Zarządzanie tożsamością - wprowadzenie do problemu



Podobne dokumenty
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA

Silne uwierzytelnianie dla klienta indywidualnego

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

E-administracja. Korzystanie z Elektronicznej Platformy Usług Administracji Publicznej

Moduł do płatności mobilnych najprostszy sposób zatwierdzenia płatności w komórce

Potwierdzanie tożsamości w cyfrowym świecie VII Konferencja i Narodowy Test Interoperacyjności Podpisu Elektronicznego CommonSign 2017

Automatyzacja procesów księgowych w Twojej firmie

Załącznik 1b - Szczegółowy opis II części zamówienia

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

VPN CI Instrukcja użytkownika

Bezpieczna bankowość efirma24

Świadczenie usługi hurtowej wysyłki wiadomości SMS dla Urzędu Miasta Torunia w latach

edistro.pl Spis treści

Prezentacja programu. Parentis Sp. z o.o. Dział Informatyki. Kartoszyno, ul. Przemysłowa 5, Krokowa

Polityka Bezpieczeństwa ochrony danych osobowych

Portal Personelu Medycznego Global Services Sp. z o.o.

Zdobywanie fortecy bez wyważania drzwi.

wersja dokumentu 1.0 data wydania

WSTĘP. Szanowni Państwo, Witamy bardzo serdecznie w gronie internautów, użytkowników systemów informatycznych przez Internet.

Bezpieczna bankowość ekonto24

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Silne uwierzytelnianie dla klienta instytucjonalnego

Bezpieczeństwo systemu ebanknet w Banku Spółdzielczym w Brańsku

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

Narzędzie wspierające zarządzanie organizacj. Parentis Sp. z o.o. Kartoszyno,ul.Przemysłowa 5, Krokowa, info@parentis.pl

Przewodnik po Systemie Internetowym dla Klientów posiadających w tym systemie dostęp wyłącznie do kart kredytowych i innych kredytów.

System automatycznego wysyłania SMSów SaldoSMS

Projekt dotyczy stworzenia zintegrowanego, modularnego systemu informatycznego wspomagającego zarządzanie pracownikami i projektami w firmie

PRZEWODNIK PO SYSTEMIE INTERNETOWYM DLA KLIENTÓW POSIADAJĄCYCH W TYM SYSTEMIE DOSTĘP WYŁĄCZNIE DO KART KREDYTOWYCH I INNYCH KREDYTÓW

VENDIO SPRZEDAŻ kompleksowa obsługa sprzedaży. dcs.pl Sp. z o.o. vendio.dcs.pl info@dcs.pl Warszawa,

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Zmiany w zakresie obsługi niepublicznych papierów wartościowych. Spotkanie

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Comarch ERP Optima w modelu usługowym Pierwsze kroki w panelu administracyjnym

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

JMK-CRM. System zarządzania przedsiębiorstwem.

SKRÓCONY OPIS systemu lojalnościowego

SuperPłace Struktury danych osobowych

Millenet to takie proste! 3. 5 kroków do systemu Millenet 4. Definiowanie telefonu dla H@sełSMS i aktywny dostęp do usługi 5

DOTYCZY KLIENTA PKO BIURO OBSŁUGI LEASING ZAPYTANIE O INFORMACJĘ OTYCZY: DOSTAWY PLATFORMY ELEKTRONICZNE DLA PKO

POLITYKA PRYWATNOŚCI. 1 Jak zbieramy dane?

Firma Informatyczna ASDER. Prezentacja. Serwer danych lokalnych. Przemysław Kroczak ASDER

Biometryczna Weryfikacja (NIE inwigilacja)

BANK ZACHODNI WBK S.A. SPÓŁKA AKCYJNA CZŁONEK ZARZĄDU BANKU

PROCEDURY LINK4. INSTRUKCJA PŁATNOŚCI KARTĄ, BLIK i TubaPay

usługi internetowe dla przedsiębiorcy

System kontroli kosztów oraz dostępu do urządzeń

Instrukcja logowania do systemu Rejestru Unii dla nowych użytkowników

Materiały dydaktyczne: Maciej Krzymowski. Przygotowano na podstawie CHIP 3/2006

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

Instrukcja Zarządzania Systemem Informatycznym

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA PRYWATNOŚCI

Instrukcja logowania do systemu Rejestru Unii dla nowych użytkowników

Praca w sieci równorzędnej

Elektroniczna Platforma Usług Administracji Publicznej (epuap) to system informatyczny, dzięki któremu obywatele mogą załatwiać sprawy urzędowe za

Polityka prywatności

Instrukcja wiązania bankowości internetowej z aplikacją mobilną mtoken Asseco MAA (w przypadku autoryzacji za pomocą tokena lub sms-a)

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Zarządzanie tożsamością i uprawnieniami

Zastosowania aplikacji B2B dostępnych na rynku zalety aplikacji online

Projektowani Systemów Inf.

Przykładowa konfiguracja konta pocztowego w programie Thunderbird z wykorzystaniem MKS 2k7 (MS Windows Vista Busissnes)

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Usługi mobilne ipko biznes

Wykaz zmian w Regulaminie otwierania i prowadzenia igo lokat z miesięczną kapitalizacją odsetek

biometria i bankomaty recyklingowe w praktyce

Bankowość Mobilna i Internetowa Szybko i prosto. Tradycyjna bankowość w nowoczesnym wydaniu

SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH

Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA klient korporacyjny

3. DyplomyDlaDzieci.pl dokłada szczególnej staranności do poszanowania prywatności Klientów odwiedzających Sklep. 1 Zbieranie danych

epuap Zakładanie konta organizacji

Nowy sposób autoryzacji przelewów w Usłudze Bankowości Elektronicznej

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

DOM MAKLERSKI BZ WBK SPÓŁKA AKCYJNA CZŁONEK ZARZĄDU DOMU MAKLERSKIEGO

POLITYKA PRYWATNOŚCI SERWIS:

Przetwarzanie danych osobowych w chmurze

SYSTEMY KORPORACYJNEJ BANKOWOŚCI INTERNETOWEJ W POLSCE

System e-kontrola Zarządcza

Projekt epuap obecny stan realizacji i plany na przyszłość

Bezpieczeństwo systemów komputerowych.

P O L I T Y K A P R Y W A T N O Ś C I. 1 Jak zbieramy dane?

Analiza kosztów stosowania bilingu

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

Szczegółowy opis przedmiotu zamówienia

PRZEWODNIK. Dodawanie i usuwanie rachunków bankowych

Przewodnik technologii ActivCard

BANK ZACHODNI WBK S.A. SPÓŁKA AKCYJNA CZŁONEK ZARZĄDU BANKU

(argument dla męskiej m. ęści populacji)

Lista funkcjonalności

Aplikacja Getin Mobile

Transkrypt:

Zarządzanie tożsamością - wprowadzenie do problemu Wojciech Dworakowski Identity XIV Seminarium

Tożsamo samość elektroniczna Odwzorowanie osoby w systemie informatycznym użytkownik, klient, współpracownik, dostawca... 2

Tożsamo samość elektroniczna Konto w systemie operacyjnym komputera, bazie danych, aplikacji,... Wpis w systemie katalogowym (Active Directory, OID, NDS, LDAP,...) Rekord w aplikacji HR (baza danych, plik testowy,...) Rekord w systemie CRM Pozycja w książce adresowej Adres e-mail?... 3

Złożoność zagadnienia - funkcjonalnośc Zakładanie użytkownika Usuwanie użytkownika Udzielanie/zabieranie dostępu do zasobów Kontrola dostępu do zasobów Uwierzytelnianie Zarządzanie hasłami Kontrola i raportowanie... 4

Typowe problemy Udostępnianie informacji Bezpieczeństwo informacji Pozostawione konta użytkowników, którzy odeszli z firmy/działu Brak stosowania zasady najmniejszych przywilejów dostęp do usług przydzielany ad-hoc bez głębszej analizy potrzeb (użytkownik mówi, że ma działać ) Administratorzy muszą wykonać wiele operacji aby udostępnić pracownikowi potrzebne mu usługi Nowy pracownik długo musi czekać na udostępnienie niezbędnej dla niego funkcjonalności Stosunkowo łatwo jest oszukać administratorów i uzyskać większe przywileje brak ścisłych procedur nadawania przywilejów 5

Przyczyny problemów Systemy informatyczne są ciągle żywe. Modyfikacje przywilejów są potrzebne niemal codziennie. Powoduje to generowanie bałaganu związanego z tożsamością użytkowników Brak ściśle wyznaczonej odpowiedzialności i odpowiedniego odwzorowania jej w systemie informatycznym 6

Złożoność zagadnienia - heterogeniczność W typowej instytucji użytkownik korzysta z wielu systemów informatycznych Konto lub zapis o osobie (tożsamość elektroniczna) jest odwzorowywane w wielu miejscach Systemy operacyjne Bazy danych Wpisy w kartotekach Systemy te są dostarczane przez wielu producentów Rozwiązania HR Bazy danych Sytemy operacyjne 7

Funkcjonalność + heterogeniczność Zakładanie użytkownika Usuwanie użytkownika Udzielanie/zabieranie dostępu do zasobów Kontrola dostępu do zasobów Uwierzytelnianie Zarządzanie hasłami Kontrola i raportowanie... 8

IdM Zakładanie użytkownika Usuwanie użytkownika Udzielanie/zabieranie dostępu do zasobów Kontrola dostępu do zasobów Uwierzytelnianie IdM Zarządzanie hasłami Kontrola i raportowanie... 9

IdM Z le c e u ży n i e za tk o w ło nika żenia Prośba o dostęp do usługi Ak cep tac ja IdM 10

Tożsamość elektroniczna a bezpieczeństwo Uwierzytelnianie Proste hasła łatwo przejąć czyjąś tożsamość Wiele haseł do różnych systemów na pewno będą proste Single Sign-On Ułatwienie (również dla intruza) De-provisioning Bardzo często w systemach pozostają konta (i dane) osób które już nie pracują Czym więcej systemów tym większy problem Podszywanie się 11

Podszywanie się W jaki sposób tożsamość elektroniczna jest reprezentowana w systemie informatycznym? Zwykle po uwierzytelnieniu z danym użytkownikiem jest kojarzony identyfikator odwzorowanie danej osoby z daną aplikacją (sesja) Aplikacje WWW konto w aplikacji identyfikator sesji aby przejąć tożsamość można wykraść login credentials albo... identyfikator sesji Kerberos token użytkownika 12

Nie tylko pracownicy Aplikacje internetowe konta klientów np. bankowość elektroniczna Ekstranety potrzeba zarządzania użytkownikami i grupami użytkowników z firm partnerskich Dane osobowe przetwarzane w systemie informatycznym 13

Ustawa o ochronie danych osobowych Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych (...) 5 Instrukcja (...), zawiera w szczególności: 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym (...) 7 1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (...) system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu (...) 2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. 3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1. 14

Ustawa o ochronie danych osobowych Załącznik do Rozporządzenia środki bezpieczeństwa pkt IV: 1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. 2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. W wytycznych liczne odnośniki co do usuwania użytkowników systemu, blokowania dostępu, itd. W zasadzie cała ustawa odnosi się do zarządzania tożsamością elektroniczną (dane osobowe przetwarzane w systemie informatycznym) 15

Korzyści Zmniejszenie nakładów na administrację Zwiększenie produktywności Możliwość odwzorowania procedur w systemie IdM (workflow) Lepsza kontrola Szybkie raportowanie Zwiększenie bezpieczeństwa (o ile IdM jest rozsądnie wdrożony) 16

Co należy y wziąć pod uwagę wybierając c rozwiązanie zanie IdM? WAŻNE: Patrzeć w przyszłość! Współpraca z usługami (aplikacjami) obecnie funkcjonującymi w firmie Elastyczność w adaptowaniu rozwiązania do nowych usług sposoby rozszerzania do nowych usług, API, język skryptowy wsparcie Możliwość współpracy z systemem HR Z jakimi usługami katalogowymi współpracuje i w jakim zakresie? Możliwość łatwego odwzorowania funkcjonujących w instytucji procedur, odpowiedzialności, etc Szybkie i wygodne generowanie raportów potrzebnych dla zgodności z ustawami, normami, etc. 17

Najsłabsze absze ogniwo Uwaga: Systemy IdM to nie wszystko! Równie ważne (ważniejsze?) są procedury towarzyszące... i odpowiednio przeszkolony personel 18

Co jest potrzebne żeby ukraść tożsamo samość? Przykład: Bankowość elektroniczna Dostęp przez internet i telefon W założeniach: Do skutecznego podszycia się pod właściciela konta potrzebne jest: znajomość identyfikatora użytkownika znajomość hasła do bankowości internetowej lub telecentrum lista haseł jednorazowych (autoryzowanie transakcji) 19

informacje łatwo dostępne Scenariusz ataku coś co mam coś co wiem 1. Telefon do telecentrum identyfikacja za pomocą X ostatnich cyfr nr konta po 3 błędnych próbach podania kodu dostępu przekierowanie do konsultanta nie pamiętam identyfikatora klienta Procedura identyfikacji (imie nazwisko, nazwisko panieńskie matki, imiona rodziców, nr telefonu komórkowego) Uzyskałem identyfikator klienta 2. Telefon do telecentrum, podanie id klienta i połączenie z konsultantem nie pamiętam kodu dostępu do telecentrum nowy kod dostępu podano mi po oddzwonieniu na komórkę 3. Analogicznie zresetowałem hasło do internetu (już bez oddzwaniania) 4. Telefon do telecentrum, identyfikator + kod dostępu, połączenie z konsultantem zmieniłem adres zamieszkania, podałem nowy adres 5. Połączenie z bankowością internetową zamówiłem nową listę kodów jednorazowych 20

Co jest potrzebne żeby ukraść tożsamo samość? W założeniach: Do skutecznego podszycia się pod właściciela konta potrzebne jest: znajomość identyfikatora użytkownika znajomość hasła do bankowości internetowej lub telecentrum lista haseł jednorazowych (autoryzowanie transakcji) W rzeczywistości wystarczy: znajomość danych łatwych do zdobycia (imie nazwisko, nazwisko panieńskie matki, imiona rodziców, nr telefonu komórkowego, nr konta, PESEL) możliwość odbierania rozmów na nr telefonu komórkowego (kradzież, skopiowanie karty SIM, przekierowanie rozmów) Do przekierowania rozmów wystarczy chwilowy dostęp do telefonu 21

Przyczyny Tożsamość użytkownika jest związana z jej elektroniczną reprezentacją Presja cięcia kosztów okienka w banku zastępowane są obsługą przez telefon i internet. Instytucje unikają kontaktu twarzą w twarz (analogicznie administratorzy ;) Brak kojarzenia zdarzeń anonimowość kontaktu Systemy zarządzania tożsamością to nie wszystko, potrzebne są jeszcze procedury dostosowane do specyfiki danej usługi i firmy...i odpowiednio przeszkoleni pracownicy (?) wyczuleni na potencjalne manipulacje 22

Pytania? Dziękuję za uwagę Wojciech Dworakowski wojciech.dworakowski@securing.pl http://www.securing.pl Rynek Podgórski 2/7, 30-533 Kraków tel/fax. (12) 656 71 05 23