II osa. Millise jalajälje jätad sina süsteemi – identiteedi ja juurdepääsude haldus

CYBERS 19. juuni 2019

Juurdepääsude haldamisel on hea järgida vähimate õiguste printsiipi (least privilege principle), kus kasutajale antakse just nii vähe õigusi, kui tal on vaja oma tööülesande täitmiseks. Kuigi nimi võib olla eksitav, rääkides vähimatest õigustest, siis mõte selle taga on anda täpselt vajalikud õigused – ei rohkem ega vähem, kui on vaja tööülesande täitmiseks. Õigusi on võimalik piirata mitmest aspektist:

  • aeg – piirata õiguste kehtivust ajas, nt 1.04.2019 – 30.06.2019; kehtiv kuni 2020 vms
  • funktsioon – lugemine, kirjutamine, kustutamine; raamatupidamine, turundus vms
  • andmed – arhiiv, Balti regioon, ärikliendid vms
  • loogika, arhitektuur jms piirangud – testkeskkond eraldatud toodangust; administraatoril õigus häälestada süsteemi toimimist, kuid mitte muuta andmeid andmebaasis vms

Näiteks kui müügiassistent ei koosta müügiaruandeid iga päev, siis peaks olema tema õigused piiratud konkreetselt nendele päevadele, mil ta neid vajab. Näiteks võiks arvutitöökoha administraatoril olla õigus muuta ainult nende seadmete konfiguratsiooni, millega seoses on talle laekunud tööülesanne ja sedagi ainult ajal, mil ta reaalselt sellega tegeleb.

Täiendavat tähelepanu vajavad eelispääsuga (privileged access) kasutajad ja kontod, millel on suur mõju süsteemi toimimisele või kogu organisatsiooni tegevusele ja seetõttu ka kõrgendatud oht tegevustega kaasnevatele kahjulikele tagajärgedele. Mis võiksid olla sellised kasutajad ja kontod, mis tunduvad pahalastele väga ahvatlevad, kui nad otsivad võimalusi kurja teha?

Nendeks võiks IT vaatest olla esmalt administraatorid, peakasutajad (power user) ja ka süsteemides vaikimisi defineeritud kontod, näiteks root, admin vms, mis tihtipeale on ühiskasutuses mitme füüsilise inimese poolt erinevatel ajahetkedel ja puudub võimalus tagantjärele üheselt tuvastada, kes täpselt mida, kus ja miks korda saatis.

Teiseks grupiks ulatusliku mõjuga kontodest on ärilises vaates olulisi otsuseid vastu võtvad isikud, nagu tegevjuht, pearaamatupidaja, ostujuht jms, kelle otsustega kaasnevad lisaks rahalisele aspektile ka organisatsiooni suurimaid riske mõjutavad detailid.

Kolmandaks grupiks võiks olla füüsilist juurdepääsu omavad osapooled – töötajad, koristaja, remondimees jms, ehk kõik inimesed, sest inimene on nõrgim lüli ja temalt on võimalik väga kergesti kätte saada turvalisust puudutavaid detaile füüsilise turbe kohta (mõni turvauks on sageli rikkis või mõne koridori signalisatsioon annab tihti alarmi) või esinedes telefonitsi IT-mehena või turu-uuringu küsitlejana tundmas huvi arvuti kasutuskogemuse vastu.

Kui tööle tuleb uus inimene, siis õiguste määramisel tuleks alustada vähimate õiguste tasemelt ja anda juurde õigusi vastavalt sellele, mida tingivad tema tööülesanded. See sunnib dokumenteerima ja lahti mõtestama olemasolevate ja vajaminevate rollide kasutamist ning teeb tervikuna läbipaistvamaks, kellel on millised õigused.

Kui rollide ja õiguste pilt on selgem, saab juurutada tegevused nende korras hoidmiseks (inventuurid, rollide lahusus, huvide konfliktid ja toksilised kombinatsioonid, elukaare haldus jms) ja lisaks sisemisele veendumusele süsteemi sihipärasest ning korrektsest kasutamisest, on võimalik seda tõendada ka välisele auditeerivale osapoolele.

Viimased postitused

2. juuli 2026

Kuidas tagada turvaline AI ja pilveteenuste kasutamine

Netskope aitab muuta nähtamatud riskid nähtavaks Pilveteenused, SaaS-rakendused ja tehisintellekt on saanud meie igapäevase töö oluliseks osaks. Küsimus ei ole enam isegi selles, kas töötajad neid kasutavad, vaid selles, kas organisatsioon suudab seda kasutust turvaliselt omaltpoolt juhtida. Täna on võimalik töötada kõikjal- kontoris, kodus, kliendi juures ja liikvel olles. Andmed liiguvad Microsoft 365, Google Workspace’i, […]

Loe edasi
2. juuli 2026

Üks turvanõrkus võib peatada kogu tootmisliini

Eesti tööstusettevõtted on viimastel aastatel teinud suure arenguhüppe. Automatiseeritud tootmisliinid, ühendatud seadmed, pilveteenused ja digitaliseeritud tarneahelad aitavad tõsta efektiivsust ning konkurentsivõimet. Kuid mida rohkem sõltub tootmine digitaalsest taristust, seda suuremaks muutub ka küberturvalisuse roll. Neverhack Estonia juhatuse liikme Rita Käit’i sõnul ei ole Eesti tööstusettevõtete suurim väljakutse enam tehnoloogia puudumine, vaid tervikpildi puudumine. „Paljud ettevõtted […]

Loe edasi
26. juuni 2026

Suurem sooline tasakaal juhtimises on kasulik ka meestele

Suurem sooline tasakaal juhtimises annab ka meestele võimaluse pääseda peaaegu kohustuslikust tugeva otsustaja rollist, kirjutab küberturbeettevõtte Neverhack Estonia juhatuse liige Rita Käit. Eesti börsiettevõtted peavad vastavalt eurodirektiivile juuni lõpuks suurendama soolist tasakaalu oma juhtimises. Suuremast soolisest tasakaalust ettevõtete juhtimises räägitakse sageli kui naiste võimalusest jõuda õiglasemal ja lihtsamal viisil otsustajate sekka. See on kahtlemata oluline, […]

Loe edasi