Na ostatniej edycji INSECON w Poznań mieliśmy okazję uczestniczyć w wielu rozmowach dotyczących bezpieczeństwa IT. Między innymi w sektorze ochrony zdrowia. Jednym z częściej powracających tematów było zarządzanie uprawnieniami w szpitalach, szczególnie w kontekście rosnących wymagań regulacyjnych oraz złożoności uwarunkowań takich organizacji.
O co się rozchodzi?
W trakcie dyskusji pojawiły się głosy, że do skutecznego zarządzania dostępami w organizacji liczącej kilkaset osób wystarczający jest arkusz kalkulacyjny. To podejście, choć nadal spotykane, budzi nasze poważne wątpliwości, zwłaszcza jeśli mówimy o instytucjach takich jak szpitale, które operują na danych wrażliwych i podlegają ścisłym regulacjom.
Z perspektywy praktyki oraz aktualnych wymagań, w tym wynikających z NIS2, arkusz kalkulacyjny nie spełnia kluczowych założeń nowoczesnego podejścia do cyberbezpieczeństwa. Może on pełnić funkcję pomocniczego rejestru, ale nie jest w stanie zapewnić realnej kontroli nad dostępami. Brakuje w nim przede wszystkim mechanizmów egzekwowania polityk bezpieczeństwa (procesów) oraz wiarygodnego i nienaruszalnego rejestru dla uprawnień.
To nie jest spór technologiczny, tylko pytanie o ryzyko, odpowiedzialność i skalę. Arkusz działa… aż przestaje i nagle znika lub zostaje nadpisany.
W środowisku szpitalnym, gdzie rotacja personelu, różnorodność ról oraz liczba systemów są znaczące, zarządzanie uprawnieniami staje się procesem krytycznym. W takich warunkach ręczne operowanie na arkuszu nie tylko zwiększa ryzyko błędów, ale także utrudnia szybkie reagowanie na zmiany, jak na przykład natychmiastowe odebranie dostępu po zakończeniu współpracy.
Nasza ocena
Dlatego uważamy, że jeśli celem organizacji jest osiągnięcie realnego, a nie deklaratywnego poziomu cyberbezpieczeństwa, konieczne jest podejście systemowe. Dedykowane rozwiązania klasy IAM/IdM jak Zantiga, pozwalają nie tylko uporządkować procesy, ale przede wszystkim wdrożyć kontrolę, która jest mierzalna, audytowalna i zgodna z wymaganiami regulacyjnymi.
Dyskusje podczas INSECON jasno pokazały, że świadomość rośnie, ale jednocześnie wciąż istnieje potrzeba rozróżnienia między „działającym rozwiązaniem” a rozwiązaniem, które rzeczywiście zabezpiecza organizację.
Przykład dla organizacji jaką jest placówka, która posiada od 500 użytkowników – co daje już efekt skali dla zarządzania uprawnieniami i dostępami IT.
