Identities and credentials for authorized devices and users shall be managed.
Guidance
Identities and credentials for authorized devices and users could be managed through a password policy. A password policy is a set of rules designed to enhance ICT/OT security by encouraging organization’s to (Not limitative list and measures to be considered as appropriate):
- Change all default passwords.
- Ensure that no one works with administrator privileges for daily tasks.
- Keep a limited and updated list of system administrator accounts.
- Enforce password rules, e.g. passwords must be longer than a state-of-the-art number of characters with a combination of character types and changed periodically or when there is any suspicion of compromise.
- Use only individual accounts and never share passwords.
- Immediately disable unused accounts.
- Rights and privileges are managed by user groups.
Identities and credentials for authorized devices and users shall be managed, where feasible through automated mechanisms.
Guidance
- Automated mechanisms can help to support the management and auditing of information system credentials.
- Consider strong user authentication, meaning an authentication based on the use of at least two authentication factors from different categories of either knowledge (something only the user knows), possession (something only the user possesses) or inherence (something the user is) that are independent, in that the breach of one does not compromise the reliability of the others, and is designed in such a way to protect the confidentiality of the authentication data.
System credentials shall be deactivated after a specified period of inactivity unless it would compromise the safe operation of (critical) processes.
Guidance
- To guarantee the safe operation, service accounts should be used for running processes and services.
- Consider the use of a formal access procedure for external parties.
For transactions within the organization's critical systems, the organization shall implement:
- multi-factor end-user authentication (MFA or "strong authentication").
- certificate-based authentication for system-to-system communications.
Guidance
Consider the use of SSO (Single Sign On) in combination with MFA for the organization's internal and external critical systems.
The organization’s critical systems shall be monitored for atypical use of system credentials. Credentials associated with significant risk shall be disabled.
Guidance
- Consider limiting the number of failed login attempts by implementing automatic lockout.
- The locked account won’t be accessible until it has been reset or the account lockout duration elapses.
Tärkeää tietoa sisältäviin järjestelmiin olisi kirjauduttava useita tunnistamiskeinoja käyttävällä kirjautumisella, jota kutsutaan englanniksi joko "two-factor", “multi-factor” tai “dual factor” tunnistautumiseksi.
Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).
Kaksivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.
Salasanojen hallintajärjestelmä antaa käyttäjän rekisteröitymistilanteessa päättää, mitenkä monimutkainen salasana tällä kertaa laitetaan, ja muistaa sen käyttäjän puolesta.
Salasanojen hallintajärjestelmän käytössä voidaan noudattaa mm. seuraavia periaatteita:
Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.
Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.
Järjestelmien välinen automaattinen viestintä olisi suojattava digitaalisilla varmenteilla. Digitaalisia varmenteita käytetään yhteyden muodostavan laitteen tunnistamiseen ennen pääsyn myöntöä järjestelmään. Toteutuksessa tulisi huomioida myös turvallinen avain politiikka.
Deaktivoituja tai vanhentuneita käyttäjätunnuksia ei saa koskaan käyttää uudelleen muille käyttäjille.
Tämä on relevantti yleisenä hallintoperiaatteena itse kehitetyissä pilvipalveluissa ja kaikissa muissa käytössä olevissa tietojärjestelmissä, joissa muun ylläpidon voi suorittaa kumppaniorganisaatio, mutta pääsyn/käyttäjätunnusten hallinnan organisaatio itse.
Organisaation on käytettävä salasanapohjaisissa palveluihin kirjautumisessa seuraavia salasanakäytäntöjä. Suojautuakseen mm. "brute-force" salasananmurtohyökkäystä vastaan organisaation täytyy käyttää vähintään yhtä alla olevista käytännöistä:
Lisäksi seuraava salasanakäytännöt tulisi olla käytössä:
Organisaation on hallittava kaikki sen käyttäjät ja niiden käyttöoikeudet. Tähän kuuluu myös kolmannen osapuolen käyttäjät, joilla on pääsyoikeuksia organisaation tietoihin tai järjestelmiin.
Organisaation on poistettava kokonaan tai poistettava käytöstä käyttöoikeuksia, kun niitä ei enään tarvita tehtävän täyttämiseen. Esimerkiksi silloin, kun työntekijän työtehtävä vaihtuu.
Organisaation on vaihdettava kaikkien tietokoneiden, verkkolaitteiden ja muiden vastaavien oletussalasanat vaikeasti arvattaviin salasanoihin.
Järjestelmän tai sovelluksen kirjautumismenettelyn olisi oltava suunniteltu siten, että mahdollisuus luvattomaan pääsyyn on mahdollisimman pieni.
Kirjautumismenettelyn olisi siksi paljastettava mahdollisimman vähän tietoa järjestelmästä tai sovelluksesta, jotta luvatonta käyttäjää ei avustettaisi tarpeettomasti. Kriteerejä hyvälle kirjautumismenettelylle ovat mm.:
Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.
Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpitooikeuksin varustettu käyttäjä jättää työnsä.
Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.
Määrittelyn tueksi pitää harkita seuraavia asioita:
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
