Każdy pracownik, który ma na biurku komputer, zna dziś podstawowe zasady posługiwania się hasłem, jakie go uruchamia. A więc: nie stosuj jako hasła imienia swojego kota, bo wszyscy je natychmiast poznają. Regularnie zmieniaj hasło. I nikomu nie mów, jak ono brzmi.
Mniej jednak wiadomo o tym, jakie trudności wiążą się z zarządzaniem hasłami, które zawiadują systemem informatycznym, decydującym o działaniu sieci komputerowej firmy – a także ze strzeżeniem tych haseł. Te hasła administratora, zwane także „uprzywilejowanymi przepustkami” (ang. password) są często nieuporządkowane, a ich utrzymanie drogo kosztuje.
Kosztowny dostęp
Według niedawnego raportu analizującej rynek firmy IDC a także opinii specjalizującej się w sprawach bezpieczeństwa informatycznego firmy CyberArk, uprzywilejowanymi hasłami trzeba zarządzać raczej ręcznie niż automatycznie, przeciętną spółkę z „Listy 500” miesięcznika „Fortune” kosztuje to rocznie około 500 tysięcy dolarów.
– Każdy system informatyczny wymaga istnienia kilku „superkont” albo „kont administratora”, które umożliwiają administratorowi stworzenie systemu – wyjaśnia Calum Macleod, dyrektor ds. Europy w firmie CyberArk. – Te systemy z założenia mają być utworzone w taki sposób, żeby w przypadku czy to katastrofy, czy też potrzeby wprowadzenia zmian (takich jak zainstalowanie nowej aplikacji), konta administratora nadal w nich pozostały – mówi Macleod.
Jak jednak informuje raport, te konta – zwłaszcza zaś hasła do nich – zazwyczaj nie są objęte nadzorem.
– Czasem producenci sprzedają systemy informatyczne wraz z hasłami: w wielu przypadkach stwierdziliśmy, że firmy nie zmieniały tych haseł od momentu zakupu systemu. A trzeba pamiętać, że wszystkie systemy pochodzące od jednego producenta są początkowo opatrzone tym samym hasłem – wyjaśnia Macleod.
Kiedyś to wystarczyło
Ta sprzeczność między bardzo ostrożnym zarządzaniem hasłami indywidualnych użytkowników firmowej sieci a podejściem do haseł, od których zależy jej funkcjonowanie, ma źródła we wczesnej fazie komputeryzacji, gdy systemem informatycznym kierowano z tzw. ogromnego komputera (mainframe), a korzystanie z komputerów osobistych stanowiło dopiero przyszłość. XXXXXXXXXXXXX Wiele z ustalonych wówczas procedur zmieniło się w słabym tylko stopniu, tymczasem drastycznie zmienił się sposób użytkowania komputerów, jakie mają na biurkach pracownicy. – Potem zaczęła się epoka masowego dostępu do komputerów (…)
Dalsza część artykułu w wersji drukowanej GP. Źródło: >>Gazeta Prawna<<
