Oli aeg, mil riskikartlikud organisatsioonid võisid tõsiselt piirata oma ärikasutajate võimalusi teha kulukaid vigu. Piiratud tehnilise oskusteabe, rangete lubade ja taganttuule puudumise tõttu oli ärikasutaja halvim, mida teha sai, alla laadida pahavara või sattuda andmepüügikampaaniasse. Need päevad on nüüd möödas.
Tänapäeval kõik suuremad tarkvara-teenusena (SaaS) platvormid on komplektis automatiseerimise ja rakenduste loomise võimalustega, mis on mõeldud ärikasutajatele ja neid turustatakse otse. Manustatakse SaaS-i platvorme, nagu Microsoft 365, Salesforce ja ServiceNow koodita/madala koodiga platvormid oma olemasolevatesse pakkumistesse, andes need otse ärikasutajate kätte ilma ettevõtte heakskiitu küsimata. Võimalused, mis olid varem saadaval ainult IT- ja arendusmeeskondadele, on nüüd saadaval kogu organisatsioonis.
Power Platform, Microsofti madala koodiga platvorm, on sisse ehitatud Office 365-sse ja on suurepärane näide Microsofti tugevast jalast ettevõttes ja selle kasutuselevõtu määrast ärikasutajate seas. Võib-olla annavad ettevõtted seda teadvustamata arendajatasemel võimu rohkemate inimeste kätte kui kunagi varem, olles palju väiksema turvalisuse või tehnilise taiptusega. Mis võib valesti minna?
Päris palju tegelikult. Vaatleme mõnda reaalset näidet minu kogemusest. Teave on muudetud anonüümseks ja ettevõttepõhised protsessid jäeti välja.
Olukord 1: uus müüja? Lihtsalt tee seda
Rahvusvahelise jaemüügiettevõtte klienditeenindusmeeskond soovis oma kliendiandmeid tarbijate teadmistega rikastada. Eelkõige lootsid nad leida rohkem teavet uute klientide kohta, et nad saaksid neid paremini teenindada isegi esmase ostu ajal. Klienditeenindusmeeskond otsustas müüja, kellega nad tahaksid koostööd teha. Müüja nõudis andmete saatmist neile rikastamiseks, mille seejärel nende teenused tagasi tõmbavad.
Tavaliselt tuleb IT siin pildile. IT-l oleks vaja luua mingisugune integratsioon, et hankida andmeid hankijale ja sealt saada. Ilmselgelt tuleb kaasata ka IT-turvameeskond, et sellele müüjale saaks kliendiandmeid usaldada ja ostu heaks kiita. Hanked ja juriidiline valdkond oleks samuti võtmerollis olnud. Antud juhul läksid asjad aga teises suunas.
See konkreetne klienditeenindusmeeskond olid Microsoft Power Platformi eksperdid. Selle asemel, et oodata ressursse või heakskiitu, läksid nad lihtsalt edasi ja lõid integratsiooni ise: kogusid kliendiandmeid tootmises olevatest SQL-serveritest, edastasid need kõik müüja pakutavasse FTP-serverisse ja tõid rikastatud andmed FTP-serverist tagasi tootmise andmebaas. Kogu protsess käivitati automaatselt iga kord, kui andmebaasi lisati uus klient. Seda kõike tehti Office 365-s hostitud pukseerimisliideste ja nende isiklike kontode abil. Litsentsi eest maksti omast taskust, mis ei võimaldanud hankel käia.
Kujutage ette CISO üllatust, kui nad leidsid hulga äriautomaatikaid, mis liigutavad kliendiandmeid AWS-i kõvakodeeritud IP-aadressile. Kuna tegemist on ainult Azure'i kliendiga, heiskas see hiiglasliku punase lipu. Lisaks saadeti ja võeti andmeid vastu ebaturvalise FTP-ühendusega, mis tekitas turva- ja vastavusriski. Kui turvameeskond selle spetsiaalse turbetööriista kaudu leidis, liikusid andmed organisatsiooni sisse ja sealt välja peaaegu aasta.
Olukord 2: Oh, kas krediitkaartide kogumine on vale?
Suure IT-müüja personalimeeskond valmistus kord aastas toimuvaks kampaaniaks "Anna ära", kus töötajaid julgustatakse annetama oma lemmik heategevuseks, kusjuures ettevõte panustas iga töötajate annetatud dollariga. Eelmise aasta kampaania oli tohutult edukas, nii et ootused olid laes. Kampaania käivitamiseks ja manuaalsete protsesside leevendamiseks kasutas loominguline personalitöötaja Microsofti Power Platformi, et luua rakendus, mis hõlbustas kogu protsessi. Registreerimiseks logib töötaja rakendusse sisse oma ettevõtte kontoga, esitab oma annetuse summa, valib heategevusorganisatsiooni ja esitab maksmiseks oma krediitkaardi andmed.
Kampaania oli tohutult edukas, kuna töötajate osalus oli rekordiline ja personalitöötajatelt nõuti vähe füüsilist tööd. Kuid millegipärast ei olnud turvameeskond asjade väljanägemisega rahul. Turvameeskonna töötaja mõistis kampaaniasse registreerudes, et krediitkaarte kogutakse äppi, mis ei paistnud seda tegema. Uurimisel leidsid nad, et neid krediitkaardiandmeid käideldi tõepoolest valesti. Krediitkaardiandmed salvestati Power Platformi vaikekeskkonda, mis tähendab, et need olid saadaval kogu Azure AD rentnikule, sealhulgas kõigile töötajatele, hankijatele ja töövõtjatele. Lisaks talletati need lihtsate lihtteksti stringiväljadena.
Õnneks avastas turvameeskond andmetöötluse rikkumise enne, kui pahatahtlikud osalejad või vastavusaudiitorid seda märkasid. Andmebaas puhastati ja rakendus parandati finantsteabe nõuetekohaseks käsitlemiseks vastavalt määrusele.
Olukord 3: miks ma ei saa lihtsalt Gmaili kasutada?
Kasutajana ei meeldi kellelegi ettevõtte andmete kadumise vältimise juhtelemendid. Isegi kui vaja, tekitavad need igapäevatoimingutes tüütuid hõõrdumisi. Selle tulemusena on kasutajad alati püüdnud neist mööda hiilida. Üks igavene lõksu loovärikasutajate ja turvameeskonna vahel on ettevõtte e-post. Ettevõtte e-posti sünkroonimine isikliku meilikontoga või ettevõtte kalendri isikliku kalendriga: turvameeskondadel on selleks lahendus. Nimelt panid nad paika e-posti turvalisuse ja DLP lahendused, et blokeerida meilide edastamine ja tagada andmete haldamine. See lahendab probleemi, eks?
Noh, ei. Korduv leid suur- ja väikeettevõtetes leiab, et kasutajad loovad automatiseeringuid, mis eiravad meilikontrolli, et edastada ettevõtte meilisõnumid ja kalender oma isiklikele kontodele. E-kirjade edastamise asemel kopeerivad ja kleepivad nad andmeid ühest teenusest teise. Logides igasse teenusesse sisse eraldi identiteediga ja automatiseerides kopeerimis-kleepimisprotsessi ilma koodita, pääsevad ärikasutajad turvakontrollidest hõlpsalt mööda – ja turvameeskondadel pole lihtsat võimalust seda teada saada.
Power Platformi kogukond on isegi arenenud malle mida iga Office 365 kasutaja saab kätte saada ja kasutada.
Suure võimuga kaasneb suur vastutus
Ärikasutajate mõjuvõimu suurendamine on suurepärane. Äriliinid ei peaks ootama IT-d ega võitlema arendusressursside pärast. Siiski ei saa me lihtsalt anda ärikasutajatele arendaja tasemel jõudu ilma juhiste või kaitsepiireteta ja eeldada, et kõik saab korda.
Turvameeskonnad peavad harima ärikasutajaid ja teadvustama neile oma uutest kohustustest rakenduste arendajatena, isegi kui need rakendused on loodud koodita. Turvameeskonnad peaksid ka rajama kaitsepiirded ja seire tagamaks, et kui ärikasutajad teevad vea, nagu me kõik teeme, ei põhjusta see lumepalli täielikku andmeleket või vastavusauditit.
