W rozmowach o zgodności regulacyjnej najczęściej pojawiają się pojęcia takie jak backup, szyfrowanie, raportowanie incydentów, testy odporności czy kontrola dostępu. To wszystko pozostaje kluczowe. Coraz częściej jednak o tym, czy organizacja rzeczywiście spełnia wymagania regulacyjne, decyduje obszar znacznie mniej widoczny: tożsamości nieludzkie (Non-Human Identities, NHI).
To właśnie one – konta serwisowe, aplikacyjne, techniczne, integracje, tokeny, certyfikaty czy tożsamości workloadów w chmurze – odpowiadają dziś za znaczną część komunikacji między systemami i wykonywania procesów biznesowych. Jednocześnie w wielu organizacjach przez cały czas funkcjonują poza dojrzałym nadzorem, bez formalnego ownershipu i bez pełnej audytowalności. Z perspektywy bezpieczeństwa jest to problem. Z perspektywy NIS2, DORA i RODO – coraz częściej również realne ryzyko zgodności.
NIS2 – odporność operacyjna zaczyna się od kontroli nad dostępem
Dyrektywa NIS2 rozszerza obowiązki w zakresie cyberbezpieczeństwa na szeroką grupę sektorów, m.in. energetykę, ochronę zdrowia, transport, administrację i część usług cyfrowych. Jej celem nie jest wyłącznie podniesienie poziomu zabezpieczeń technicznych, ale przede wszystkim zwiększenie odporności organizacji na incydenty mogące zakłócić ciągłość świadczenia usług.
W praktyce oznacza to konieczność wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych. NIS2 akcentuje m.in. zarządzanie incydentami, ciągłość działania, backup i disaster recovery, bezpieczeństwo łańcucha dostaw, kontrolę dostępu oraz adekwatne mechanizmy uwierzytelniania.
Na poziomie operacyjnym trudno skutecznie realizować te wymagania bez wiedzy o tym, jakie tożsamości funkcjonują w środowisku, jakie mają uprawnienia i od których usług zależą procesy krytyczne. jeżeli ważna aplikacja działa na koncie technicznym, którego nikt formalnie nie posiada, którego hasło nie jest rotowane, a aktywność monitorowana, organizacja ma problem nie tylko z bezpieczeństwem, ale także z wykazaniem, iż kontrola dostępu działa w sposób uporządkowany i audytowalny.
DORA – w finansach odporność nie może opierać się na „ukrytych” kontach
Jeszcze wyraźniej widać to w sektorze finansowym. DORA wprowadza jednolite wymagania dotyczące odporności operacyjnej ICT dla instytucji finansowych w Unii Europejskiej. Nie chodzi już wyłącznie o posiadanie polityk, ale o zdolność do utrzymania lub szybkiego odtworzenia kluczowych usług w razie incydentu, awarii lub cyberataku.
Regulacja wymaga m.in. zarządzania ryzykiem ICT, planów ciągłości działania, procedur odtworzeniowych, testowania odporności oraz skutecznego reagowania na incydenty. To model compliance znacznie bardziej praktyczny niż deklaratywny: organizacja musi nie tylko mieć dokumentację, ale również umieć pokazać, iż rzeczywiście panuje nad swoim środowiskiem technologicznym.
I właśnie tu NHI stają się jednym z najsłabszych punktów. DORA nie koncentruje się wprost na tej kategorii tożsamości, ale jej wymagania trudno spełnić, jeżeli część krytycznych dostępów funkcjonuje poza kontrolą. Nieznane konta aplikacyjne, współdzielone poświadczenia techniczne czy nadmiarowe uprawnienia przypisane usługom tworzą lukę w odporności operacyjnej. W sytuacji incydentu nie wiadomo wtedy, kto odpowiada za dane konto, jakie procesy ono obsługuje i czy jego kompromitacja nie uruchomi efektu domina w innych systemach.
RODO – bezpieczeństwo danych wymaga rozliczalności także po stronie systemów
RODO wymaga wdrożenia środków adekwatnych do ryzyka, tak aby zapewnić poufność, integralność, dostępność i odporność systemów przetwarzających dane osobowe. Obejmuje to również zdolność do przywrócenia dostępu do danych po incydencie.
To podejście jest bardzo spójne z tematem NHI. Dane osobowe coraz rzadziej są przetwarzane wyłącznie przez użytkowników ludzkich. W ogromnej liczbie procesów mają do nich dostęp systemy: aplikacje biznesowe, narzędzia integracyjne, automaty, kontenery czy usługi chmurowe. o ile te tożsamości nie są zinwentaryzowane i objęte kontrolą, organizacja traci realną zdolność do ograniczania dostępu zgodnie z zasadą najmniejszego przywileju.
W praktyce bez monitoringu aktywności, przeglądów uprawnień i jasnego przypisania odpowiedzialności za konta techniczne trudno wykrywać incydenty, analizować ich przebieg i wykazać, iż dostęp do danych był nadawany w sposób kontrolowany.
Dlaczego NHI są dziś problemem zgodności, a nie tylko bezpieczeństwa?
Przez lata konta nieludzkie były traktowane jako temat czysto techniczny. Często powstawały przy wdrożeniach, integracjach i migracjach, a potem funkcjonowały latami bez właściciela, bez przeglądów i bez pełnej dokumentacji. Dziś taki model przestaje być akceptowalny.
Nie chodzi już wyłącznie o to, iż NHI mogą stać się wektorem ataku, ale iż brak nadzoru nad nimi podważa podstawowe założenia nowoczesnego compliance: rozliczalność, kontrolę dostępu, odtwarzalność środowiska i odporność operacyjną.
Wniosek? Zgodność regulacyjna wymaga dojrzałego podejścia do NHI
NIS2, DORA i RODO różnią się zakresem oraz celem, ale łączy je wspólny mianownik: organizacja ma być odporna, rozliczalna i zdolna do kontrolowania dostępu do swoich systemów i danych. W praktyce oznacza to, iż zarządzanie NHI nie może pozostawać poza programem cyberbezpieczeństwa i governance.
Inwentaryzacja tożsamości nieludzkich, przypisanie właścicieli, ograniczanie uprawnień, rotacja poświadczeń, monitoring aktywności oraz powiązanie NHI z procesami IAM i IGA to dziś element realnej gotowości regulacyjnej. Bo w świecie, w którym coraz więcej operacji wykonują systemy, pytanie nie brzmi już, czy organizacja zarządza NHI. Pytanie brzmi, czy robi to wystarczająco dobrze, aby obronić swoje bezpieczeństwo, ciągłość działania i zgodność.
