Pääsyongelmat johtuvat harvoin yksittäisestä suuresta vaaratilanteesta. Useammin ne kehittyvät pienten poikkeusten kautta, jotka tuntuivat järkeviltä tapahtumahetkellä: tiimin jäsen saattaa siirtyä uuteen tehtävään ja säilyttää edellisen tehtävänsä käyttöoikeudet. Jaettu kirjautumistunnus saatetaan luoda kiireellisen ongelman ratkaisemiseksi, ja se jää kiertoon kiireen jo helpotettua.

Nämä tilanteet kehittyvät nopeasti pienissä ja keskisuurissa yrityksissä (pk-yrityksissä). Tiimit ovat pieniä, vastuut limittyvät ja pääsy myönnetään vain työn pitämiseksi käynnissä. Tällaisissa olosuhteissa yritys menettää selkeän näkymän siitä, kenellä on pääsy mihinkin järjestelmiin, kirjautumistietoihin, tietoihin ja palveluntarjoajien tileihin, ja onko tämä pääsy edelleen oikeutettu.

Kun valvonta herpaantuu, vaaratilanteiden rajaaminen ja niistä palautuminen on vaikeampaa. Vaarantuneella tilillä voi edelleen olla pääsy järjestelmiin, joita se ei enää tarvitse, ja jaetut kirjautumistiedot voivat vaikeuttaa toiminnan suorittajan jäljittämistä.

Vähimpien oikeuksien periaate tarjoaa yrityksille tavan estää käyttöoikeuksien hallitsematon laajeneminen. Tarkastelemme, mitä vähimmät oikeudet tarkoittavat, miten ne otetaan käyttöön yrityksessänne, ja tarjoamme käytännön oppaan aloittamiseen.

Mikä on vähimpien oikeuksien periaate?

Miksi liian laajat käyttöoikeudet ovat oletuksena monissa pk-yrityksissä?

Puutteellisen pääsynhallinnan riskit

How to implement the principle of least privilege

Käytännön tarkistuslista vähimmistä oikeuksista pk-yrityksille

Make least privilege easier with Proton Pass for Business

Mikä on vähimpien oikeuksien periaate?

Vähimpien oikeuksien periaate tarkoittaa käytäntöä, jossa pääsy rajoitetaan vähimmäistasoon, joka vaaditaan tietyn tehtävän suorittamiseen. Tiimin jäsenillä, järjestelmillä ja sovelluksilla tulisi olla pääsy vain siihen, mitä ne tarvitsevat, ja vain niin pitkään kuin ne sitä tarvitsevat.

Tämä periaate tarkoittaa, että pääsypäätösten tulisi seurata työtä, jota jonkun on todella tehtävä. Sama logiikka pätee työntekijöihin, alihankkijoihin, ylläpitäjiin, palvelutileihin, ulkopuolisten tahojen integraatioihin ja automatisoituihin työnkulkuihin: jokaisella tulisi olla vain sen rooliin tai tehtävään tarvittavat oikeudet.

Tämä koskee myös salasanojen jakamista. Tiimin jäsenellä, joka tarvitsee pääsyn yhteen asiakastiliin, ei pitäisi automaattisesti olla mahdollisuutta käyttää taloushallinnon kirjautumistietoja, infrastruktuurin kirjautumistietoja, HR-ylläpitäjien tilejä tai muita arkaluonteisia yrityksen kirjautumistietoja, jotka eivät liity hänen työhönsä.

Miksi liian laajat käyttöoikeudet ovat oletuksena monissa pk-yrityksissä?

Useimmat yritykset eivät luo liian laajojen käyttöoikeuksien ympäristöjä tarkoituksella. Ne syntyvät vähitellen. Kun uusia työntekijöitä palkataan, heille annetaan pääsy tarvittaviin järjestelmiin. Vähitellen heille annetaan enemmän oikeuksia tiettyjä projekteja varten tai toisen tiimin jäsenen sijaistamiseen. Pääsyä ei koskaan poisteta, ja se kasvaa paljon suuremmaksi kuin mitä he työssään tarvitsevat.

Sama tapahtuu jaettujen kirjautumistietojen kanssa. Salasana jaetaan kerran mukavuuden vuoksi, minkä jälkeen siitä tulee pysyvä osa jonkun työnkulkua.

Tämä toimintamalli pyrkii kehittymään muutamasta yleisestä syystä:

  • Nopeus tuntuu tärkeämmältä kuin rakenne. Kun tiimit ovat pieniä ja kiireisiä, laajempien oikeuksien antaminen jollekin voi tuntua nopeammalta kuin juuri heidän tarvitsemiensa käyttöoikeuksien määrittäminen.
  • Tehtäviä ei aina ole määritelty selkeästi. Jos vastuut vaihtelevat viikosta toiseen, myös pääsypäätöksistä tulee usein epävirallisia.
  • Kirjautumistietojen hallinta on heikkoa tehtävämuutosten ja työntekijöiden poistumisen aikana. Jos tiimin jäsen lähtee, vaihtaa tiimiä tai päättää sopimuksensa, mutta hänen jaettuja salasanojaan ei vaihdeta, hänen pääsyään holviin ei tarkisteta ja hänen vanhat käyttöoikeutensa jäävät voimaan.

Mikään yksittäinen pieni päätös ei tunnu vaaralliselta tekohetkellä, mutta viikkojen, kuukausien ja vuosien kuluessa liian laajat oikeudet luovat merkittävän riskin organisaatiossa.

Puutteellisen pääsynhallinnan riskit

Liian laajat käyttöoikeudet luovat tietoturva-, toiminta- ja vaatimustenmukaisuusriskejä. Joitakin yleisimpiä riskejä ovat:

Sivuttaisliike

Jos hyökkääjä saa pääsyn yhdelle tilille, liian laajat käyttöoikeudet antavat heille mahdollisuuden siirtyä syvemmälle ympäristöön. Sen sijaan, että he vaarantaisivat vain yhden järjestelmän, he voivat päästä käsiksi useisiin.

Tietojen paljastuminen

Jos pääsyä asiakastietoihin, sisäisiin asiakirjoihin tai talousjärjestelmiin ei ole rajoitettu vain niitä tarvitseville henkilöille, useammista tileistä tulee mahdollisia sisäänpääsyreittejä näihin tietoihin. Vaarantunut kirjautuminen voi paljastaa tietoja, joihin henkilöllä ei olisi pitänyt olla pääsyä, ja yksinkertainen virhe, kuten väärän tiedoston jakaminen tai väärän asetuksen muuttaminen, voi vaikuttaa tarpeettomasti arkaluonteisiin järjestelmiin.

Tahaton poistaminen tai virheelliset määritykset

Henkilö, jolla on tarpeettomat ylläpitäjän oikeudet, voi muuttaa asetuksia, poistaa tietoja tai altistaa järjestelmiä vahingossa. Pienimpien oikeuksien periaate pienentää tällaisten virheiden vaikutusaluetta.

Sisäiset uhat

Sisäisiä uhkia on monenlaisia. Ne voivat olla hakkereiden tahallisia yrityksiä murtautua verkkoonne, tyytymättömien työntekijöiden tekemiä tietovuotoja tai yleisimmin yksinkertaisesti virheitä. Useimmat työntekijät eivät toimi pahantahtoisesti, mutta laajat käyttöoikeudet lisäävät väärinkäytön, liiallisen jakamisen tai arkaluonteisten tietojen huolimattoman käsittelyn mahdollisuutta.

Hallinnolliset ongelmat

Jos yrityksenne ei pysty selkeästi selvittämään, kenellä on käyttöoikeus mihinkin, miksi heillä on se ja milloin kyseiset käyttöoikeudet tarkistetaan tai poistetaan, on vaikeampaa tutkia poikkeamia, tehdä tietoturvatarkastuksia, vastata auditointitutkimuksiin tai todistaa, että pääsynhallinta toimii tarkoitetulla tavalla.

Miten ottaa käyttöön pienimpien oikeuksien periaate

Useimmille pk-yrityksille pienimpien oikeuksien periaate ei ole asia, joka otetaan käyttöön kerralla. Se rakennetaan tekemällä käyttöoikeuksista harkitumpia, rajatumpia ja helpommin tarkistettavia ajan mittaan.

Käyttäkää tehtäväpohjaista käyttöoikeuksien hallintaa

Yksi käytännöllisimmistä tavoista soveltaa pienimpien oikeuksien periaatetta on tehtäväpohjainen käyttöoikeuksien hallinta. Sen avulla voitte määrittää tehtävät vastuualueiden perusteella, kuten taloushallinto, henkilöstöhallinto, markkinointi, asiakaspalvelu, IT-ylläpitäjä tai ulkoinen urakoitsija. Tämän jälkeen määritätte käyttöoikeudet näiden tehtävien mukaan sen sijaan, että käsittelisitte jokaisen oikeuden erikseen. Tehtäväpohjainen käyttöoikeuksien hallinta ei ole täysin sama asia kuin pienimpien oikeuksien periaate. Pienimpien oikeuksien periaate on itse periaate. Tehtäväpohjainen käyttöoikeuksien hallinta on yksi käytännöllisimmistä tavoista soveltaa sitä johdonmukaisesti.

Erottakaa tavalliset käyttöoikeudet etuoikeutetuista käyttöoikeuksista

Yksi yritysten yleisimmistä virheistä on se, että ylläpitäjän oikeuksia käytetään rutiinitöihin.

Etuoikeutettuja käyttöoikeuksia tulisi käsitellä eri tavalla kuin rutiininomaisia käyttöoikeuksia.

Jos joku tarvitsee laajemmat oikeudet, kyseinen käyttöoikeus tulisi sitoa tiettyyn vastuualueeseen ja rajoittaa mahdollisimman tarkasti. Tavoitteena on välttää pysyvien, korkean tason käyttöoikeuksien antamista työntekijöille vain siksi, että he saattavat tarvita niitä satunnaisesti.

Tarkistakaa käyttöoikeudet säännöllisesti

Pienimpien oikeuksien periaate toimii vain silloin, kun käyttöoikeudet vastaavat tiimin jäsenten nykyisiä vastuualueita. Siksi käyttöoikeuksien tarkistusten on oltava osa rutiinejanne, ei vain kertaluonteinen toimenpide.

Yksinkertainen kuukausittainen tai neljännesvuosittainen tarkistus voi paljastaa vanhentuneita oikeuksia, tarpeettomia käyttöoikeuksia järjestelmiin, ei-aktiivisia integraatioita tai alihankkijoita, joiden ei pitäisi enää olla yhdistettynä. Nämä tarkistukset auttavat tuomaan esiin riskejä, jotka olisivat muuten voineet jäädä huomaamatta taustalla kuukausien ajaksi.

Tehkää tilapäisistä käyttöoikeuksista todella tilapäisiä

Lyhytaikaisen työn ei pitäisi johtaa pitkäaikaisiin käyttöoikeuksiin. Alihankkijoilla, konsulteilla, toimistoilla ja projektikohtaisilla yhteistyökumppaneilla tulisi olla käyttöoikeudet vain niin kauan kuin heidän työnsä sitä vaatii.

Tilapäisellä käyttöoikeudella on oltava omistaja, joka sitoutuu valvomaan sitä, sekä selkeä tarkoitus ja päättymispäivä. Ilman niitä tilit, holvin käyttöoikeudet ja jaetut kirjautumistiedot voivat jäädä aktiivisiksi yksinkertaisesti siksi, että kukaan ei ole vastuussa niiden tarkistamisesta ja poistamisesta.

Käsitelkää lähtöprosessia tietoturvaprosessina

Pienimpien oikeuksien periaate ei pääty, kun joku lähtee yrityksestä tai vaihtaa tehtävää.

Lähtöprosessin tulisi sisältää käyttöoikeuksien poistaminen kaikilta tileiltä, holvin käyttöoikeuksien mitätöiminen ja sen tarkistaminen, pitääkö arkaluonteiset kirjautumistiedot vaihtaa. Kun käyttöoikeuksien poistaminen viivästyy tai sitä käsitellään epäjohdonmukaisesti, yritykset altistuvat tarpeettomille riskeille pitkään sen jälkeen, kun alkuperäinen tarve on poistunut.

Sisällyttäkää kirjautumistiedot käyttöoikeusmalliinne

Pienimpien oikeuksien periaatteessa ei ole kyse vain järjestelmäoikeuksista. Se koskee myös kirjautumistietoja, joilla yrityksenne toiminnot avataan.

Salasanoja, pääsyavaimia, palautuskoodeja, ylläpitäjien kirjautumisia ja jaettuja tilejä tulisi kaikkia käsitellä valvottuina resursseina. Jos kirjautumistietojen hallintaa hoidetaan edelleen epävirallisesti, pienimpien oikeuksien periaatetta sovelletaan vasta puoliksi.

Käytännön muistilista pienimpien oikeuksien periaatteen käyttöönottamiseksi pk-yrityksissä

Sitoutuminen pienimpien oikeuksien periaatteen käyttöönottoon yrityksessänne on helppo hyväksyä, mutta sen käytännön toteutus on monimutkaista. Se on vieläkin monimutkaisempaa pk-yrityksille, joilla on rajallisesti aikaa ja resursseja.

Mutta älkää huoliko: laajamittainen käyttöoikeuksien uudelleensuunnittelu ei yleensä ole tarpeen useimmille pk-yrityksille. Sen sijaan organisaationne tulisi aloittaa tekemällä muutamia selkeitä päätöksiä siitä, kuka todella tarvitsee pääsyn mihinkin, missä tarpeetonta altistumista esiintyy tällä hetkellä ja miten kyseiset käyttöoikeudet tarkistetaan jatkossa.

Alla oleva muistilista on suunniteltu auttamaan yrityksiä tekemään päätöksiä ja laatimaan realistisen suunnitelman pienimpien oikeuksien periaatteen käyttöönottamiseksi.

  • Tunnistakaa kaikkein arkaluonteisimmat järjestelmänne, jaetut tilit ja kirjautumistiedot.
  • Määrittäkää keskeiset tehtävät ja vähimmäiskäyttöoikeudet, joita kukin niistä vaatii.
  • Järjestäkää kirjautumistietojen käyttöoikeudet tiimin, tehtävän tai toiminnon mukaan.
  • Poistakaa vanhentuneet, perityt tai tarpeettomat käyttöoikeudet.
  • Määrittäkää selkeä prosessi tilapäisille ja alihankkijoiden käyttöoikeuksille.
  • Tarkistakaa käyttöoikeudet säännöllisen aikataulun mukaisesti.
  • Tehostakaa lähtöprosessia, jotta käyttöoikeudet mitätöidään nopeasti ja luotettavasti.
  • Vaihtakaa kriittiset kirjautumistiedot työntekijöiden lähtemisen tai tehtävämuutosten jälkeen.
  • Erottakaa ylläpitoidentiteetit tavallisista käyttäjätileistä.
  • Määrittäkää selkeä vastuu käyttöoikeuspäätöksistä.

Tällaisen muistilistan tehokkuus ei johdu sen monimutkaisuudesta, vaan siitä, noudattaako yritys sitä johdonmukaisesti. Monille pk-yrityksille merkittävä parannus saavutetaan korvaamalla epäviralliset käyttöoikeuskäytännöt prosessilla, jota on helpompi toistaa, tarkistaa ja ylläpitää.

Helpottakaa pienimpien oikeuksien periaatteen noudattamista Proton Pass for Business -ratkaisulla

Pienimpien oikeuksien periaate epäonnistuu usein kirjautumistietojen kohdalla. Yrityksellä voi esimerkiksi olla asianmukaiset käyttöoikeustasot selkeästi määritettyinä paperilla, mutta salasanoja jaetaan silti ilman asianmukaista valvontaa.

Tiimit saattavat tallentaa kirjautumistietoja laskentataulukoihin, chat-keskusteluihin, muistiinpanoihin tai sisäisiin asiakirjoihin. Jaettuja tilejä saatetaan välittää eteenpäin epävirallisesti ilman näkyvyyttä tai valvontaa. Lähtevillä työntekijöillä voi säilyä pysyvä pääsy kirjautumistietoihin, joita yritys ei koskaan vaihda. Nämä ovat kaikki käyttöoikeusongelmia, jotka voidaan ratkaista pienimpien oikeuksien periaatteella, jota hallitaan tehokkaalla kirjautumistietojen käyttöoikeuksien valvonnalla.

Monissa yrityksissä kirjautumistietojen käyttö perustuu edelleen oikoteihin, joita on vaikea hallita. Salasanoja lähetetään viesteillä, tallennetaan asiakirjoihin, jaetaan tiimien välillä tai jätetään saataville sen jälkeen, kun alkuperäinen tarve on jo päättynyt.

Ajan mittaan on helppo menettää näkyvyys siihen, kuka voi käyttää mitäkin kirjautumistietoja, onko kyseinen käyttöoikeus edelleen oikeutettu ja mitä tietoja on mitätöitävä tai vaihdettava, kun joku vaihtaa tehtävää tai lähtee yrityksestä.

Yritysten salasananhallinta tarjoaa sekä kirjautumistietojen että käyttöoikeuksien hallinnan kaikenkokoisille tiimeille. Sen sijaan, että kirjautumistietoja käsiteltäisiin asiana, jota tiimit hallitsevat tapauskohtaisesti, yritykset voivat käyttää erikoistyökalua käyttöoikeuksien järjestämiseen, jakamiseen ja mitätöimiseen. Kirjautumistiedot voidaan ryhmitellä tiimin, tehtävän tai toiminnon mukaan, arkaluonteiset kirjautumiset voidaan paljastaa harvemmille ihmisille ja käyttöoikeuksia voidaan muuttaa paljon nopeammin, kun vastuualueet muuttuvat.

Proton Pass for Business tukee tätä pyrkimystä auttamalla organisaatioita vähentämään kirjautumistietojen leviämistä, tiukentamaan jaettujen kirjautumistietojen käyttöoikeuksia ja helpottamaan pienimpien oikeuksien periaatteen noudattamista päivittäisessä toiminnassa. Luomalla ryhmiä ylläpitäjät voivat myös hallita jakamista ryhmätasolla, mikä helpottaa käyttöoikeuksien antamista tiimille oikeisiin holveihin ja näiden käyttöoikeuksien poistamista liiketoiminnan tarpeiden muuttuessa.Jos organisaationne on valmis ottamaan käyttöön pienimpien oikeuksien periaatteen, kokeilkaa Proton Passia maksutta tai ottakaa yhteyttä myyntitiimiimme.