Danas započinjemo sa novom lekcijom. Govoriti ću vam o IAM-u što je kratica za Identity and Access Management, u prijevodu Upravljanje identitetima i pristupom. Ovo je opširnija lekcija pa ćemo ju podijeliti u više dijelova tj članaka. U kibernetičkoj sigurnosti koristi se mnogo akronima. Jedan od njih je i IAAA.
- I = IDENTITY
- A = AUTHENTICATION
- A = AUTHORIZATION
- A = ACCOUNTABILITY
IDENTITY – IDENTIFIKACIJA
Dakle, I označava identifikaciju. To u osnovi znači samo prepoznavanje entiteta, pa na primjer, ako uđete u banku i blagajnik vas pita za identitet i kažete, ja sam Ivan, to znači da ste se identificirali, samo ste pružili svoje ime, ili ako radite u nekom sustavu samo ste pružili svoje korisničko ime. Važno je razumjeti da se identifikacija razlikuje od autentikacije. Autentikacija je kada zapravo potvrdite svoj identitet. Ali identifikacija se može obaviti neovisno o autentikaciji.
Možete tvrditi bilo koji identitet koji želite, to ne znači da ga možete zapravo potvrditi kasnije. Identifikacija samo znači tvrdnju identiteta. Nakon identifikacije slijedi autentikacija, što u osnovi znači da dokazujete ono što ste tvrdili prilikom identifikacije.
A = AUTHENTICATION
I to se može učiniti kroz nekoliko mehanizama. Na primjer, možete dati tajnu lozinku, vaš tajni pin, ili to može biti neka vrsta biometrijskih podataka, na primjer, vaši otisci prstiju ili skeniranje retine. Imajte na umu da se autentikacija može obaviti samo nakon što ste se identificirali jer se autentikacija provodi radi utvrđivanja identiteta, tj. vašeg tvrđenog identiteta. Dakle, tek nakon što ste pružili svoj identitet možete se autentificirati. Autentikacija je važna jer osigurava neporecivost. To je važan pojam u kibernetičkoj sigurnosti. To znači da ne možete tvrditi da niste vi izvršili neke radnje na sustavu pa neporecivost u osnovi znači da ste vezani za ono što radite. Dakle, na primjer, ako pružite svoj identitet i autentificirate ga pružanjem lozinke, a zatim obavljate određene zadatke na sustavu, tada ste odgovorni za to. Kasnije ne možete tvrditi da je to bio netko drugi. Dakle, to je koncept neporecivosti. Točno znamo tko je obavio taj zadatak.
A = AUTHORIZATION
Nakon autentikacije, slijedi autorizacija. Jednom kada ste autentificirani, to znači da ste legitimni korisnik i dopušten vam je pristup različitim dijelovima sustava. Međutim, nemaju svi korisnici jednake privilegije. Postoje neki korisnici koji imaju veće ili povišene privilegije. Na primjer, izvršni direktor tvrtke očito će imati veće privilegije u usporedbi s običnim zaposlenikom. Slično tome, mrežni administrator može imati opsežniji ili prošireni pristup na različitim dijelovima sustava, na primjer bazama podataka, u usporedbi s običnim korisnikom.
Autorizacija se provodi kroz mehanizam koji temeljito određuje vašu razinu ovlasti. Kojim podacima, sustavima ili aplikacijama možete pristupiti? To se provodi kroz liste kontrole pristupa, koje definiraju koji korisnik ima koji tip pristupa. Ovo može biti vrlo široko postavljeno. Možete imati velike grupe. Na primjer, imate grupu administratora, grupu običnih zaposlenika, grupu računovođa, i oni imaju iste privilegije. Ili možete imati sustav u kojem koristite detaljnije podešavanja i precizno određujete pristup, čak i na razini pojedinačnih datoteka. Kao što možete reći, na primjer, ovaj korisnik može pristupiti ovoj datoteci samo u načinu čitanja i tako dalje.
Uvijek zapamtite, autorizacija se može provesti ili konzultirati samo nakon što je korisnik autentificiran, jer se autorizacija uvijek odnosi na autentificiranog korisnika.
A = ACCOUNTABILITY
Dakle, posljednji korak nakon autorizacije je odgovornost, što u osnovi znači držanje korisnika odgovornima za njihove radnje. Dakle, iako ste legitimni korisnik sustava i već imate unaprijed definiranu autorizaciju, uvijek je dobro provjeriti je li neki korisnik obavio aktivnost za koju nije imao dozvolu. I to nije uvijek zlonamjerno. Ponekad korisnicima nenamjerno budu dodijeljene privilegije koje im nisu bile namijenjene. Na primjer, to se često događa kada, znate, mijenjate uloge unutar organizacije ili kada, s vremenom steknete više privilegija. Stoga nam je u osnovi potreban neki oblik mehanizma za reviziju kako bismo osigurali da su privilegije primjereno dodijeljene i ažurirane. A taj alat je odgovornost. Odgovornost se provodi revizijom računa i pregledom zapisa.
PRIMJER IAAA IZ ŽIVOTA
Identifikacija: Kada se korisnik prvi put registrira za online bankarstvo, mora pružiti osobne podatke kao što su ime, adresa i broj računa. Ovi podaci služe za inicijalno identificiranje korisnika u banci.
Autentikacija: Svaki put kada korisnik želi pristupiti svom online bankovnom računu, mora se autentificirati. To se obično radi putem korisničkog imena i lozinke, ali sve češće i dodatnim metodama kao što su biometrijski podaci (otisak prsta ili prepoznavanje lica) ili jednokratne lozinke poslane SMS-om.
Autorizacija: Nakon što je korisnik autentificiran, sustav provjerava koje akcije korisnik može poduzeti. Na primjer, neki korisnici mogu imati ovlasti samo za pregled stanja i transakcija, dok drugi mogu izvoditi plaćanja i transfer novca.
Odgovornost: Sve aktivnosti korisnika se zapisuju u log datoteke. Ako dođe do bilo kakvih sumnjivih aktivnosti ili transakcija, logovi se mogu pregledati kako bi se utvrdilo tko je odgovoran. Ovo osigurava da se korisnici mogu pozvati na odgovornost za sve što rade, a u slučaju spora, postoji jasan trag koji može pomoći u rješavanju problema.
Ovaj primjer pokazuje kako IAAA pomaže u osiguranju da online bankarske usluge ostaju sigurne, pouzdane i transparentne, štiteći korisnike i financijske institucije od neovlaštenog pristupa i mogućih zlouporaba.