4 minute read
Controlul accesului și securitatea cibernetică
Autor: Michael A. Mullane, IEC
O glumă veche spune că „albăcazăpadașicei7pitici” este o parolă ideală, deoarece conține mai mult de 8 caractere și o cifră. Ne face să zâmbim, tocmai pentru că fiecare dintre noi am fost nemulțumiți măcar o dată în viață din cauza faptului că trebuia să ne verificăm datele de autentificare. Dar nu este de glumă cu controlul accesului.
Importanța adoptării unor măsuri adecvate și a unei culturi puternice a securității cibernetice a fost subliniată de faptul că cele mai recente atacuri cibernetice au pornit de la o parolă slabă și date furate. Oamenii sunt cauza majoră a breșelor de securitate, fie pentru că accesează un link dintr-un e-mail de tip ”Phishing”, fie pentru că țin o ușă deschisă unui intrus care îi urmărește într-o clădire de birouri. De aceea, controlul accesului se află chiar în centrul securității cibernetice: organizațiile se asigură că utilizatorii sunt cei care afirmă că sunt și au permisiunea de a utiliza resurse de rețea specifice sau de a intra în zone restricționate. Controlul accesului nu numai că servește la securizarea activelor, dar în cazul unei încercări, poate ajuta, de asemenea, la urmărirea acțiunilor și la determinarea cauzei. Există două tipuri de control al accesului: cel fizic și cel logic. Controalele fizice limitează accesul în anumite spații, stații de lucru și echipamente informatice, în timp ce controalele logice vizează restricționarea accesului la activele cibernetice esențiale. Ambele sunt importante pentru securitatea cibernetică și pornesc de la premisa că utilizatorii, dispozitivele și orice alte entități care solicită acces sunt necunoscute până când sistemul le poate verifica. Ca acest lucru să fie posibil, fiecare entitate în parte trebuie să dețină un ID unic și cunoscut, cum ar fi un nume de utilizator, o adresă de e-mail sau MAC, spre exemplu, pe care să le identifice atunci când solicită accesul.
Principiul privilegiilor minime
Măsurile ineficiente și insuficiente sunt pur și simplu un dezastru iminent. Agenția Națională de Securitate (NSA) din Statele Unite a descoperit acest lucru atunci când fostul consultant Edward Snowden a divulgat presei americane documente secrete ale NSA. Pe lângă faptul că a trebuit să se ocupe de opinia publică creată de scandalul supravegherii, agenția s-a confruntat și cu critici referitoare la politicile sale de securitate cibernetică și, în special, de controlul accesului. În consecință,
NSA limitează stric accesul la rețea la un nivel necesar pentru ca persoanele să își poată îndeplini activitățile. Una dintre măsurile principale pe care standardul IEC 62433-2-1 le recomandă pentru menținerea în siguranță a infrastructurii critice și a altor sisteme industriale de automatizare și control (IACS) împotriva accesului neautorizat este reprezentată de principiul privilegiilor minime. În mod similar, ISO/IEC 27001 recomandă acest principiu pentru păstrarea datelor în siguranță: „Utilizatorii trebuie să aibă acces la rețea și la serviciile de rețea numai dacă au fost autorizați în mod expres să le utilizeze.”
Punerea în aplicare a unei astfel de politici necesită o abordare cuprinzătoare a principiilor de identitate și de management al activelor. În plus, față de gestionarea privilegiilor cu prudență este de asemenea vital să fie înregistrate toate acțiunile utilizatorilor pentru a putea crea piste de auditare în cazul unei breșe de securitate. În cele din urmă, adăugarea și eliminarea drepturilor nu trebuie să aibă un impact negativ asupra productivității. Trebuie să existe politici care să aducă privilegii, pe măsură ce apar necesități și care să le elimine, atunci când proiectele sunt finalizate sau când contractele de muncă se încheie.
Autentificare și autorizare
O serie de standarde internaționale se ocupă de procesul de autentificare – atunci când un dispozitiv și identitatea utilizatorului sunt verificate – și de autorizare – care stabilește dacă un utilizator poate accesa un anumit activ în funcție de nivelul său de privilegii. Acestea includ, spre exemplu, seria IEC 62443 și seria ISO/IEC 27000 citate anterior. IEC 60839-11-5 acoperă sistemele electronice de control al accesului fizic, inclusiv cele biometrice, cum ar fi amprenta digitală și scanarea irisului, ori controlul cardurilor de acces.
Un raport tehnic IEC aflat în curs de elaborare va oferi îndrumări privind controlul accesului bazat pe roluri (RBAC)1 pentru dispozitivele electronice inteligente și aplicațiile la substațiile electrice. Scopul este de a lega controlul accesului și permisiunile bazate pe roluri – definite în standardul IEC 62351 – de dispozitivele și aplicațiile IEC 61850. Standardele IEC adoptă o abordare holistică în privința reducerii riscurilor deoarece se adresează nu numai tehnologiilor și procedurilor, ci și oamenilor. Activitățile de formare și de consolidare a capacităților sunt considerate esențiale pentru creșterea gradului de conștientizare și pentru crearea unei culturi sănătoase a securității cibernetice. Acest lucru este deosebit de important într-un moment în care acum, mai mult decât oricând înainte, oamenii lucrează remote, ca o consecință a pandemiei de coronavirus. Situația actuală se adaugă complexității controlului accesului, deoarece utilizatorii se conectează la mai multe aplicații și subrețele de întreprindere de acasă. Standardele IEC ajută organizațiile să gestioneze rolurile și să distribuie drepturile de rețea în mod eficient, obținând în același timp un compromis satisfăcător între utilizare și securitate.
Traducere de Andreea Tărpescu, redactor ASRO din IEC e-tech 2/2021.
1 N.E. Sistemele de control al accesului bazate pe roluri (RBAC) atribuie accesul și acțiunile în funcție de rolul unei persoane în cadrul sistemului.
