Bezpieczeństwo danych w laboratorium. Część 2: Zarządzanie użytkownikami i hasłami
Kolejna część cyklu wpisów współtworzonych razem z Data Must Flow na temat tego, na co zwracać uwagę planując politykę bezpieczeństwa oraz wdrażając systemy ochrony danych.
🟦 Zarządzanie użytkownikami i hasłami
Zgodnie z wytyczną ALCOA – przypisywalnością, każdy pracownik laboratorium to użytkownik z unikalnym identyfikatorem i nikt nie może współdzielić z nikim konta. Role i uprawnienia nadawane są zgodnie z zasadą minimalnych przywilejów (RBAC), czyli tylko tyle, ile potrzeba do wykonania pracy na danym stanowisku. W praktyce często oznacza to przypisanie użytkownika do odpowiednich grup bezpieczeństwa w centralnym systemie tożsamości (np. Active Directory lub FreeIPA) i mapowanie tych grup na role w kolejnych systemach takich jak LIMS czy CDS.
Zgodnie z wytycznymi NIST SP 800-63B, hasła tworzone przez użytkowników powinny mieć minimum 8 znaków i system powinien zezwalać na stosowanie dłuższych fraz, nawet do 64 znaków z obsługą spacji i znaków Unicode. Nie należy wymuszać reguł złożoności (np. wielkie litery, cyfry, znaki specjalne), ponieważ użytkownicy mają tendencję do obchodzenia takich wymogów, co obniża bezpieczeństwo. Również nie jest już zalecana okresowa zmiana haseł, chyba że doszło do incydentu. Zamiast tego rekomendowane jest stosowanie mierników siły hasła oraz blokowanie haseł łatwych do odgadnięcia, w tym tych pochodzących z wycieków i list najpopularniejszych fraz. Przechowywanie haseł musi być w postaci zaszyfrowanej przy użyciu silnych funkcji skrótu z unikalną “solą”, czyli losowym ciągiem znaków dodawanym do każdego hasła przed jego haszowaniem, co utrudnia ataki słownikowe i wykorzystanie gotowych baz hashy. Dodatkowo, wrażliwe systemy mogą stosować technikę “pepper” – tajny klucz przechowywany niezależnie w dedykowanym do tego sprzęcie. Dobrą praktyką jest uniemożliwienie zapisywania haseł w przeglądarkach i zapewnienie użytkownikom bezpiecznego firmowego menedżera haseł.
Dla obszarów GxP samo hasło to często za mało, dlatego trzeba pamiętać o uwierzytelnianiu wieloskładnikowym (MFA/2FA). Warto stosować tu podejście oparte na poziomach pewności uwierzytelnienia (AAL – Authenticator Assurance Levels). Zwykle AAL2 wymaga użycia dwóch składników – hasła i kodu z aplikacji lub użycia klucza sprzętowego. Najwyższy poziom AAL3 wykorzystuje zaawansowane urządzenia kryptograficzne z dodatkową weryfikacją. Dobrą praktyką jest stosowanie okresowej reautoryzacji sesji (np. co 6 godzin lub po okresie bezczynności).
Zarządzając całym cyklem życia konta (od automatycznego tworzenia po szybkie blokowanie po odejściu pracownika) w centralnym systemie tożsamości pamiętajmy o spójnych politykach bezpieczeństwa, regularnych przeglądach i recertyfikacjach dostępów, by nikt nie miał zbędnych uprawnień lub nadmiarowych dostępów.
ℹ️ Jeśli potrzebujesz wsparcia w skutecznym wdrożeniu tych rozwiązań – napisz do nas. Edukujemy i pomagamy zadbać o bezpieczeństwo danych w laboratorium.