CONFERINŢA INTERNAŢIONALĂ DE DIALOG PUBLIC-PRIVAT: Managementul identităţii în spaţiul virtual prin prisma securităţii cibernetice

Încă de la începutul anilor 1990, odată cu creşterea semnificativă a comunicaţiilor digitale şi a Internetului, se vorbeşte tot mai mult de noţiuni precum realitatea virtuală, spaţiul virtual sau spaţiul cibernetic. Interacţionăm tot mai mult cu spaţiul cibernetic prin intermediul diferitelor tipuri de obiecte cu rol de interfaţă, denumite adesea terminale. Iniţial, aceste terminale erau de fapt bine-cunoscutele computere, însă în ultimii ani tot mai multe obiecte personale devin terminale (interfeţe) de interacţiune cu spaţiul cibernetic, căpătând denumirea generică de obiecte "inteligente", precum telefoa­nele, ceasurile sau ochelarii.

Deşi poate părea un pic exagerat, s-ar putea totuşi concluziona că, pe măsură ce aceste terminale personale devin tot mai ataşate de noi, ne transformăm noi înşine în nişte terminale ale spaţiului cibernetic. Subiectul este destul de controversat, aflându-se undeva la limita dintre ştiinţă şi ficţiune, mai ales dacă amintim şi de anumite teorii, precum cea promovată recent de Elon Musk - CEO şi fondator al Tesla şi SpaceX, conform cărora întregul Univers cunoscut de noi este de fapt o realitate virtuală simulată de un computer.

Din punct de vedere al securităţii cibernetice, managementul identităţii reprezintă o componentă vitală. Acest lucru este evident dacă ne gândim la o companie ai căror angajaţi trebuie să aibă acces la diferite sisteme şi aplicaţii informatice, în funcţie de rolul şi nevoile fiecăruia. Cu ajutorul sistemelor de management al identităţii se realizează autentificarea utilizatorilor, se asigură trasabilitate a acţiunilor acestora şi se implementează politicile de acces.

Un aspect uneori trecut uşor cu vederea este că şi sistemele de gestionare a identităţii necesită a fi securizate şi acest lucru nu este uşor, datorită complexităţii şi suprafeţei mari de atac a acestora, în sensul că sunt alcătuite din mai multe module, unelte de management, aplicaţii care interacţionează cu utilizatorii şi mecanisme de audit. În plus, aceste sisteme reprezintă o ţintă extrem de valoroasă pentru atacatori deoarece gestionează credenţiale de autentificare (parole, certificate digitale). În concluzie, probabilitatea ca sistemele de management al identităţii să devină o ţintă a atacurilor cibernetice este destul de mare.

Între aspectele generale care fac posibilă exploatarea sistemelor de management al identităţii regăsim:

- Complexitatea şi schimbările tehnologice rapide sunt în favoarea atacatorilor;

- Cu cât includ mai multe module/sisteme, cu atât pot prezenta mai multe vulnerabilităţi;

- Administratorii înfruntă birocraţia aferentă managementului schimbării;

- Companiile se grăbesc uneori să implementeze tehnologii foarte noi sau imature, acestea prezentând deseori vulnerabilităţi încă nedescoperite;

- Multitudinea de nivele la care pot fi atacate: reţea, baze de date, mecanisme de autentificare, unelte de management, aplicaţii, agenţi de sistem şi chiar la nivel de logică de funcţionare.

Unele dintre cele mai frecvente greşeli de implementare a sistemelor de management al identităţii sunt următoarele:

- Existenţa unor conturi active ale unor foşti angajaţi sau ale unor persoa­ne care în final nu au activat în cadrul organizaţiei;

- Prea multe conturi cu rol de administrare sau incluse în grupurile de administrare;

- Utilizatori care au acces la resurse de care nu au nevoie sau nu mai au nevoie;

- Existenţa unor conturi comune de administrare utilizate concomitent de mai multe persoane;

- Permiterea accesului la sistemele şi aplicaţiile critice prin intermediul unor terminale neadministrate de organizaţie.

Cu toate suspiciunile legate de afectarea intimităţii individului şi vulnerabilităţile generate de complexitatea acestora, sistemele de management al identităţii reprezintă una dintre principalele arme împotriva unor eventuale atacuri, mai ales dacă ne referim la furtul de identitate sau la atacurile iniţiate din interiorul organizaţiilor.