NIST SP 800-63-4: ελεγκτικά τεκμήρια για κωδικούς πρόσβασης, MFA και passkeys

Στις 08:10 μιας Δευτέρας, ο CISO μιας fintech εταιρείας λαμβάνει το μήνυμα που απεύχεται κάθε επικεφαλής ασφάλειας: «Έχουμε ύποπτες συνδέσεις στην πύλη διαχείρισης οικονομικών. Το MFA εγκρίθηκε, αλλά ο χρήστης λέει ότι δεν ήταν αυτός.»

Στις 08:25, το SOC αναγνωρίζει το μοτίβο. Ο επιτιθέμενος δεν έσπασε την κρυπτογράφηση, δεν εκμεταλλεύτηκε ευπάθεια zero-day ούτε παρέκαμψε κάποιο τείχος προστασίας. Υφάρπαξε έναν κωδικό πρόσβασης με phishing, ενεργοποίησε ένα push prompt και περίμενε την κόπωση του χρήστη. Μία έγκριση ήταν αρκετή. Ο λογαριασμός είχε αυξημένη πρόσβαση σε εξαγωγές τιμολόγησης πελατών, αρχεία καταγραφής ελέγχου και πίνακα διακανονισμών τρίτου μέρους.

Στις 09:00, το νομικό τμήμα ρωτά αν πρόκειται για παραβίαση δεδομένων προσωπικού χαρακτήρα κατά GDPR. Η ομάδα διαχείρισης κινδύνων ρωτά αν το συμβάν ενεργοποιεί υποχρέωση αναφοράς βάσει DORA. Το Διοικητικό Συμβούλιο θέλει να μάθει αν η δήλωση της εταιρείας «MFA παντού» ήταν πράγματι αληθής. Ο ελεγκτής ISO 27001, του οποίου ο έλεγχος έχει ήδη προγραμματιστεί για τον επόμενο μήνα, ζητά πλέον τεκμήρια ασφαλούς αυθεντικοποίησης, ελέγχου πρόσβασης, καταγραφής και διορθωτικών ενεργειών.

Γι’ αυτό το NIST SP 800-63-4 έχει σημασία το 2026.

Για τους CISO, τους υπευθύνους συμμόρφωσης και τους επιχειρησιακούς ιδιοκτήτες, το NIST SP 800-63-4 δεν είναι απλώς ακόμη ένα έγγραφο για την ταυτότητα. Εξελίσσεται στο πρακτικό σημείο αναφοράς για σύγχρονη πολιτική κωδικών πρόσβασης, MFA ανθεκτικό στο phishing, passkeys, αυθεντικοποίηση χωρίς κωδικό πρόσβασης και διακυβέρνηση του κύκλου ζωής αυθεντικοποιητών. Η πραγματική πρόκληση δεν είναι η ανάγνωση της καθοδήγησης. Η πρόκληση είναι η απόδειξη της υλοποίησης σε ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 και στις προσδοκίες του εσωτερικού ελέγχου.

Η θέση της Clarysec είναι απλή: οι έλεγχοι ταυτότητας αποτυγχάνουν όταν αντιμετωπίζονται ως ρυθμίσεις και όχι ως διακυβέρνηση. Οι κωδικοί πρόσβασης, το MFA, τα passkeys, οι ροές ανάκτησης, τα διακριτικά συνεδρίας, η προνομιούχα πρόσβαση, οι λογαριασμοί υπηρεσίας και τα αρχεία καταγραφής αυθεντικοποίησης πρέπει να σχεδιάζονται ως ενιαίο σύστημα ελέγχων που παράγει τεκμήρια.

Αυτή είναι η οπτική που χρησιμοποιείται στο Zenith Blueprint: Οδικός χάρτης 30 βημάτων για ελεγκτές, στη βιβλιοθήκη πολιτικών της Clarysec και στο Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης. Το Zenith Controls δεν δημιουργεί νέους ελέγχους. Χαρτογραφεί τις προσδοκίες ελέγχων του ISO/IEC 27001:2022 και του ISO/IEC 27002:2022 σε άλλα πρότυπα, κανονιστικές απαιτήσεις και ελεγκτικές οπτικές, ώστε οι οργανισμοί να αποφεύγουν κατακερματισμένα τεκμήρια και διπλή εργασία συμμόρφωσης.

Το «MFA ενεργοποιημένο» δεν αποτελεί απάντηση σε έλεγχο

Πολλοί οργανισμοί μπήκαν στα τελευταία χρόνια πιστεύοντας ότι η ανάπτυξη MFA έκλεισε τη συζήτηση για τον κίνδυνο ταυτότητας. Το 2026, αυτή η παραδοχή δεν είναι ασφαλής.

Οι ελεγκτές και οι ρυθμιστικές αρχές θέτουν πλέον πιο συγκεκριμένα ερωτήματα:

• Εφαρμόζεται MFA για κάθε προνομιούχα, απομακρυσμένη και υψηλού κινδύνου πρόσβαση;
• Είναι η αυθεντικοποίηση ανθεκτική στο phishing όπου το απαιτεί ο κίνδυνος;
• Υπόκεινται τα passkeys ή οι αυθεντικοποιητές FIDO2 σε διακυβέρνηση μέσω εγγραφής, ανάκτησης, ανάκλησης και κύκλου ζωής συσκευής;
• Ελέγχονται οι κωδικοί πρόσβασης έναντι λιστών παραβιασμένων και κοινών διαπιστευτηρίων;
• Ενεργοποιούνται οι αλλαγές κωδικών πρόσβασης λόγω συμβιβασμού και όχι λόγω αυθαίρετης ημερολογιακής εναλλαγής;
• Μπορούν οι χρήστες να επικολλούν κωδικούς πρόσβασης από διαχειριστές κωδικών πρόσβασης;
• Καταγράφονται και ανασκοπούνται τα συμβάντα αυθεντικοποιητών;
• Είναι οι ροές ανάκτησης λογαριασμού εξίσου ισχυρές με τις ροές σύνδεσης;
• Ελέγχονται με την ίδια πειθαρχία τα μυστικά API, τα διακριτικά OAuth, τα κλειδιά SSH και τα διαπιστευτήρια λογαριασμών υπηρεσίας;

Το NIST SP 800-63-4 ωθεί τους οργανισμούς προς διασφάλιση ψηφιακής ταυτότητας βάσει κινδύνου, ισχύ αυθεντικοποιητών και τεκμήρια κύκλου ζωής. Για τον εκσυγχρονισμό των κωδικών πρόσβασης, αυτό σημαίνει απομάκρυνση από παρωχημένες πρακτικές, όπως οι επιβεβλημένες περιοδικές αλλαγές κωδικών πρόσβασης όταν δεν υπάρχει ένδειξη συμβιβασμού, ενώ ενισχύονται το μήκος, ο έλεγχος έναντι παραβιασμένων κωδικών πρόσβασης, ο περιορισμός ρυθμού, η ασφαλής αποθήκευση και οι έλεγχοι ανάκτησης. Για το MFA και τα passkeys, σημαίνει εστίαση στη διασφάλιση αυθεντικοποιητών, στην ανθεκτικότητα στο phishing, στην ασφαλή εγγραφή, στη δέσμευση με τον λογαριασμό, στην ανάκληση και στη δυνατότητα ελέγχου.

Το Zenith Blueprint αποτυπώνει αυτή τη μετατόπιση στην ενότητα Έλεγχοι στην Πράξη, Βήμα 19, Τεχνολογικοί έλεγχοι I, όταν εξετάζει την ασφαλή αυθεντικοποίηση:

Η αυθεντικοποίηση είναι η πρώτη και πιο κρίσιμη γραμμή άμυνας μεταξύ ενός φορέα απειλής και των συστημάτων, δεδομένων και υπηρεσιών σας. Αν η αυθεντικοποίηση είναι αδύναμη, όλα τα υπόλοιπα —κρυπτογράφηση, παρακολούθηση, τμηματοποίηση— μπορούν να παρακαμφθούν. Ο Έλεγχος 8.5 διασφαλίζει ότι οι μηχανισμοί αυθεντικοποίησης είναι σχεδιασμένοι με ασφάλεια, εφαρμόζονται με συνέπεια και είναι ανθεκτικοί σε γνωστές μεθόδους επίθεσης.

Αυτή η πρόταση βρίσκεται στον πυρήνα του ελέγχου ταυτότητας το 2026. Το ερώτημα δεν είναι πλέον «Έχετε κωδικούς πρόσβασης και MFA;». Το ερώτημα είναι «Μπορείτε να αποδείξετε ότι η αρχιτεκτονική αυθεντικοποίησης βασίζεται στον κίνδυνο, είναι ανθεκτική σε γνωστές μεθόδους επίθεσης, εφαρμόζεται με συνέπεια και παρακολουθείται;»

Δημιουργήστε το σύστημα ελέγχων γύρω από την ταυτότητα, τις πληροφορίες αυθεντικοποίησης και την ασφαλή αυθεντικοποίηση

Ο πιο χρήσιμος τρόπος για να μεταφραστεί το NIST SP 800-63-4 σε τεκμήρια ISO/IEC 27001:2022 είναι να αντιμετωπιστεί η ταυτότητα ως διασυνδεδεμένο σύστημα ελέγχων.

Μέσω του Zenith Controls, η Clarysec προσδιορίζει τρεις κεντρικές περιοχές ελέγχων του ISO/IEC 27002:2022 για ευθυγράμμιση με το NIST SP 800-63-4: 5.16 Διαχείριση ταυτοτήτων, 5.17 Πληροφορίες αυθεντικοποίησης και 8.5 Ασφαλής αυθεντικοποίηση. Στο Παράρτημα A του ISO/IEC 27001:2022, αυτές αντιστοιχούν στα A.5.16, A.5.17 και A.8.5.

Η διάκριση έχει σημασία. Το A.5.16 ρωτά «Ποιος έχει ταυτότητα;». Το A.5.17 ρωτά «Πώς προστατεύεται η απόδειξη αυτής της ταυτότητας;». Το A.8.5 ρωτά «Πώς εκτελείται με ασφάλεια η αυθεντικοποίηση στα συστήματα;»

Όταν οι οργανισμοί αποτυγχάνουν σε ελέγχους, συχνά αυτό συμβαίνει επειδή υλοποιούν ένα επίπεδο χωρίς τα υπόλοιπα. Αναπτύσσουν passkeys, αλλά δεν μπορούν να επιδείξουν τεκμήρια ανάκλησης. Εφαρμόζουν MFA, αλλά όχι σε παλαιού τύπου κονσόλα διαχείρισης. Ορίζουν κανόνες κωδικών πρόσβασης, αλλά δεν ελέγχουν για παραβιασμένους κωδικούς πρόσβασης. Απενεργοποιούν έναν λογαριασμό χρήστη, αλλά ξεχνούν τις ενεργές συνεδρίες ή τα διακριτικά ανάκτησης.

Στο Zenith Blueprint, στην ενότητα Έλεγχοι στην Πράξη, Βήμα 22, Οργανωτικοί έλεγχοι, η Clarysec εξηγεί το A.5.17 ως ζήτημα κύκλου ζωής:

Αν η ταυτότητα είναι το ερώτημα «Ποιος είσαι;», τότε η αυθεντικοποίηση είναι η απόδειξη. Ο Έλεγχος 5.17 είναι το σημείο όπου η θεωρία συναντά την εμπιστοσύνη. Απαιτεί οι πληροφορίες αυθεντικοποίησης να διαχειρίζονται με ασφάλεια σε ολόκληρο τον κύκλο ζωής τους, διασφαλίζοντας ότι οι μέθοδοι και τα διαπιστευτήρια που χρησιμοποιούνται για την επαλήθευση της ταυτότητας δεν γίνονται οι ίδιοι ο ασθενέστερος κρίκος.

Ένα passkey δεν είναι συμμορφούμενο απλώς επειδή υπάρχει. Γίνεται ελέγξιμο όταν μπορείτε να δείξετε πώς εγγράφεται, δεσμεύεται με τον λογαριασμό, προστατεύεται, ανακτάται, ανακαλείται, καταγράφεται και ανασκοπείται.

Εκσυγχρονίστε τους κωδικούς πρόσβασης χωρίς να χάσετε την ελεγκτική ιχνηλασιμότητα

Πολλές εταιρείες εξακολουθούν να έχουν πολιτικές κωδικών πρόσβασης γραμμένες για διαφορετικό μοντέλο απειλών. «Δώδεκα χαρακτήρες, σύμβολα, αλλαγή κάθε 90 ημέρες» είναι γνώριμο, αλλά η εξοικείωση δεν ισοδυναμεί με ανθεκτικότητα.

Το NIST SP 800-63-4 ενισχύει μια πιο σύγχρονη προσέγγιση: μεγαλύτεροι κωδικοί πρόσβασης και φράσεις πρόσβασης, έλεγχος έναντι παραβιασμένων ή συχνά χρησιμοποιούμενων κωδικών πρόσβασης, περιορισμός ρυθμού, ασφαλής επαναφορά, καμία αυθαίρετη περιοδική αλλαγή εκτός εάν υπάρχει υποψία συμβιβασμού και έλεγχοι φιλικοί προς τον χρήστη που υποστηρίζουν διαχειριστές κωδικών πρόσβασης. Αυτό δεν σημαίνει ότι κάθε οργανισμός πρέπει να ξαναγράψει κάθε πολιτική μέσα σε μία νύχτα. Σημαίνει ότι οι απαιτήσεις κωδικών πρόσβασης πρέπει να βασίζονται στον κίνδυνο, να εφαρμόζονται τεχνικά και να συμφωνούν με τα τεκμήρια ISO 27001.

Η βιβλιοθήκη πολιτικών της Clarysec για ΜΜΕ παρέχει σε μικρότερους οργανισμούς μια πρακτική βασική γραμμή που μπορεί να βελτιωθεί καθώς ωριμάζουν. Η Πολιτική Διαχείρισης Λογαριασμών Χρηστών και Προνομίων για ΜΜΕ αναφέρει:

Οι κωδικοί πρόσβασης πρέπει να πληρούν απαιτήσεις πολυπλοκότητας (π.χ. τουλάχιστον 12 χαρακτήρες, αλφαριθμητικοί με σύμβολα) και να αλλάζουν τουλάχιστον κάθε 90 ημέρες.

Αυτό είναι ένα χρήσιμο και εφαρμόσιμο σημείο εκκίνησης για ΜΜΕ. Ωστόσο, ένα έργο εκσυγχρονισμού NIST SP 800-63-4 το 2026 πρέπει να εξετάζει αν η σταθερή λήξη στις 90 ημέρες παραμένει κατάλληλη για κάθε σύστημα, ιδίως όταν υπάρχουν MFA, έλεγχος έναντι παραβιασμένων κωδικών πρόσβασης, ισχυρό μήκος κωδικού πρόσβασης και ροές εργασίας επαναφοράς που ενεργοποιούνται από συμβιβασμό. Στην πράξη, πολλοί οργανισμοί διατηρούν τη βασική γραμμή κατά τη μετάβαση και στη συνέχεια προσθέτουν παράρτημα εκσυγχρονισμού κωδικών πρόσβασης, εγκεκριμένο μέσω της αντιμετώπισης κινδύνων και της Δήλωσης Εφαρμοσιμότητας.

Για επιχειρησιακά περιβάλλοντα, η Πολιτική Διαχείρισης Λογαριασμών Χρηστών και Προνομίων της Clarysec παρέχει σημείο διακυβέρνησης αντί να ενσωματώνει κάθε κανόνα κωδικών πρόσβασης στο ίδιο κείμενο:

Όλοι οι λογαριασμοί χρηστών πρέπει να εφαρμόζουν πολυπλοκότητα και λήξη κωδικών πρόσβασης σύμφωνα με την Πολιτική Κωδικών Πρόσβασης του οργανισμού.

Αυτή η διατύπωση επιτρέπει στον CISO να επικαιροποιήσει την Πολιτική Κωδικών Πρόσβασης ώστε να ευθυγραμμιστεί με το NIST SP 800-63-4, χωρίς να ξαναγράψει ολόκληρο το πλαίσιο διαχείρισης πρόσβασης.

Ένα πρακτικό πακέτο τεκμηρίων εκσυγχρονισμού κωδικών πρόσβασης πρέπει να περιλαμβάνει:

• Τρέχουσα πολιτική κωδικών πρόσβασης και εγκεκριμένο παράρτημα εκσυγχρονισμού.
• Διαμόρφωση IdP που δείχνει ελάχιστο μήκος, μέγιστο μήκος και επιτρεπόμενους χαρακτήρες.
• Τεκμήρια ότι επιτρέπονται οι διαχειριστές κωδικών πρόσβασης, συμπεριλαμβανομένης της δυνατότητας επικόλλησης όπου έχει σημασία.
• Διαμόρφωση ελέγχου έναντι παραβιασμένων, αδύναμων και κοινών κωδικών πρόσβασης.
• Πολιτική περιορισμού ρυθμού ή κλειδώματος για διαδικτυακές επιθέσεις εικασίας κωδικών.
• Ροή εργασίας επαναφοράς κωδικού πρόσβασης που απαιτεί επαρκή επαλήθευση ταυτότητας.
• Αρχιτεκτονική αποθήκευσης κατακερματισμών κωδικών πρόσβασης για εφαρμογές που αποθηκεύουν διαπιστευτήρια.
• Μητρώο Εξαιρέσεων για συστήματα παλαιού τύπου που δεν μπορούν να υποστηρίξουν σύγχρονες ρυθμίσεις.
• Διαδικασία επαναφοράς που ενεργοποιείται από συμβιβασμό, με διασύνδεση με την απόκριση σε περιστατικά.
• Τεκμήρια επικοινωνίας και εκπαίδευσης χρηστών.

Ο στόχος δεν είναι να κερδηθεί μια συζήτηση για ένα συγκεκριμένο μήκος κωδικού πρόσβασης. Ο στόχος είναι να αποδειχθεί ότι η αυθεντικοποίηση με κωδικό πρόσβασης ελέγχεται, μετράται και ενσωματώνεται στο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ/ISMS).

Μετακινήστε το MFA και τα passkeys από τον «δεύτερο παράγοντα» στη διασφάλιση

Το περιστατικό της Δευτέρας το πρωί ξεκίνησε με κόπωση MFA. Γι’ αυτό οι ελεγκτές ρωτούν όλο και συχνότερα αν το MFA είναι ανθεκτικό στο phishing και όχι απλώς αν υπάρχει.

Παραδοσιακές μέθοδοι MFA, όπως SMS, email OTP, εφαρμογές TOTP και ειδοποιήσεις push, μπορούν να μειώσουν τον κίνδυνο, αλλά δεν είναι ισοδύναμες. Τα passkeys και οι αυθεντικοποιητές FIDO2/WebAuthn παρέχουν ισχυρότερη ανθεκτικότητα στο phishing, επειδή η αυθεντικοποίηση δεσμεύεται στη νόμιμη προέλευση και χρησιμοποιεί κρυπτογραφία δημόσιου κλειδιού. Για χρήστες υψηλού κινδύνου, προνομιούχους διαχειριστές, εγκριτές οικονομικών συναλλαγών, προγραμματιστές με πρόσβαση σε περιβάλλον παραγωγής και διαδρομές απομακρυσμένης πρόσβασης, το MFA ανθεκτικό στο phishing πρέπει να αντιμετωπίζεται ως κατάσταση-στόχος, εκτός αν υπάρχει τεκμηριωμένη και εγκεκριμένη εξαίρεση.

Η επιχειρησιακή Πολιτική Ασφαλών Επικοινωνιών και Πολυπαραγοντικής Αυθεντικοποίησης (MFA) της Clarysec ορίζει τη βασική γραμμή:

Πολυπαραγοντική Αυθεντικοποίηση (MFA): Κάθε πρόσβαση στο δίκτυο και στα πληροφοριακά συστήματα του οργανισμού, ιδίως η προνομιούχα πρόσβαση ή η απομακρυσμένη πρόσβαση, πρέπει να απαιτεί Πολυπαραγοντική Αυθεντικοποίηση (MFA) (π.χ. κωδικό πρόσβασης συν διακριτικό OTP ή βιομετρικό παράγοντα). Οι λύσεις Πολυπαραγοντικής Αυθεντικοποίησης (MFA) πρέπει να ευθυγραμμίζονται με τις βέλτιστες πρακτικές του κλάδου (π.χ. χρονικά βασισμένους κωδικούς μίας χρήσης ή κλειδιά υλικού) και να διαμορφώνονται ώστε να προστατεύουν από μη εξουσιοδοτημένη πρόσβαση.

Για ΜΜΕ, η Πολιτική Ελέγχου Πρόσβασης για ΜΜΕ αναφέρει:

Οι προνομιούχοι λογαριασμοί πρέπει να χρησιμοποιούν πολυπαραγοντική αυθεντικοποίηση (MFA) όπου υποστηρίζεται.

Η φράση «όπου υποστηρίζεται» δίνει στις ΜΜΕ μια ρεαλιστική διαδρομή υλοποίησης, αλλά δημιουργεί και υποχρέωση ελέγχου. Αν ένα προνομιούχο σύστημα δεν υποστηρίζει MFA, ο οργανισμός πρέπει να τεκμηριώνει αντισταθμιστικούς ελέγχους, όπως περιορισμούς δικτύου, Διαχείριση Προνομιακής Πρόσβασης, ενδιάμεσους κόμβους διαχείρισης, συντομότερες συνεδρίες, παρακολούθηση, φύλαξη σε θησαυροφυλάκιο και σχέδιο μετεγκατάστασης.

Το Zenith Blueprint, Έλεγχοι στην Πράξη, Βήμα 19, είναι σαφές για την κατεύθυνση εξέλιξης:

Όπου είναι δυνατόν, η αυθεντικοποίηση μόνο με κωδικό πρόσβασης πρέπει να αποφεύγεται, ιδίως για λογαριασμούς διαχειριστών, κονσόλες νέφους, εργαλεία απομακρυσμένης πρόσβασης και κάθε σύστημα εκτεθειμένο στο διαδίκτυο. Το MFA, με χρήση δεύτερου παράγοντα όπως κλειδί υλικού, εφαρμογή κινητού ή βιομετρικά, αποτελεί πλέον βασική γραμμή και όχι πολυτέλεια.

Τα passkeys εντάσσονται φυσικά σε αυτή την αφήγηση. Μια υλοποίηση passkeys δεν πρέπει να παρουσιάζεται μόνο ως τεχνολογική αναβάθμιση. Πρέπει να τεκμηριώνεται ως αντιμετώπιση κινδύνου για phishing, credential stuffing, κόπωση MFA, επαναχρησιμοποίηση κωδικών πρόσβασης και κατάληψη λογαριασμών.

Το μοντέλο τεκμηρίων passkey που χρειάζονται οι ελεγκτές

Τα passkeys μπορεί να είναι συγχρονιζόμενα, δεσμευμένα σε συσκευή, υποστηριζόμενα από υλικό, βασισμένα σε πλατφόρμα ή φορητά, ανάλογα με τον αυθεντικοποιητή και το οικοσύστημα. Η διασφάλιση εξαρτάται από την εγγραφή, την εμπιστοσύνη στη συσκευή, την ανάκτηση, τη δέσμευση με τον λογαριασμό και την ανάκληση. Ένα έργο passkey χωρίς τεκμήρια μπορεί να δημιουργήσει ασάφεια στον έλεγχο, ακόμη και όταν η τεχνολογία είναι ισχυρή.

Χρησιμοποιήστε αυτό το μοντέλο για να προετοιμάσετε μια υλοποίηση passkey έτοιμη για έλεγχο.

Αυτό ευθυγραμμίζεται άμεσα με το ISO/IEC 27001:2022. Οι ρήτρες 4.1 έως 4.4 απαιτούν από τους οργανισμούς να κατανοούν το πλαίσιο, τα ενδιαφερόμενα μέρη, το πεδίο εφαρμογής του ΣΔΑΠ και τις λειτουργικές διεργασίες. Οι ρήτρες 5.1 έως 5.3 απαιτούν ηγεσία, πολιτική, οργανωτικούς ρόλους και λογοδοσία. Οι ρήτρες 6.1.2 και 6.1.3 απαιτούν επαναλήψιμη αξιολόγηση κινδύνων ασφάλειας πληροφοριών και διαδικασία αντιμετώπισης κινδύνων, συμπεριλαμβανομένης της επιλογής ελέγχων, της σύγκρισης με το Παράρτημα A, της Δήλωσης Εφαρμοσιμότητας και της έγκρισης υπολειπόμενου κινδύνου από τον ιδιοκτήτη κινδύνου. Η ρήτρα 6.2 απαιτεί μετρήσιμους στόχους ασφάλειας πληροφοριών.

Αυτό σημαίνει ότι μια υλοποίηση passkey πρέπει να εμφανίζεται στο ΣΔΑΠ ως:

• Αντιμετώπιση κινδύνου για κλοπή διαπιστευτηρίων και phishing.
• Στόχος, όπως «μετάβαση του 90 τοις εκατό της προνομιούχας πρόσβασης σε MFA ανθεκτικό στο phishing έως το τρίτο τρίμηνο».
• Αιτιολόγηση στη Δήλωση Εφαρμοσιμότητας συνδεδεμένη με τα A.5.16, A.5.17 και A.8.5.
• Επικαιροποίηση πολιτικής ελέγχου πρόσβασης.
• Περίπτωση χρήσης καταγραφής και παρακολούθησης.
• Πακέτο ελεγκτικών τεκμηρίων.

Στο Zenith Blueprint, φάση Διαχείρισης Κινδύνων, Βήμα 13, Σχεδιασμός Αντιμετώπισης Κινδύνων και Δήλωση Εφαρμοσιμότητας, η Clarysec περιγράφει τη SoA ως γέφυρα:

Η SoA είναι ουσιαστικά ένα έγγραφο γεφύρωσης: συνδέει την αξιολόγηση/αντιμετώπιση κινδύνων με τους πραγματικούς ελέγχους που διαθέτετε. Με τη συμπλήρωσή της, ελέγχετε επίσης εκ νέου αν παραλείψατε κάποιους ελέγχους.

Για το NIST SP 800-63-4, αυτή η γέφυρα είναι το σημείο όπου οι αποφάσεις για κωδικούς πρόσβασης, MFA και passkeys γίνονται ελέγξιμες.

Χαρτογράφηση διασταυρούμενης συμμόρφωσης για ISO 27001, NIS2, DORA, GDPR, NIST CSF και COBIT

Τα τεκμήρια ταυτότητας αποκτούν ισχύ όταν ένα σύνολο ελέγχων καλύπτει πολλαπλές υποχρεώσεις.

Το NIS2 Article 21 απαιτεί από τις ουσιώδεις και σημαντικές οντότητες να εφαρμόζουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα που αντικατοπτρίζουν τον κίνδυνο, την τεχνολογία αιχμής, το κόστος υλοποίησης, το μέγεθος και τον αντίκτυπο των περιστατικών. Το Article 21(2) περιλαμβάνει ανάλυση κινδύνου, πολιτικές, χειρισμό περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια εφοδιαστικής αλυσίδας, ασφαλή ανάπτυξη, αξιολόγηση της αποτελεσματικότητας ελέγχων, κυβερνοϋγιεινή και εκπαίδευση, κρυπτογραφία, ασφάλεια ανθρώπινου δυναμικού, έλεγχο πρόσβασης, διαχείριση περιουσιακών στοιχείων και, όπου ενδείκνυται, πολυπαραγοντική ή συνεχή αυθεντικοποίηση. Το Article 20 καθιστά την έγκριση από τη διοίκηση, την εποπτεία και την εκπαίδευση κυβερνοασφάλειας υποχρέωση διακυβέρνησης.

Το DORA μεταφέρει το ίδιο θέμα ταυτότητας στην ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα. Οι καλυπτόμενες χρηματοοικονομικές οντότητες πρέπει να διατηρούν τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ με ευθύνη του διοικητικού οργάνου, ελέγχους προστασίας και πρόληψης, έλεγχο πρόσβασης, αυθεντικοποίηση, παρακολούθηση, ανίχνευση ανωμαλιών, συνέχεια, απόκριση, ανάκαμψη και εκπαίδευση. Τα Articles 8 έως 10 είναι ιδιαίτερα συναφή με την αναγνώριση περιουσιακών στοιχείων και εξαρτήσεων ΤΠΕ, την προστασία συστημάτων ΤΠΕ, τον έλεγχο πρόσβασης, την ισχυρή αυθεντικοποίηση, την παρακολούθηση και την ανίχνευση. Τα Articles 17 έως 19 συνδέουν τα ίδια τεκμήρια με τη διαχείριση και αναφορά περιστατικών σχετιζόμενων με ΤΠΕ.

Το GDPR εφαρμόζεται όπου επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός του εδαφικού και ουσιαστικού πεδίου εφαρμογής του. Το Article 5(1)(f) απαιτεί τα δεδομένα προσωπικού χαρακτήρα να υποβάλλονται σε επεξεργασία με κατάλληλη ασφάλεια. Το Article 5(2) απαιτεί λογοδοσία. Το Article 32 απαιτεί κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση επιπέδου ασφάλειας ανάλογου προς τον κίνδυνο. Ένας κλεμμένος κωδικός πρόσβασης ή ένας συμβιβασμένος αυθεντικοποιητής μπορεί να εξελιχθεί σε παραβίαση δεδομένων προσωπικού χαρακτήρα εάν προκαλέσει μη εξουσιοδοτημένη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.

Το NIST CSF 2.0 προσθέτει ένα χρήσιμο επίπεδο διοίκησης. Η λειτουργία GOVERN απαιτεί οι νομικές, κανονιστικές και συμβατικές απαιτήσεις κυβερνοασφάλειας, συμπεριλαμβανομένων των υποχρεώσεων ιδιωτικότητας, να είναι κατανοητές και να τελούν υπό διαχείριση. Τα CSF Profiles βοηθούν τους οργανισμούς να συγκρίνουν την τρέχουσα με την επιθυμητή κατάσταση και να δημιουργούν ιεραρχημένα σχέδια ενεργειών.

Το COBIT 2019 και οι προσεγγίσεις ελέγχου ISACA ρωτούν αν οι έλεγχοι ταυτότητας και πρόσβασης υποστηρίζουν στόχους διακυβέρνησης, αν οι πρακτικές διαχείρισης είναι ορισμένες, αν η ισχύς αυθεντικοποίησης αντιστοιχεί στον κίνδυνο και αν η λειτουργία του ελέγχου τεκμηριώνεται.

Η ίδια αναφορά πρόσβασης υπό όρους του IdP μπορεί να υποστηρίξει έλεγχο πρόσβασης ISO 27001, MFA NIS2, αυθεντικοποίηση DORA, λογοδοσία ασφάλειας GDPR και πρόοδο έναντι του προφίλ-στόχου NIST CSF.

Δημιουργήστε πακέτο τεκμηρίων αυθεντικοποιητή σε ένα απόγευμα

Ένας CISO, υπεύθυνος συμμόρφωσης ή επικεφαλής ΤΠ μπορεί να δημιουργήσει γρήγορα ένα πακέτο τεκμηρίων υψηλής αξίας, εστιάζοντας σε ένα σύστημα υψηλού κινδύνου, όπως κονσόλα νέφους, πλατφόρμα οικονομικών, πύλη διαχείρισης πελατών ή περιβάλλον παραγωγής.

Πρώτον, ορίστε το πεδίο εφαρμογής. Προσδιορίστε τον επιχειρησιακό ιδιοκτήτη, την ταξινόμηση δεδομένων, τις ομάδες χρηστών, τους προνομιακούς ρόλους, τις διαδρομές απομακρυσμένης πρόσβασης, τους τρέχοντες αυθεντικοποιητές, τα εμπλεκόμενα δεδομένα προσωπικού χαρακτήρα και τις εξαρτήσεις από τρίτα μέρη. Αυτό υποστηρίζει τις ρήτρες 4.1 έως 4.4 του ISO/IEC 27001:2022, επειδή το πεδίο εφαρμογής, οι απαιτήσεις ενδιαφερόμενων μερών και οι εξαρτήσεις πρέπει να είναι κατανοητές.

Δεύτερον, αποτυπώστε τις τρέχουσες ρυθμίσεις αυθεντικοποίησης. Εξαγάγετε ή καταγράψτε με στιγμιότυπο οθόνης την πολιτική κωδικών πρόσβασης, την εφαρμογή MFA, τη διαμόρφωση passkey ή FIDO2, τους κανόνες πρόσβασης υπό όρους, το χρονικό όριο συνεδρίας, τις μεθόδους ανάκτησης, τους λογαριασμούς έκτακτης πρόσβασης και την κατάσταση αυθεντικοποίησης παλαιού τύπου. Αν το σύστημα χρησιμοποιεί τοπική αυθεντικοποίηση, τεκμηριώστε τον λόγο και ορίστε διαδρομή μετεγκατάστασης.

Τρίτον, συγκρίνετε με μια σαφή κατάσταση-στόχο:

• Έλεγχος κωδικών πρόσβασης έναντι αδύναμων, κοινών και παραβιασμένων διαπιστευτηρίων.
• Καμία πρόσβαση μόνο με κωδικό πρόσβασης για προνομιούχα, απομακρυσμένα ή εκτεθειμένα στο διαδίκτυο συστήματα.
• MFA ανθεκτικό στο phishing για διαχειριστές και χρήστες υψηλού κινδύνου.
• Ασφαλής εγγραφή και ανάκτηση.
• Ανάκληση αυθεντικοποιητών κατά την αποχώρηση ή την απώλεια συσκευής.
• Καταγραφή επιτυχημένων και αποτυχημένων αυθεντικοποιήσεων, χρήσης MFA και αλλαγών αυθεντικοποιητών.
• Ειδοποιήσεις για αδύνατη μετακίνηση, επαναλαμβανόμενες αποτυχίες, νέα εγγραφή αυθεντικοποιητή και επικίνδυνες συνδέσεις.

Τέταρτον, επισυνάψτε τεκμήρια πολιτικής. Η Πολιτική Ελέγχου Πρόσβασης για ΜΜΕ απαιτεί:

Απαιτούνται μοναδικά ονόματα χρήστη· οι κοινόχρηστοι λογαριασμοί απαγορεύονται.

Για τεκμήρια κύκλου ζωής λογαριασμού, η Πολιτική Διαχείρισης Λογαριασμών Χρηστών και Προνομίων για ΜΜΕ αναφέρει:

Τα αρχεία καταγραφής δημιουργίας λογαριασμών, απενεργοποίησης λογαριασμών και αλλαγών προνομίων πρέπει να διατηρούνται με ασφάλεια για τουλάχιστον 12 μήνες.

Για την καταγραφή αυθεντικοποίησης, η Πολιτική Καταγραφής και Παρακολούθησης για ΜΜΕ της Clarysec ορίζει:

Αρχεία καταγραφής αυθεντικοποίησης: επιτυχημένες και αποτυχημένες απόπειρες σύνδεσης, διάρκεια συνεδρίας, χρήση MFA

Για επιχειρησιακές υλοποιήσεις, η Πολιτική Καταγραφής και Παρακολούθησης απαιτεί καταγραφή των:

Προσπαθειών αυθεντικοποίησης και πρόσβασης χρηστών

Πέμπτον, επικαιροποιήστε τη Δήλωση Εφαρμοσιμότητας. Σημειώστε τα A.5.16, A.5.17 και A.8.5 ως εφαρμόσιμα και προσθέστε σημειώσεις όπως:

• Υποστηρίζει τις προσδοκίες του NIST SP 800-63-4 για τον κύκλο ζωής αυθεντικοποιητών.
• Υποστηρίζει τις προσδοκίες του NIS2 Article 21 για έλεγχο πρόσβασης και MFA.
• Υποστηρίζει τις απαιτήσεις αυθεντικοποίησης και παρακολούθησης της διαχείρισης κινδύνων ΤΠΕ του DORA.
• Υποστηρίζει την ασφάλεια και λογοδοσία του GDPR Article 32 για πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.
• Εξαίρεση: η πύλη διακανονισμού παλαιού τύπου δεν υποστηρίζει FIDO2. Οι αντισταθμιστικοί έλεγχοι περιλαμβάνουν περιορισμό VPN, παρακολούθηση προνομιούχων συνεδριών, σχέδιο αποκατάστασης προμηθευτή και μηνιαία ανασκόπηση πρόσβασης.

Τέλος, προετοιμάστε έναν φάκελο με τίτλο «Πακέτο Τεκμηρίων Αυθεντικοποίησης - Q2 2026» με αποσπάσματα πολιτικών, αξιολόγηση κινδύνου, αρχείο αντιμετώπισης, απόσπασμα SoA, διαμόρφωση IdP, αναφορά κάλυψης MFA και passkeys, κατάλογο προνομιούχων χρηστών, Μητρώο Εξαιρέσεων, αρχεία καταγραφής εγγραφής και ανάκλησης, δείγμα δοκιμής αποχώρησης, ερωτήματα SIEM, στιγμιότυπα ειδοποιήσεων, απόσπασμα εγχειριδίου ενεργειών απόκρισης σε περιστατικά και επικοινωνία ευαισθητοποίησης χρηστών.

Αυτή είναι η διαφορά μεταξύ του «χρησιμοποιούμε MFA» και του «μπορούμε να αποδείξουμε διακυβέρνηση ασφαλούς αυθεντικοποίησης».

Πώς διαφορετικοί ελεγκτές θα δοκιμάσουν τους ίδιους ελέγχους ταυτότητας

Ένα ώριμο πρόγραμμα ταυτότητας προβλέπει διαφορετικές ελεγκτικές οπτικές.

Ο ελεγκτής ISO 27001 θα ξεκινήσει από το σύστημα διαχείρισης. Θα ρωτήσει πώς αξιολογήθηκαν οι κίνδυνοι ταυτότητας, γιατί επιλέχθηκαν οι έλεγχοι, πώς εμφανίζονται στη SoA, αν οι πολιτικές έχουν εγκριθεί, αν οι αρμοδιότητες έχουν ανατεθεί και αν τα τεκμήρια δείχνουν λειτουργία στον χρόνο. Θα ελέγξει τη συνέπεια μεταξύ του μητρώου κινδύνων, της πολιτικής ελέγχου πρόσβασης, των ρυθμίσεων IdP και των αρχείων καταγραφής.

Το Zenith Blueprint, φάση Έλεγχοι στην Πράξη, Βήμα 19, Κατάλογος ελέγχου για τους Ελέγχους 8.1 έως 8.5, περιγράφει το πρακτικό ελεγκτικό αίτημα:

Οι ελεγκτές θα ρωτήσουν για τις ρυθμίσεις πολυπλοκότητας κωδικών πρόσβασης και τον τρόπο εφαρμογής τους (Active Directory GPOs, πολιτικές IdP κ.λπ.). Παρουσιάστε τεκμηρίωση για την ανάπτυξη MFA, σε ποιους εφαρμόζεται, πού εφαρμόζεται και ποια συστήματα προστατεύονται.

Ένας ελεγκτής DORA ή NIS2 θα εστιάσει στη διακυβέρνηση, την ανθεκτικότητα και τον συστημικό κίνδυνο. Μπορεί να ζητήσει εποπτεία από το Διοικητικό Συμβούλιο ή το διοικητικό όργανο, κάλυψη κρίσιμων συστημάτων, υποχρεώσεις αυθεντικοποίησης τρίτων μερών, δοκιμές συνέχειας και τεκμήρια ότι οι διαδικασίες ανάκτησης μπορούν να εκκινούνται μόνο από αυθεντικοποιημένο προσωπικό.

Ένας αξιολογητής GDPR θα εστιάσει στα δεδομένα προσωπικού χαρακτήρα. Θα ρωτήσει αν η αυθεντικοποίηση προστατεύει τα δεδομένα προσωπικού χαρακτήρα από μη εξουσιοδοτημένη πρόσβαση, αν η πρόσβαση περιορίζεται σε ό,τι είναι απαραίτητο, αν τα αρχεία καταγραφής υποστηρίζουν την αξιολόγηση παραβίασης και αν ο οργανισμός μπορεί να αποδείξει λογοδοσία.

Ένας αξιολογητής με προσανατολισμό NIST μπορεί να χρησιμοποιήσει NIST CSF 2.0 Profiles για να συγκρίνει την τρέχουσα με την επιθυμητή κατάσταση. Θα ζητήσει ιεραρχημένο σχέδιο ενεργειών που καλύπτει διακυβέρνηση, πολιτική, έλεγχο πρόσβασης, ανίχνευση και αποτελέσματα απόκρισης.

Ένας ελεγκτής COBIT 2019 ή ISACA θα αξιολογήσει αν οι πρακτικές ταυτότητας και αυθεντικοποίησης υποστηρίζουν στόχους διακυβέρνησης, σχεδιασμό ελέγχων, λειτουργία ελέγχων, διαχωρισμό καθηκόντων, προνομιούχα πρόσβαση και παρακολούθηση. Μπορεί να μην ενδιαφέρεται για τη μάρκα passkey που χρησιμοποιείτε. Θα ενδιαφερθεί αν ο έλεγχος διέπεται, μετράται, έχει ιδιοκτήτη και βελτιώνεται.

Μην ξεχνάτε την αποχώρηση, την ανάκτηση και τη μη ανθρώπινη ταυτότητα

Πολλά προγράμματα αυθεντικοποίησης φαίνονται ισχυρά στη σύνδεση και αδύναμα παντού αλλού.

Η αποχώρηση είναι κοινό σημείο αστοχίας. Η Πολιτική Ένταξης και Αποχώρησης της Clarysec περιλαμβάνει ρητά:

ανάκληση διακριτικών MFA/SSO, έξυπνων καρτών ή πιστοποιητικών

Αυτή η ρήτρα πρέπει να δοκιμάζεται. Επιλέξτε τρεις αποχωρήσαντες χρήστες και αποδείξτε ότι λογαριασμοί, συνεδρίες, συσκευές MFA, passkeys, πιστοποιητικά και μέθοδοι ανάκτησης ανακλήθηκαν εγκαίρως. Αν δεν μπορείτε να αποδείξετε την ανάκληση διακριτικών, ο έλεγχος αποχώρησης είναι ελλιπής.

Η ανάκτηση είναι ακόμη ένα αδύναμο σημείο. Αν μια υπηρεσία υποστήριξης μπορεί να επαναφέρει το MFA μετά από απαντήσεις σε δύο εύκολες ερωτήσεις, ο επιτιθέμενος θα στοχεύσει την ανάκτηση μέσω υποστήριξης αντί για τη σύνδεση. Οι διαδικασίες ανάκτησης πρέπει να απαιτούν ισχυρή επαλήθευση, καταγραφή αιτήματος, έγκριση για προνομιούχους χρήστες, ειδοποίηση χρήστη και παρακολούθηση της δραστηριότητας μετά την ανάκτηση.

Η μη ανθρώπινη ταυτότητα είναι το τρίτο τυφλό σημείο. Το Zenith Blueprint Βήμα 22 καθιστά σαφές ότι οι πληροφορίες αυθεντικοποίησης περιλαμβάνουν «κωδικούς πρόσβασης, PIN, κρυπτογραφικά κλειδιά, βιομετρικά πρότυπα, έξυπνες κάρτες, διακριτικά, πιστοποιητικά, διακριτικά OAuth, κλειδιά SSH, μυστικά API». Οι επιτιθέμενοι χρησιμοποιούν συχνά διακριτικά API, κλειδιά λογαριασμών υπηρεσίας και παραχωρήσεις OAuth για εμμονή. Αντιμετωπίστε αυτά τα διαπιστευτήρια στο πλαίσιο του A.5.17, με φύλαξη σε θησαυροφυλάκιο, ιδιοκτησία, περιοδική αλλαγή, ανάκληση και καταγραφή.

Πώς φαίνεται η καλή πρακτική το 2026

Ένα ώριμο περιβάλλον ελέγχων ταυτότητας το 2026 έχει τα εξής χαρακτηριστικά:

• Το Διοικητικό Συμβούλιο ή το διοικητικό όργανο κατανοεί τον κίνδυνο ταυτότητας και εγκρίνει την κατεύθυνση.
• Η πολιτική κωδικών πρόσβασης είναι εκσυγχρονισμένη, φιλική προς τον χρήστη και εφαρμόζεται τεχνικά.
• Η πρόσβαση μόνο με κωδικό πρόσβασης έχει εξαλειφθεί για προνομιούχα, απομακρυσμένα και εκτεθειμένα στο διαδίκτυο συστήματα.
• Τα passkeys ή οι αυθεντικοποιητές FIDO2 έχουν προτεραιοποιηθεί για πρόσβαση υψηλού κινδύνου.
• Οι εξαιρέσεις MFA είναι τεκμηριωμένες, εγκεκριμένες, χρονικά περιορισμένες και αντισταθμισμένες.
• Η εγγραφή, η ανάκτηση και η ανάκληση αυθεντικοποιητών ελέγχονται.
• Η αποχώρηση περιλαμβάνει ανάκληση λογαριασμού, διακριτικού, πιστοποιητικού, συνεδρίας και passkey.
• Τα αρχεία καταγραφής αυθεντικοποίησης περιλαμβάνουν επιτυχίες, αποτυχίες, χρήση MFA, διάρκεια συνεδρίας και αλλαγές αυθεντικοποιητών.
• Οι περιπτώσεις χρήσης SIEM ανιχνεύουν credential stuffing, αδύνατη μετακίνηση, ύποπτη εγγραφή και κόπωση MFA.
• Η SoA εξηγεί γιατί εφαρμόζονται τα A.5.16, A.5.17 και A.8.5.
• Οι χαρτογραφήσεις NIS2, DORA, GDPR και NIST CSF καταγράφονται μία φορά και επαναχρησιμοποιούνται.
• Τα τεκμήρια συλλέγονται συνεχώς και δεν συγκεντρώνονται πανικόβλητα πριν από τον έλεγχο.

Έτσι το NIST SP 800-63-4 γίνεται κάτι περισσότερο από ένα έγγραφο αναφοράς. Γίνεται ένα ζωντανό σύστημα ελέγχων που υποστηρίζει την ασφάλεια, την ιδιωτικότητα, την ανθεκτικότητα και την ετοιμότητα για έλεγχο.

Μετατρέψτε τους ελέγχους ταυτότητας σε τεκμήρια έτοιμα για έλεγχο

Αν ο οργανισμός σας επικαιροποιεί κανόνες κωδικών πρόσβασης, αναπτύσσει MFA ανθεκτικό στο phishing, εισάγει passkeys ή προετοιμάζεται για ερωτήσεις ελέγχου ISO 27001, NIS2, DORA ή GDPR, μην ξεκινήσετε μόνο από τη διαμόρφωση εργαλείων.

Ξεκινήστε από το μοντέλο τεκμηρίων.

Η Clarysec μπορεί να σας βοηθήσει να:

• Χαρτογραφήσετε τις προσδοκίες του NIST SP 800-63-4 για κωδικούς πρόσβασης, MFA και passkeys στο ISO/IEC 27001:2022.
• Δημιουργήσετε πολιτική κύκλου ζωής αυθεντικοποιητών και πακέτο τεκμηρίων.
• Επικαιροποιήσετε πολιτικές ελέγχου πρόσβασης, MFA, καταγραφής, ένταξης και αποχώρησης.
• Προετοιμάσετε Δήλωση Εφαρμοσιμότητας που συνδέει τον κίνδυνο ταυτότητας με τους ελέγχους.
• Χρησιμοποιήσετε το Zenith Blueprint για να δομήσετε βήματα υλοποίησης και ετοιμότητα για έλεγχο.
• Χρησιμοποιήσετε το Zenith Controls για να χαρτογραφήσετε διασταυρωμένα τους ελέγχους ταυτότητας σε NIS2, DORA, GDPR, NIST CSF 2.0 και COBIT 2019.

Η καλύτερη στιγμή για να εντοπίσετε αδύναμη ανάκτηση, ελλιπή ανάκληση passkey ή ανεπαρκή εφαρμογή MFA είναι πριν από το περιστατικό, πριν από τη ρυθμιστική αρχή και πριν το ζητήσει ο ελεγκτής.

Μετατρέψτε την επόμενη ανασκόπηση ελέγχου πρόσβασης σε ανασκόπηση τεκμηρίων NIST SP 800-63-4. Κατεβάστε τις σχετικές πολιτικές της Clarysec, εξερευνήστε το Zenith Blueprint και χρησιμοποιήστε το Zenith Controls για να μετατρέψετε την υλοποίηση κωδικών πρόσβασης, MFA και passkeys σε μία πρακτική, αναλογική ιστορία συμμόρφωσης που είναι έτοιμη για έλεγχο.