Zagrożenie od wewnątrz jest większe niż myślisz
Hakerzy z zewnątrz to tylko część zagrożeń. Statystyki bezpieczeństwa wskazują, że zagrożenia wewnętrzne — działania pracowników, kontrahentów i partnerów z dostępem do systemów — odpowiadają za ponad połowę kosztownych incydentów. Część z nich to świadome działanie nielojalnych pracowników. Większość to błędy — ktoś wysłał plik do złej skrzynki, skopiował dane na prywatny dysk, kliknął w phishingowy link z konta z szerokimi uprawnieniami.
W obu przypadkach konsekwencje mogą być katastrofalne: utrata danych klientów, naruszenie RODO, kary finansowe, utrata reputacji, postępowania sądowe. PAM (Privileged Access Management) i DLP (Data Loss Prevention) to technologiczne odpowiedzi na te zagrożenia.
PAM — kontrola nad kontami uprzywilejowanymi
Konta uprzywilejowane — administratorzy systemów, DBA, DevOps, konta serwisowe — mają dostęp do wszystkiego. Kompromitacja takiego konta to kompromitacja całego środowiska. PAM wdraża zasadę najmniejszych uprawnień i pełną kontrolę nad każdą sesją uprzywilejowaną.
Kluczowe mechanizmy PAM obejmują:
- Sejf haseł (Password Vault) — hasła do kont uprzywilejowanych są przechowywane w zaszyfrowanym sejfie. Użytkownicy nigdy nie znają rzeczywistego hasła — system go rotuje automatycznie po każdej sesji.
- Nagrywanie sesji — każda sesja uprzywilejowana jest nagrywana (video + klawiatura). W razie incydentu masz pełny zapis co, kiedy i kto zrobił.
- Just-in-Time Access — uprawnienia są nadawane na czas konkretnego zadania i automatycznie odbierane po jego zakończeniu. Nikt nie chodzi z permanentnym dostępem do produkcji.
- Multi-Factor Authentication — każde logowanie na konto uprzywilejowane wymaga MFA, bez wyjątku.
DLP — ochrona danych przed wyciekiem
Data Loss Prevention to system, który monitoruje przepływ danych w organizacji i blokuje nieautoryzowany transfer informacji poufnych. DLP działa na trzech poziomach:
- Data in Use — monitoring działań użytkownika na stacji roboczej: kopiowanie do schowka, próba wydruku, screenshot, przesyłanie pliku do nieautoryzowanej aplikacji.
- Data in Motion — inspekcja ruchu sieciowego: email, HTTP, FTP, chmura. System rozpoznaje wzorce danych poufnych (numery PESEL, dane kart płatniczych, klauzule NDA) i blokuje lub ostrzega.
- Data at Rest — skanowanie dysków i repozytoriów w poszukiwaniu danych poufnych przechowywanych poza autoryzowanymi lokalizacjami.
UEBA — wykrywanie anomalii zachowania
User and Entity Behavior Analytics (UEBA) to warstwa AI nad PAM i DLP. System buduje baseline normalnego zachowania każdego użytkownika — kiedy się loguje, do jakich systemów, ile danych przetwarza, skąd. Gdy pojawiają się odchylenia od normy — logowanie o 3 w nocy, masowe pobieranie danych, dostęp z nieznanego kraju — system generuje alert i może automatycznie zablokować sesję do czasu weryfikacji.
UEBA wykrywa ataki, które ominęły systemy perymetryczne. Skradzione hasło to tylko połowa sukcesu dla atakującego — jeśli jego zachowanie odbiega od zachowania legalnego użytkownika, UEBA zidentyfikuje zagrożenie.
Wdrożenie PAM/DLP zgodnie z NIS2 i RODO
Dyrektywa NIS2 i RODO nakładają na organizacje obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych ochrony danych. PAM i DLP są uznawane za standard branżowy w tym zakresie. Prawidłowo wdrożone, znacząco redukują ryzyko naruszenia i stanowią dowód należytej staranności w przypadku incydentu. ESKOM.AI wdraża PAM i DLP z pełną dokumentacją polityk bezpieczeństwa, szkoleniami dla pracowników i regularnymi audytami zgodności.