Aksiomatika – dinamička autorizacija
Kontroliranje pristupa aplikacijama i podacima organizacije pohranjenih u njima je presudno jer podaci postaju važniji i vrijedniji kao resurs. Iako postoje mnoga rješenja za zaštitu podataka, oni se često oslanjaju samo na uloge korisnika i lozinke za omogućavanje pristupa. Niklas Jakobsson, direktor Axiomatics-a, raspravlja o tome zašto je dinamička autorizacija, koja zahtjeve za pristup postavlja u kontekst, kritična za osiguravanje pristupačnosti i upotrebljivosti podataka..
Recite nam o Axiomatics-u i o tome kako ste se uključili u tehnologiju autorizacije.
Axiomatics je osnovan 2006. godine i danas je lider u omogućavanju digitalne transformacije i cyber-sigurnosti s dinamičnim autorizacijom. Naši uredi nalaze se u Stockholmu i Chicagu, ali naša je korisnička baza uistinu globalna, uključujući Fortune 500 tvrtke i vlade.
Osobno se bavim softverskom tehnologijom više od 15 godina u različitim ulogama, uključujući i posljednju ulogu kao voditeljica države za CA. Doveden sam u brod Axiomatics kao izvršni direktor prije otprilike godinu i pol.
Na tržištu postoji mnogo različitih vrsta autorizacijskih proizvoda. Ono što je jedinstveno kod Aksiomatike?
Ono što nas čini jedinstvenima jest to što smo na strani autorizacije zaštite podataka. Naše rješenje korisnicima omogućuje (ili odbija) pristup aplikacijama ili određenim podacima postavljanjem pitanja – tko, što, gdje, kako i slično – kako bi autorizirali ne samo osobu, već i kontekst zahtjeva za pristupom. Naša tehnologija koristi podatke poput računala koje se koristi za pristup podacima, lokaciju korisnika, doba dana i slično kako bi razumjelo odgovara li zahtjevima politike pristupa koju je postavila tvrtka ili organizacija..
U osnovi smo razvili brzu, dinamičnu metodu pisanja politika na progresivan način, koristeći tko, što, kada i gdje. Ovaj se jezik pravila naziva eXtensible Markup Language Marking Language (XACML), sada ga objavljuje i održava OASIS koji se zalaže za “unapređenje otvorenih standarda u informacijskom društvu.”
Recite nam o ABAC-u – o čemu se radi i zašto različiti
Redovita kontrola pristupa temelji se na ulozi koju korisnik ima, njihovim osnovnim vjerodajnicama. Uloga je ono što određuje što možete učiniti i vidjeti na određenom portalu. Suprotno tome, kontrola pristupa zasnovana na atributima (ABAC) koristi kontekstualne parametre kao što su ime, lokacija, vrijeme, projekt, imovina, bodovanje kredita, je li tvrtka poslovala s vama i slično. Sam model modeliranja ovdje je ključan i to je izazov kupcima. Trebate zadržati dopuštenja da budu previše složena, ali istovremeno izgraditi dovoljno konteksta, kroz različite atribute i vrijednosti, kako biste mogli učinkovito kontrolirati tko ima pristup onome i kada.
Koje su vertikalne situacije s kojima se susrećete i koji su izazovi?
Radimo preko nekoliko vertikala. U bankarskom i financijskom svijetu imate složene regulatorne okvire u vezi s tim što se podaci o klijentima mogu dijeliti s trećim stranama, a često je pristup tim informacijama u određenim vremenima potrebno ograničiti. Na primjer, možda ne želite da zaposlenik banke, koji obično ima pristup raznim računima dok je na poslu, da ima pristup istim podacima prilikom prijave na odmoru na Havajima. Mi osiguravamo da podacima pristupi samo prava osoba u pravom trenutku u pravom kontekstu.
Drugi primjer je savezni zaposlenik koji bi mogao privremeno mijenjati jedinice u agenciji. To znači da su se podaci koji su bili relevantni za njega promijenili. S našom tehnologijom, kad se mijenjate, mijenjaju se i vaša dopuštenja. Zdravstvo je također značajna vertikala s obzirom na ogromne količine podataka kojima je potrebno pristupiti za liječenje pacijenata, provođenje ispitivanja i još mnogo toga. Na primjer, investitorima za potraživanja za agencije za osiguranje potreban je pristup određenim relevantnim podacima na zahtjev.
Što mislite, koji će utjecaj imati Opća uredba o zaštiti podataka (GDPR)?
GDPR je temeljni premaz za mnoge stvari. Mnogi davatelji pokušavaju zgrabiti dio tog tržišta i mislim da ćete vidjeti različite dobavljače kako u tome pucaju. Na kraju dana, GDPR se bavi zaštitom i rukovanjem osobnim podacima na odgovoran način i vraćanjem moći pojedincima da upravljaju njihovim podacima. Ono što pružamo je mogućnost da svatko nametne pristup tim podacima u stvarnom vremenu, tako da ako vanjski izvor želi pristup vašim podacima, vi ostajete pod nadzorom da li ih primaju.
Koji su rizici povezani s opsežnim širenjem podataka na velikom broju platformi i korisnika?
Iako postoji puno sigurnosnih opcija, nikad ne možete u potpunosti izbjeći kršenje zaporki. Ono što tvrtke trebaju raditi jest gledati korisnike koji imaju pristup podatkovnim jezerima, velikim podacima – to je pravi divlji zapad razvoja aplikacija. Imate masivna podatkovna jezera koja su lako dostupna mnogim korisnicima i bez sumnje ćemo u sljedećih nekoliko godina početi primjećivati brojna kršenja ovih web mjesta. Nije dovoljno postaviti sigurnosnu ogradu i pretpostaviti da su vaši podaci zaštićeni. Umjesto toga, trebaju se uspostaviti pametna pravila tako da, na primjer, API ne može imati samo kontrole pristupa kratkom spoju.
Koji su najznačajniji izazovi i trendovi koje vidite u ovoj industriji?
Izazov broj 1 je svijest. Nije lako vidjeti stvari iz vanjske perspektive i shvatiti u čemu su vaše ranjivosti. Čak i ako razumijete, zaštita podataka obično zahtijeva kompromis između upotrebljivosti i pristupačnosti. Međutim, ako razumijete prijetnje, možete staviti kontrole – od biometrijskih do dinamičkih autorizacije – koje štite vaše podatke, ali još uvijek omogućavaju pravim ljudima prihvatljivu razinu upotrebljivosti.
Što se tiče trendova, možemo razgovarati o nekoliko njih. Jedan je da sve ide digitalno, bilo da su moderne tvrtke ili starije, a to znači da više podataka dijeli i pristupa više stranaka. Pored toga, vidite da sve više i više tvrtki kreće u arhitekturu mikroservisa i decentralizirani razvoj aplikacija. Tu dolazimo kao vanjski pružatelj usluga koji gradi bržu i sigurniju autorizaciju pristupa podacima.
To također vidimo iz perspektive kupca ili korisnika da se stvari brzo mijenjaju. Zbog skandala s Cambridge Analyticom, vrijednost Facebooka pala je preko noći i nastavlja da opada. Takvi incidenti potaknut će ljude da žele ili traže da nadgledaju njihove podatke, uključujući i onoga tko im pristupa. Iako je GDPR očito već bio postavljen za provedbu prije nego što se skandal razbio, ali je stvarno potaknuo potrošački trend povećanog interesa i potrebe za većom privatnošću podataka.
Fabian
17.04.2023 @ 21:42
radi s osjetljivim informacijama o nacionalnoj sigurnosti. U ovom slučaju, kontrola pristupa mora biti vrlo stroga i precizna kako bi se osiguralo da samo odabrani pojedinci imaju pristup tim podacima. Izazov je u tome što se ove situacije često mijenjaju i zahtijevaju brzu i dinamičnu prilagodbu politika pristupa. Što mislite, koji će utjecaj imati Opća uredba o zaštiti podataka (GDPR)? GDPR će imati veliki utjecaj na našu industriju jer će zahtijevati da tvrtke i organizacije budu vrlo pažljive u zaštiti podataka i osiguravanju da samo odabrani pojedinci imaju pristup tim podacima. To će zahtijevati veću upotrebu dinamične autorizacije kako bi se osiguralo da se podaci koriste samo u skladu s politikama pristupa koje su postavljene. Koji su rizici povezani s opsežnim širenjem podataka na velikom broju platformi i korisnika? Rizici povezani s opsežnim širenjem podataka uključuju mogućnost neovlaštenog pristupa podacima, krađu identiteta, zlouporabu podataka i druge oblike cyber-kriminala. Ovo je posebno zabrinjavajuće u svijetu gdje se podaci često dijele između različitih platformi i korisnika. Dinamična autorizacija može pomoći u smanjenju ovih rizika osiguravanjem da samo odabrani pojedinci imaju pristup podacima i da se podaci koriste samo u skladu s politikama pristupa koje su postavljene. Koji su najznačajniji izazovi i trendovi koje vidite u ovoj industriji? Najznačajniji