Kredito valdymas kaip finansinės rizikos kontrolė

Posted on by jzufhu

Autorius: Eirik Salmi, „Passwork“ sistemos analitikas

Kai grėsmės veikėjas įeina į jūsų tinklą naudodamas teisėtą vartotojo vardą ir slaptažodį, kuris valdymas jį sustabdo?

Daugeliui finansinių institucijų sąžiningas atsakymas yra toks: niekas to nepagauna iš karto. Užpuolikas atrodo kaip įgaliotas vartotojas. Remiantis IBM duomenų pažeidimo išlaidų ataskaita (2025), jie juda į šoną, padidina privilegijas ir nustato svarbias sistemas vidutiniškai 186 dienas, kol pažeidimas net nustatomas (ir dar 55 dienas, kad jį sulaikytų).

Iki to laiko padaryta žala eksploatacijai, o reguliavimo laikrodis jau prasidėjo.

2025 m. sausio 17 d. visoje ES pradėtas taikyti Skaitmeninio operatyvinio atsparumo įstatymas (DORA). Reglamento 9 straipsnis nustato, kad įgaliojimų saugumas yra privaloma finansinės rizikos kontrolė, turinti priežiūros pasekmes įstaigoms, kurios nesilaiko reikalavimų.

Klausimas nebėra toks, ar jūsų autentifikavimo laikysena atitinka geriausią praktiką. Tai, ar jis atitinka įstatymus, ir ar galite tai įrodyti.

Šiame straipsnyje apžvelgiami konkretūs 9 straipsnio reikalavimai, reglamentuojantys kredencialų valdymą, paaiškinama, kodėl pažeistas slaptažodis yra veikimo atsparumo gedimas pagal DORA sistemą, ir aprašomos praktinės kontrolės priemonės, kurios panaikina spragą.

Grėsmė, kuriai DORA buvo sukurta atremti

Remiantis „Verizon“ duomenų pažeidimo tyrimo ataskaita, pavogti kredencialai yra didžiausias pradinis prieigos vektorius 2025 m., kuris sudaro 22 % visų duomenų pažeidimų. Remiantis IBM „Cost of a Data Breach Report“ ataskaita, finansų įstaigoms konkrečios sektoriaus sąnaudos už kiekvieną incidentą vidutiniškai siekia 5,56 mln. USD – nuo ​​6,08 mln.

Kredito vagystės pasiūla buvo visiškai industrializuota. Pradinės prieigos brokeriai parduoda patikrintą įmonės tinklo prieigą vidutiniškai už 2 700 USD, o 71% sąrašų apima privilegijuotus kredencialus – iš anksto supakuotą prieigą, kuriai išnaudoti nereikia jokių techninių įgūdžių, rodo „Rapid7“ tyrimai.

Infostealers, tokios kaip Lumma, RisePro, StealC, Vidar ir RedLine, automatizuoja kredencialų rinkimą dideliu mastu. IBM X-Force duomenys rodo, kad 2024 m., palyginti su 2024 m., jų pristatymas per sukčiavimą išaugo 84 %, o 2025 m. duomenys rodo dar statesnę trajektoriją.

DORA 9 straipsnis sukurtas kaip tik tam, kad nutrauktų šią grandinę. Reglamentas atspindi dokumentais pagrįstą, nuolatinę grėsmę Europos finansų rinkų veiklos tęstinumui.

DORA 9 straipsnis reikalauja tvirto autentifikavimo, mažiausiai privilegijų prieigos ir dokumentuotų valdiklių.

Passwork pristato visus tris – savarankiškai priglobtas, sertifikuotas ISO 27001, su visais audito žurnalais, kuriuos jūsų atitikties komanda gali eksportuoti pagal poreikį.

Išbandykite Passwork Free

Ko iš tikrųjų reikalauja DORA 9 straipsnis

DORA 9 straipsnis, pavadintas „Apsauga ir prevencija“, patenka į IRT rizikos valdymo sistemą, kurią įpareigoja 6 straipsnis. Jame nustatomi konkretūs techniniai ir procedūriniai įsipareigojimai, kuriuos turi įgyvendinti finansų subjektai.

Dvi nuostatos yra tiesiogiai susijusios su įgaliojimų valdymu.

  • 9 straipsnio 4 dalies c punktas reikalaujama, kad finansiniai subjektai „įgyvendintų politiką, kuri riboja fizinę ar loginę prieigą prie informacijos ir IRT turto iki to, ko reikia tik teisėtoms ir patvirtintoms funkcijoms ir veiklai“. Tai yra mažiausių privilegijų principas, nurodytas kaip teisinė pareiga.

  • 9 straipsnio 4 dalies d punktas eina toliau, reikalaujant, kad subjektai „įgyvendintų stiprių autentifikavimo mechanizmų politiką ir protokolus, pagrįstus atitinkamais standartais ir specialiomis valdymo sistemomis, ir kriptografinių raktų apsaugos priemones, pagal kurias duomenys šifruojami remiantis patvirtintų duomenų klasifikavimo ir IRT rizikos vertinimo procesų rezultatais“.

Šios kalbos išpakavimas operatyviniais terminais: MFA yra privaloma. Nuoroda į „atitinkamus standartus“ tiesiogiai nurodo FIDO2/WebAuthn – šiuo metu plačiausiai įdiegtą autentifikavimo standartą, atsparų „Adversary-in-the-Middle“ (AiTM) sukčiavimo rinkiniams, kurie gali apeiti SMS ir TOTP pagrįstą MFA realiuoju laiku. Kriptografinio rakto valdymas yra reguliavimo reikalavimas.

Privilegijuotosios prieigos valdymo (PAM) įrankiai reglamente nėra aiškiai įvardijami, tačiau valdikliai, kuriuos jie pateikia, tiesiogiai atitinka 9 straipsnio reikalavimus. Seanso įrašymas, tiesioginio laiko (JIT) prieigos teikimas ir privilegijuotas kredencialų saugojimas yra būtent „skirtos valdymo sistemos“, aprašytos reglamente.

Įstaigos, kurios neįdiegė šių kontrolės priemonių, susiduria su atitikties spraga, kurią priežiūros institucijos gali pašalinti.

Europos bankininkystės institucija (EBI) ir EVPRI techniniai reguliavimo standartai pagal DORA suteikia papildomo konkretumo IRT rizikos valdymo reikalavimams ir sustiprina 9 straipsnio pagrindą konkrečiam sektoriui skirtomis įgyvendinimo gairėmis.

Kvalifikacijos kompromisas kaip veikimo atsparumo gedimas

Nurodytas DORA tikslas yra užtikrinti, kad finansiniai subjektai galėtų atlaikyti IRT trikdžius, reaguoti į juos ir atsigauti. Kompromisas dėl įgaliojimų atrodo visiškai kitaip per šį objektyvą nei per saugumo incidento objektyvą.

Esant vidutiniam 186 dienų buvimo laikui, pažeistas kredencialas nesukelia atskiro saugos įvykio. Tai kelia nuolatinę, nematomą grėsmę veiklos tęstinumui – užpuolikas juda į šoną, didina privilegijas ir nustato svarbias sistemas, o pasirodo kaip teisėtas vartotojas. Tai yra tiesioginė grėsmė veiklos tęstinumui, DORA skirta apsaugoti.

Prancūzijos nacionalinio bankų registro pažeidimas 2026 m. sausį padarė konkretų mechanizmą. Grėsmės veikėjas gavo vieno valstybės tarnautojo, turinčio prieigą prie Ficoba – tarpministerinės duomenų bazės, kurioje saugomi įrašai apie kiekvieną Prancūzijoje atidarytą banko sąskaitą, įgaliojimus.

Naudodamas tik tą vieną paskyrą, užpuolikas pasiekė ir ištraukė duomenis apie 1,2 milijono banko sąskaitų, įskaitant IBAN, sąskaitų savininkų vardus ir adresus bei mokesčių identifikavimo numerius.

Paveikta sistema buvo atjungta, registro veikla buvo sutrikdyta, o apie incidentą pranešta Prancūzijos duomenų apsaugos institucijai CNIL. Ataka nereikalavo jokio techninio sudėtingumo.

Pagal DORA tokio masto incidentas finansų subjekte sukeltų privalomus atskaitomybės įsipareigojimus pagal 19 straipsnį – pirminis pranešimas per 4 valandas nuo klasifikavimo (ir ne vėliau kaip per 24 valandas po aptikimo), tarpinė ataskaita per 72 valandas ir galutinė ataskaita per vieną mėnesį.

Trečiosios šalies aspektas: tiekėjo kredencialai yra jūsų kredencialai

DORA V skyriuje nustatomi aiškūs finansų subjektų įsipareigojimai dėl IRT trečiosios šalies rizikos. Atitikties perimetras nesibaigia ties pačios įstaigos sistemomis.

2024 m. gegužės mėn. Santander pažeidimas yra Europos atskaitos taškas. Užpuolikai pasinaudojo iš „Snowflake“ darbuotojų pavogtais kredencialais, kad pasiektų duomenų bazę, kurioje yra klientų ir darbuotojų duomenys Ispanijoje, Čilėje ir Urugvajuje.

Kredencialus prieš kelis mėnesius paėmė „infostealer“ kenkėjiška programa, užkrėtusi rangovų darbo vietas. Nė vienoje iš pažeistų „Snowflake“ paskyrų nebuvo įjungtas kelių veiksnių autentifikavimas.

Įėjimo taškas nebuvo Santanderyje. Tai buvo silpna pardavėjo autentifikavimo poza – ir buvo atskleisti vienam didžiausių Europos bankų priklausantys duomenys, neparašant nė vieno išnaudojimo.

Pagal DORA finansų įstaiga, kurios svarbus IRT paslaugų teikėjas patyrė įgaliojimų pažeidimą, susiduria su tiesioginiu reguliavimo poveikiu. Įstaigos turi sutartimi reikalauti iš savo pardavėjų lygiaverčių autentifikavimo standartų ir tikrinti, ar jie atitinka šiuos reikalavimus.

Pardavėjo slaptažodžių politikos spraga nėra vien pardavėjo problema – tai finansinio subjekto reguliavimo atsakomybė.

Su DORA suderinamo kredencialų valdymo kūrimas

Norint įvykdyti 9 straipsnio reikalavimus, reikalinga struktūrizuota programa, apimanti keturias sritis.

  • Pirmiausia įdiekite sukčiavimui atsparią MFA. FIDO2/WebAuthn pagrįstas autentifikavimas – aparatinės įrangos saugos raktai, prieigos raktai, platformos autentifikatoriai. SMS ir TOTP pagrįsti vienkartiniai slaptažodžiai nėra tinkami dabartinėms atakos technikoms. Suteikite galimybę visiems vartotojams apsaugoti nuo sukčiavimo MFA, ypač griežtai privilegijuotoms paskyroms ir nuotolinės prieigos keliams.

  • Įgyvendinti mažiausiai privilegijų prieigą. JIT aprūpinimas – padidintos prieigos suteikimas tik tam tikros užduoties laikotarpiui – pašalina nuolatines privilegijas, dėl kurių kredencialų vagystė yra tokia žalinga. Išjungę paskyras iš karto išjunkite. Neveikiančios paskyros yra vieni iš labiausiai paplitusių ir labiausiai išvengiamų atakų vektorių.

  • Saugokite visus kredencialus. Paslaugos paskyros slaptažodžiai, API raktai ir privilegijuoti kredencialai turi būti saugomi užšifruotoje, prieiga valdomoje kredencialų saugykloje. Rankinis kredencialų valdymas dideliu mastu yra neveiksmingas ir nesukuria jokios audito sekos. Verslo slaptažodžių tvarkyklės slaptažodis, įdiegtas vietoje pačios įstaigos infrastruktūroje, suteikia šifruotą saugyklą, detalias prieigos valdiklius ir visą veiklos istoriją, kurios reikalaujama 9 straipsnyje.

  • Nuolat stebėti. Nenormalus prisijungimo elgesys – neįprasta geografinė padėtis, prieiga ne darbo valandomis, judėjimo į šonus modeliai – turi suaktyvinti automatinius įspėjimus. Šio 186 dienų vidutinio buvimo laiko sumažinimas yra vienintelis veiksmingiausias svertas, leidžiantis sumažinti tiek finansinę riziką, tiek DORA pranešimo apie incidentus įsipareigojimus.

Visi keturi valdikliai priklauso nuo to paties pagrindo: kaip saugomi, bendrinami, pasiekiami ir stebimi kredencialai. Neturint šio sluoksnio struktūros, net gerai suplanuotos strategijos nepavyksta įvykdyti.

Kaip Passwork palaiko DORA atitiktį praktikoje

Passwork yra įmonės slaptažodžių tvarkyklė, sertifikuota pagal ISO/IEC 27001 ir prieinama kaip savarankiškas diegimas – tai reiškia, kad jūsų kredencialų duomenys niekada nepalieka jūsų infrastruktūros.

Finansų subjektams, besilaikantiems DORA V skyriaus tiekimo grandinės įsipareigojimų, šis skirtumas yra svarbus: trečiosios šalies „SaaS“ kredencialų saugykla pristato būtent tokią IRT priklausomybę, kurią reglamentas reikalauja jums valdyti.

Institucijoms, kurios atlieka keturias pirmiau nurodytas valdiklius, „Passwork“ sprendžia kiekvienos iš jų kredencialų valdymo dimensiją.

  • MFA vykdymas visame kredencialų lygyje. Passwork palaiko biometrinį, prieigos raktą ir saugos raktą MFA, su SAML SSO ir LDAP integravimu įmonės aplinkoje.

  • Vaidmenimis pagrįsta prieigos kontrolė ir mažiausia privilegija. Leidimai priskiriami saugyklos ir aplanko lygiu, paveldimi iš AD arba LDAP grupių ir automatiškai atnaujinami pasikeitus katalogams. Išsijungus atšaukiama prieiga prie bendrų kredencialų per vieną operaciją – registruojama ir pažymėta laiko žyma, pateikiant įrodymus, kurių tyrėjas paprašys pagal 9 straipsnio 4 dalies c punktą.

  • Privilegijuotas paskyros inventorius ir saugus bendrinimas. Passwork suteikia struktūrizuotą visų organizacijos kredencialų, įskaitant bendras administravimo paskyras, saugyklą, kurioje galima ieškoti. Šifruotas saugyklos bendrinimas pakeičia neoficialius kanalus, kurie nepalieka audito pėdsakų ir kurių negalima atšaukti.

  • Atitikties dokumentų audito žurnalai. Kiekvienas kredencialo prieiga, leidimo pakeitimas, slaptažodžio nustatymas iš naujo ir bendrinimo įvykis įrašomas į klastojimo akivaizdų žurnalą, kurį galima eksportuoti į atitikties ataskaitas ir integruoti su SIEM sistemomis. Struktūrizuota veiklos istorija yra iš esmės stipresnis atsakas reguliavimo institucijai nei vien politikos dokumentas.

DORA atitiktis yra tiek įrodymų, tiek techninių problemų. Institucijos, kurios veiksmingiausiai vykdo vykdymą, yra tos, kurios gali pateikti dokumentus pagal pareikalavimą.

Veikti prieš auditą

DORA pavertė kredencialų valdymą iš geriausios saugumo praktikos į privalomą finansinės rizikos kontrolę. 9 straipsnio 4 dalies c punktas ir 9 straipsnio 4 dalies d punktas yra aiškūs: mažiausiųjų privilegijų prieiga, tvirtas autentifikavimas ir kriptografinio rakto apsauga yra teisinės kiekvieno ES veikiančio finansinio subjekto prievolės.

Veiklos atsparumas prasideda nuo tapatybės, o tapatybė prasideda nuo kontrolės, kas turi raktus.

Patikrinkite savo įgaliojimų kontrolę pagal 9 straipsnį, dokumentuokite išvadas ir turėkite įrodymus prieš reguliavimo institucijai paprašant. Pagal DORA dokumentacijos nebuvimas yra pats faktas.

Passwork sukurtas būtent tokiai situacijai: savarankiškai priglobta slaptažodžių tvarkyklė, kuri saugo kredencialų duomenis jūsų infrastruktūroje, užtikrina MFA kiekviename prieigos taške ir generuoja klastojimo akivaizdžius audito žurnalus, kurie pokalbį su atitiktimi įsipareigojimu paverčia demonstravimu. Sertifikuotas ISO/IEC 27001, su LDAP ir SAML SSO integravimu įmonės aplinkai.

Pradėkite nemokamą Passwork bandomąją versiją – visos funkcijos, jokių apribojimų.

Rėmė ir parašė Passwork.

Nuoroda į informacijos šaltinį

Related Posts

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Klaipedos miesto naujienos - Miesto naujienos - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Teniso treniruotės - Pranešimai spaudai - Kauno naujienos - Regionų naujienos - Palangos naujienos