Több mint ezer céges biztonsági szakember bevonásával készítette el a Dimensional Research az Assessment of Identity and Access Management 2018 felmérést. A One Identity megbízásából összeállított anyag a közép- és nagyvállalatoknál alkalmazott gyakorlatokat és problémákat igyekezett feltárni az azonosság- és hozzáféréskezelés témakörében.

Van min javítani

Az Egyesült Államokban, Kanadában, az Egyesült Királyságban, Németországban, Franciaországban, Ausztráliában, Szingapúrban és Hong Kongban dolgozó szakértők válaszaiból egy sor érdekes megállapítás rajzolódik ki. Ilyen például az, hogy a vállalatok nagyjából hatodánál a munkatársak több mint felének tíznél is több jelszót kell használnia, hogy hozzáférjen a munkájához szükséges információkhoz, szolgáltatásokhoz. Az pedig külön említést érdemel, hogy a szervezetek egyharmada manuálisan kezeli, és egyszerű táblázatban tartja nyilván a rendszerüzemeltetéshez létrehozott és ezáltal a legkritikusabb információkhoz is hozzáférést biztosítót kiemelt jogosultságok jelszavait.

Szintén meglehetősen véleményes az a gyakorlat, amit a vállalatok 5 százalékánál vallottak be, miszerint egyáltalán nem tudják garantálni, hogy az összes jogosultságát megszüntetették a munkavállalónak, amikor elhagyja a munkahelyét, vagy megváltozik a munkaköre. Illetve érdekes tanulság az is, hogy egy egyszerű jelszó visszaállítás több mint harminc perces feladatot jelent az informatikai osztályok tíz százalékánál. A tanulmányt összegző sajtóanyagban joggal jegyzik meg, hogy mindezek a megállapítások nem túl szép képet festenek olyan szervezetekről, amelyek között találni kritikus állami infrastruktúrákat üzemeltető, vagy több tízezer ember pénzügyi adatait kezelő vállalatokat.

Őskori módszerek, káosz vagy nihil

Az informatikai rendszerek üzemeltetéséhez használt és ezáltal az egyes rendszerekhez gyakorlatilag teljes hozzáférést biztosító felhasználói fiókok jelentik biztonsági szempontból a legnagyobb kockázatot. Azon túl, hogy a vállalatok 31 százaléka manuálisan kezeli ezeket a hozzáféréseket, minden 25. szervezetnél egyáltalán nem is létezik folyamat ezek menedzselésére. A vállalatok kétharmada biztosít ilyen jogosultságokat a munkavállalóin kívül külső partnerek és alvállalkozók számára. A válaszadók 75 százaléka elismeri, hogy megosztja munkatársaival ezeket a jogosultságokat, negyedük pedig ezt rendszeresen vagy állandó jelleggel teszi. Mindezzel pedig a biztonsági kockázatok csökkentéséért felelős biztonsági szakemberek is tisztában vannak, mindössze 13 százalékuk érzi úgy, hogy a kiemelt jogosultságok kezelése biztos alapokon nyugszik a szervezeténél.

Egy új felhasználó beléptetése kapcsán a vállalatok 44 százalékánál több naptól több hétig terjedő folyamat is lehet mire minden szükséges alkalmazás és rendszer hozzáférés beállításra kerül. De ami ennél rosszabb hír, hogy az informatikai szervezetek harmadánál akár több hetet is igénybe vehet, mire egy kilépő munkavállaló összes jogosultságát sikerül megszüntetni. Minden huszadik vállalatnál pedig nincs tudomása az illetékeseknek arról, hogy minden jogosultságot ténylegesen sikerült-e megszüntetni. Nem véletlen ebből kifolyólag, hogy a válaszadók mindössze 15 százaléka teljesen biztos abba, hogy nem érheti őket hozzáférés kezelésből eredő incidens.

A munkavállaló bosszúja

Az IT-biztonsági szakemberek közül a legtöbben (27 százalék) attól tartanak, hogy az elégedetlen munkavállalók megosztják az érzékeny vállalati információkat. A második helyen a hozzáférés vezérléssel kapcsolatos folyamatok hiányosságaiból eredő adatvesztési incidensek (22 százalék), míg a harmadik helyen felhasználónév-jelszó párosok dark webre történő feltöltése (18 százalék) áll. Ironikus módon a válaszadó biztonsági szakemberek több mint háromnegyede (77 százaléka) elismerte, hogy könnyű dolga lenne, ha ők maguk szeretnének érzékeny információkat eltulajdonítani, 12 százalékuk pedig azt is bevallotta, hogy meg is tenné, ha csalódás érné, vagy elégedetlen lenne munkahelyi helyzetével.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »