W przemyśle dostęp uprzywilejowany narasta latami i prawie nigdy nie jest wynikiem złej woli. Ktoś kiedyś dał serwisowi maszyny konto, żeby mógł zdalnie sprawdzić usterkę. Ktoś inny założył wspólne konto administratora, bo było szybciej. Po dekadzie okazuje się, że nikt nie potrafi odpowiedzieć na proste pytanie: kto ma dziś klucze do najważniejszych systemów.
Sytuacja na wejściu
Grupa prowadzi kilka zakładów produkcyjnych, każdy z własną historią systemów i własnymi dostawcami. Konta administracyjne były współdzielone między członkami zespołu utrzymania, a hasła żyły w arkuszu i w głowach kilku osób. Firmy zewnętrzne miały dostępy przyznane lata temu, bez terminu ważności. Nie istniała historia sesji uprzywilejowanych, więc po incydencie nie dałoby się ustalić, kto co zrobił.
Dlaczego to było pilne
Zbiegły się dwie rzeczy. Po pierwsze ryzyko operacyjne: przy współdzielonych kontach jedno przejęte hasło otwiera drogę do systemów sterujących produkcją, a w zakładzie oznacza to postój, nie tylko problem informatyczny. Po drugie regulacje. Wymogi NIS2 wprost dotykają kontroli dostępu i rozliczalności, a odpowiedzialność spoczywa na kierownictwie. Zarząd potrzebował nie deklaracji, tylko dowodu.
Jak poprowadziliśmy wdrożenie
Nie zaczęliśmy od instalowania narzędzia. Zaczęliśmy od audytu i inwentaryzacji: kto realnie ma dostęp uprzywilejowany, do czego i na jakiej podstawie. Ta lista była najtrudniejszą częścią projektu i jednocześnie najbardziej wartościową, bo pokazała skalę wcześniej niewidocznego ryzyka, w tym konta po osobach, które dawno odeszły z firmy.
Dopiero potem wdrożyliśmy Segura jako jedyną drogę do systemów krytycznych. Hasła administracyjne trafiły do sejfu i są rotowane automatycznie, więc przestały być czymś, co ktoś zna na pamięć. Dostęp jest przyznawany imiennie i na czas konkretnego zadania, a sesje uprzywilejowane są nagrywane. Wspólne konto admina przestało być sposobem pracy.
Osobno zajęliśmy się dostępem firm zewnętrznych, bo to była największa niewiadoma. Serwisy maszyn i dostawcy systemów dostali dostęp ograniczony do zakresu i czasu zadania, zamiast bezterminowego konta VPN. Z perspektywy zakładu nic się nie pogorszyło: serwis nadal wchodzi, kiedy musi, tylko teraz wiadomo kto, kiedy i co robił.
Całość wdrażaliśmy etapami, zakład po zakładzie i system po systemie, od najbardziej krytycznych. Każdy etap kończyliśmy testem, który dla utrzymania ruchu był ważniejszy niż jakikolwiek raport: czy o trzeciej w nocy, gdy stanie linia, człowiek z dyżuru nadal wejdzie tam, gdzie musi. Bezpieczeństwo, które odcina ludzi od pracy, zostaje obejściem po tygodniu.
Na koniec spięliśmy projekt z wymogami NIS2 w zakresie kontroli dostępu i rozliczalności, tak żeby to, co zostało zbudowane technicznie, dało się pokazać audytorowi jako proces.
Co się zmieniło
Dostęp uprzywilejowany w całej grupie przechodzi dziś przez jedno kontrolowane miejsce. Nie ma współdzielonych haseł administratora ani arkusza, który był największym sekretem firmy. Każde wejście na krytyczny system jest imienne, ograniczone czasowo i możliwe do odtworzenia po fakcie, także dla firm zewnętrznych.
Projekt o wartości ponad pół miliona złotych nie kupił jednak narzędzia. Kupił odpowiedź na pytanie, którego wcześniej wszyscy się bali: kto ma klucze i co z nimi robił.