус или должность сотрудника меняется, сохранение у него прежних прав доступа может создать взрывоопасную ситуацию, привести к нарушению принципа разделения обязанностей и подвергнуть компанию другим рискам. В крупных организациях эта проблема распространена на удивление широко. Она является естественным следствием давления, которое обычно оказывается на ИТ-подразделения: от них требуют обеспечить своим сотрудникам быстрый доступ к данным, в том числе при переводе на новые должности, обуславливающие изменение прав.
Организациям, использующим управление правами доступа на основе ролей, проще обеспечить автоматический контроль за предоставлением сотруднику нового набора прав. Метод управления ролевым доступом гарантирует, что права доступа у каждого всегда будут соответствовать его должностным обязанностям и роли в бизнес-процессе. В результате доступ к любой персональной информации будет предоставляться лишь при реальной, обусловленной бизнесом необходимости. Соответственно сокращается риск для бизнеса и вероятность нарушения законов и регулирующих норм. В числе прочего управление ролевым доступом включает следующие три составляющие.
Автоматизация контроля
Организации должны наладить автоматизированный контроль за предоставлением и изменением прав доступа, с тем чтобы политика безопасности проводилась последовательно, а риск несанкционированного доступа был минимальным. Необходимо использовать процесс, основанный на отслеживании системных событий, который обеспечит контроль за любыми изменениями в отношениях пользователей с организацией. Компания, управляющая бизнес-ролями, не только укрепит свою систему безопасности с помощью превентивных механизмов, но также ускорит процесс предоставления прав доступа и сделает его более четким.
Изменение и проверка
Если необходимо изменить право доступа (назначить или аннулировать его) для пользователя, очень важно проследить, чтобы запрос на изменение был выполнен. Автоматизированный процесс изменения и проверки гарантирует, что владельцы приложений и системные администраторы выполнят такой запрос в установленный срок.
Пересмотр и сертификация прав доступа
Организации, по тем или иным причинам не осуществляющие регулярную сертификацию прав доступа, чаще других страдают от брешей в системе предоставления прав, от нарушителей, проникающих в информационную систему благодаря ранее выданным правам. Система пересмотра и сертификации прав включает набор средств, позволяющих выявить нарушения. Наличия таких средств требуют многие законы и отраслевые нормы, в том числе уже упомянутый HIPAA, закон Сарбейнса — Оксли, стандарт безопасности данных для компаний, работающих с платежными картами, закон об управлении информационной безопасностью, а также рекомендации Федеральной комиссии по управлению энергетикой и Североамериканской корпорации по надежности в электроэнергетике.
Внедряя процесс управления доступом на основе ролей, компания делает важный шаг на пути к оптимизации управления деловыми и юридическими рисками, связанными с несанкционированным доступом к информационным ресурсам. Эффективное решение требует стратегического подхода к управлению правами доступа на основе автоматизированных бизнес-процессов и средств непрерывного контроля за изменением пользовательских прав. Помимо прочего такое решение делает контроль доступа прозрачным и поддающимся учету в масштабах всего предприятия.