Turvalise kaugjuurdepääsu ja VPN-i valitsemine NIS2 ja DORA nõuete täitmiseks

Esmaspäeva hommikul kell 07:42 saab kiiresti kasvava FinTech SaaS teenusepakkuja CISO Maria enne kohvi kolm sõnumit.

Esimene tuleb SOC-ilt: tugiinsenerile kuuluv VPN-konto autentis end riigist, kus ettevõttel töötajaid ei ole. Teine tuleb müügiosakonnalt: finantsteenuste klient soovib tõendusmaterjali, et kogu privilegeeritud kaugjuurdepääs on kaitstud MFA-ga, logitud, segmenteeritud ja läbi vaadatud DORA-ga kooskõlas olevate IKT-riskikontrollide alusel. Kolmas tuleb õigusosakonnalt: sama sündmus võib hõlmata juurdepääsu isikuandmetele, mistõttu DPO soovib mõista, kas GDPR Article 32 tõendusmaterjal on piisavalt täielik, et tõendada asjakohaseid tehnilisi ja korralduslikke meetmeid.

Midagi ei ole veel kriitiliselt valesti. Lunavaranõuet ei ole. Kinnitatud andmete väljaviimist ei ole. Klienditeenuse katkestust ei ole.

Kuid Maria teab ebamugavat tõde. Kui kaugjuurdepääsu valitsemine on nõrk, muutub iga vastavusteemaline vestlus kaitsepositsiooniks. VPN-i sisselogimisest saab NIS2 küberhügieeni küsimus. Töövõtja kontost saab DORA kolmandast isikust IKT-teenuse osutajaga seotud riski küsimus. Kaugtöölaua seansist kliendikeskkonda saab GDPR-i töötlemise turvalisuse küsimus. Puuduvast logist saab auditileid.

Tema laual juba olev välisauditi aruanne teeb olukorra halvemaks. Audiitorid ei leidnud keerukat nullpäevarünnet. Nad leidsid jagatud töövõtjakontod, ebaühtlase mitmefaktorilise autentimise, pärand-VPN-rühmad, haldamata erandid ja gigabaitide kaupa logisid, mis olid uurimise toetamiseks liiga mürased. Tehniline võlg oli muutunud regulatiivseks kokkupuuteks.

2026. aastal ei ole turvalise kaugjuurdepääsu ja VPN-i valitsemine kitsas võrguturbe teema. See on juhatuse tasandi kontrollisüsteem, mis ühendab identiteedihalduse, lõppseadmete turbe, tarnijate juurdepääsu, haavatavuste halduse, logimise, intsidentidele reageerimise, andmekaitsealase vastutuse ja toimepidevuse.

Kaugjuurdepääsu probleem on muutunud

Mõni aasta tagasi tähendas kaugjuurdepääsu juhtimine sageli ühte lihtsat vastust: „meil on VPN“. See vastus ei pea enam tõsisele kontrollile vastu.

Tänapäevane kaugjuurdepääsukeskkond võib hõlmata ettevõtte VPN-kontsentraatoreid, Zero Trust Network Access lüüse, privilegeeritud juurdepääsu halduse vaheservereid, pilvehalduse bastion-hoste, kaugtöölaua taristut, tarnijate hooldustunneleid, hallatud teenusepakkuja juurdepääsu, hädaolukorra juurdepääsukontosid, SaaS-i haldusportaale, arendajate juurdepääsu tootmiskeskkonnale, mobiilseadmeid, koduvõrke, avalikku Wi-Fi-d ja BYOD-erandeid.

Iga tee võib muutuda regulatiivse tõendusmaterjali punktiks.

NIS2 Article 21 eeldab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid. Need hõlmavad riskianalüüsi ja infosüsteemide turbepoliitikaid, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist ja hooldust, haavatavuste käsitlemist, küberturvalisuse tõhususe hindamise poliitikaid, küberhügieeni, küberturvalisuse koolitust, vajaduse korral krüptograafiat ja krüptimist, personaliturvet, juurdepääsukontrolli poliitikaid, varahaldust, vajaduse korral mitmefaktorilist või pidevat autentimist, turvatud sidet ja turvatud hädaolukorra sidet.

DORA nõuab finantsüksustelt dokumenteeritud IKT-riski juhtimise raamistike, IKT-intsidentide protsesside, digitaalse operatsioonilise toimepidevuse testimise ning kolmandast isikust IKT-teenuse osutajatega seotud riskijuhtimise säilitamist. DORA Article 5 paneb juhtorganile vastutuse IKT-riski juhtimise määratlemise, heakskiitmise, järelevalve ja vastutuse eest. Article 28 nõuab, et kolmandast isikust IKT-teenuse osutajatega seotud riski juhitaks selle raamistiku lahutamatu osana.

GDPR Article 32 nõuab töötlemise turvalisuse tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, sealhulgas konfidentsiaalsust, terviklust, käideldavust, vastupidavust, taastamisvõimekust, testimist ja suutlikkust tõendada, et isikuandmed on kaitstud loata juurdepääsu, kadumise, muutmise või avalikustamise eest.

CISO probleem ei ole selles, kas VPN töötab. Tegelik küsimus on, kas organisatsioon suudab tõendada, et kaugjuurdepääs on juhitud, riskihinnatud, heaks kiidetud, kõvendatud, seiratud, läbi vaadatud, testitud ja integreeritud intsidentidele reageerimisse.

Siin muutub ISO/IEC 27001:2022 kasulikuks. See ei käsitle VPN-i eraldiseisva seadmena. See paigutab kaugjuurdepääsu ISMS-i sisse: kohaldamisala, huvitatud osapooled, riskihindamine, kontrollimeetmete valik, tegevuste planeerimine, tarnijahaldus, siseaudit, juhtkonnapoolne ülevaatus ja pidev täiustamine.

Alusta ISMS-i kohaldamisalast, mitte tulemüürireeglist

Kui Clarysec vaatab läbi kaugjuurdepääsu valitsemist, ei alusta me VPN-i konfiguratsiooni kuvatõmmise küsimisest. Alustame ISMS-i piiridest.

ISO/IEC 27001:2022 nõuab, et organisatsioon määratleks oma konteksti, huvitatud osapooled, nõuded ja ISMS-i kohaldamisala, sealhulgas liidesed ja sõltuvused teiste organisatsioonidega. Kaugjuurdepääsu puhul peab kohaldamisala selgelt hõlmama inimesi, süsteeme, tarnijaid ja võrguteenuseid, mis teevad kaugtöö võimalikuks.

SaaS-i või finantstehnoloogia organisatsioon peab tuvastama:

• töötajad, kes pääsevad tootmiskeskkonna süsteemidele ligi kaugjuurdepääsu kaudu;
• töövõtjad ja arendajad, kellel on kaughalduse õigused;
• MSP-d, MSSP-d ja muud operatiivse juurdepääsuga tarnijad;
• klienditoe töötajad, kes pääsevad ligi rentnikuandmetele;
• finants-, personali- ja õigusvaldkonna kasutajad, kes pääsevad kaugjuurdepääsu kaudu ligi isikuandmetele;
• pilvekonsoolid ja kaughalduse API-d;
• VPN-i, ZTNA, identiteedipakkuja ja lõppseadmete halduse platvormid;
• logid, SIEM-i integratsioonid ja säilitamiskohad;
• kaugjuurdepääsu erandid ja hädaolukorra juurdepääsu protseduurid;
• tarnija hallatavad servaseadmed ja kaugtugivahendid.

See on enamat kui dokumentatsioonihügieen. NIS2 kohaldamisala võib sõltuvalt suurusest, sektorist ja määratlusest hõlmata pilveteenuse osutajaid, andmekeskusi, MSP-sid, MSSP-sid, elektroonilise side teenuse osutajaid, digitaalse taristu pakkujaid ja IKT-teenuste halduse pakkujaid. DORA kohaldub finantsüksustele ja toimib nende üksuste sektorspetsiifilise IKT-riskirežiimina. GDPR võib kohalduda EL-i ja kolmandate riikide organisatsioonidele, kui töötlemine puudutab EL-i isikuid, EL-is asuvaid tegevuskohti, liidus üksikisikutele pakutavaid teenuseid või käitumise seiret.

Kui teie ISMS-i kohaldamisala eirab kolmandate isikute kaugjuurdepääsu, kaughaldust, VPN-taristut või tarnija hallatavat ühenduvust, võib kontrollimeetmete kogum olla puudulik juba enne, kui audiitor valimivõtuga alustab.

Loo kaugjuurdepääsu kontrollimeetmete kiht

Tugev kaugjuurdepääsu programm tuleb ehitada kontrollimeetmete kihina, mitte ühe poliitikana. Clarysec rakendustöös hõlmavad peamised ISO/IEC 27002:2022 kontrollimeetmed tavaliselt järgmist:

• 6.7 Kaugtöö
• 5.15 Juurdepääsukontroll
• 5.16 Identiteedihaldus
• 5.17 Autentimisteave
• 5.18 Juurdepääsuõigused
• 8.5 Turvaline autentimine
• 8.1 Kasutajate lõppseadmed
• 8.8 Tehniliste haavatavuste haldus
• 8.9 Konfiguratsioonihaldus
• 8.15 Logimine
• 8.16 Seiretegevused
• 8.20 Võrguturve
• 8.22 Võrkude eraldamine
• 5.19 Infoturve tarnijasuhetes
• 5.20 Infoturbe käsitlemine tarnijalepingutes
• 5.21 Infoturbe haldus IKT tarneahelas
• 5.22 Tarnijateenuste seire, läbivaatamine ja muudatuste haldus
• 5.23 Infoturve pilveteenuste kasutamisel
• 5.24 Infoturbeintsidentide halduse planeerimine ja ettevalmistus
• 5.26 Infoturbeintsidentidele reageerimine
• 5.28 Tõendusmaterjali kogumine
• 5.30 IKT valmisolek talitluspidevuseks

Zenith Controls: ristvastavuse juhend vastendab 6.7 Kaugtöö ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning millel on operatiivsed seosed varahalduse, teabekaitse, füüsilise turbe ning süsteemi- ja võrguturbega. Samuti seob see 6.7 Kaugtöö kontrollimeetme 7.9 Varade turve väljaspool tööruume, 8.1 Kasutajate lõppseadmed, 6.3 Infoturbeteadlikkus, koolitus ja väljaõpe, 5.14 Teabe edastamine, 8.20 Võrguturve, 8.22 Võrkude eraldamine, 7.7 Puhta laua ja puhta ekraani põhimõte ning 5.30 IKT valmisolek talitluspidevuseks kontrollimeetmetega.

See seos on oluline. VPN-i nõue ilma lõppseadmete halduseta ei kaitse varastatud sülearvuti eest. MFA ilma logimiseta ei toeta uurimist. Tarnija juurdepääs ilma segmenteerimiseta suurendab mõjuala. Kaugtöö ilma intsidentidest teatamiseta viivitab ohjeldamisega.

Kontrollimeetmete kiht muudab arutelu. Selle asemel et vaielda, kas „VPN on nõuetele vastav“, loob organisatsioon jälgitava mudeli: kaugjuurdepääsu risk, ISO kontrollimeede, poliitikanõue, tehniline rakendus, tõendusmaterjali omanik ja läbivaatamise sagedus.

Muuda poliitika eesmärk auditi tõendusmaterjaliks

Audiitorid aktsepteerivad harva väidet „me tavaliselt kasutame MFA-d“ tõendusmaterjalina. Nad otsivad ametlikult heakskiidetud nõudeid, rakendatud kontrollimeetmeid ja kirjeid, mis tõendavad toimimist.

Clarysec poliitikakomplekt annab meeskondadele täpse sõnastuse, mida nad saavad kasutusele võtta ja kohandada. Network Security Policy - SME sätestab punktis 5.5.1:

„VPN-i juurdepääs peab nõudma mitmefaktorilist autentimist (MFA) ja olema piiratud määratud personaliga.“

Sama VKE-poliitika muudab logimise säilitamisnõudeks punktis 6.3.3:

„VPN-i kaudu toimuv juurdepääs tuleb logida ning seansi kestusi ja lähte-IP-aadresse tuleb säilitada vähemalt 6 kuud.“

Kaugtöö käitumise kohta sätestab Remote Work Policy - SME punktis 5.2.3:

„Avalikku Wi-Fi-d võib kasutada ainult siis, kui turvaline tunnel (VPN) on aktiivne.“

Ettevõttekeskkondade puhul on Remote Work Policy veelgi otsesem. Punkt 5.2.1.1 nõuab töötajatelt järgmist:

„Kasutage ettevõtte heakskiidetud VPN-i või kaugtöölaua taristut.“

Punkt 5.2.1.2 nõuab organisatsioonidelt järgmist:

„Nõudke kõigi sisselogimiskatsete puhul mitmefaktorilist autentimist (MFA).“

Network Security Policy viib tehnilise baastaseme kooskõlla punktiga 6.3.1:

„Kogu kaugjuurdepääs peab olema krüpteeritud, näiteks IPsec või SSL VPN-i kaudu, ning nõudma mitmefaktorilist autentimist (MFA).“

Access Control Policy sätestab punktis 5.6.1:

„Juurdepääsusündmused tuleb logida ja säilitada kooskõlas Logging and Monitoring Policy nõuetega.“

Tarnijate puhul nõuab Third party and supplier security policy punktis 6.3.2:

„Kogu kolmandate isikute juurdepääs tuleb logida ja seirata ning võimaluse korral segmenteerida bastion-hostide, VPN-ide või Zero Trust lüüside kaudu.“

Vulnerability and Patch Management Policy - SME sätestab punktis 6.5.1:

„Süsteemid, mis töötlevad isikuandmeid, pakuvad kaugjuurdepääsu või on väliselt ligipääsetavad, tuleb skannimisel ja uuendamisel seada prioriteediks.“

Need punktid muutuvad mõjusaks siis, kui need seotakse toimimise tõendusmaterjaliga. Poliitika ütleb, et MFA on nõutav. Identiteedipakkuja tõendab rakendamist. VPN-i logi tõendab kasutamist. SIEM-i teavitus tõendab seiret. Juurdepääsuõiguste läbivaatamine tõendab jätkuvat ärilist vajadust. Haavatavuste aruanne tõendab, et kaugjuurdepääsuteenus on prioriteetne. Intsidendi tööjuhis tõendab reageerimisvalmidust.

See on erinevus poliitika olemasolu ja kontrollimeetme toimimise vahel.

Viis küsimust, millele iga CISO peab vastama

Clarysec kaugjuurdepääsu valitsemismudel põhineb viiel küsimusel, mis toimivad ISO 27001 auditites, NIS2 valmisoleku hindamisel, DORA IKT-riskide läbivaatamisel ja GDPR Article 32 tõendusmaterjali pakettides.

1. Kellel on lubatud kaugühendust luua?

Kaugjuurdepääs peab olema piiratud volitatud kasutajate, rollide ja tarnijatega. ISO/IEC 27002:2022 5.15 Juurdepääsukontroll, 5.16 Identiteedihaldus ja 5.18 Juurdepääsuõigused määratlevad juhtimise aluse.

Zenith Controls vastendab 5.15 Juurdepääsukontroll ennetava kontrollimeetmena, mis keskendub identiteedi- ja juurdepääsuhaldusele. See seob kontrollimeetme identiteedihalduse, juurdepääsuõiguste, autentimisteabe, kasutajate lõppseadmete, turvalise autentimise ja poliitikate järgimisega. Praktikas on juurdepääsupoliitika usaldusväärne ainult siis, kui identiteedid on unikaalsed, elutsükli alusel hallatud, autenditud ja läbi vaadatud.

Hea kaugjuurdepääsu kirje peab vastama järgmistele küsimustele:

• Millisel isikul või tarnijal on juurdepääs?
• Millistele süsteemidele ta ligi pääseb?
• Milline roll või leping juurdepääsu põhjendab?
• Kes selle heaks kiitis?
• Kas MFA on rakendatud?
• Millal juurdepääs viimati üle vaadati?
• Millal ajutine juurdepääs aegub?
• Milline logiallikas tõendab kasutamist?

See toetab ka NIST Cybersecurity Framework 2.0 PR.AA tulemusi identiteedihalduse, autentimise, autoriseerimise, vähima privileegi põhimõtte ja ülesannete lahususe kohta.

2. Milline seadme ja võrgu turvaseisund on nõutav?

Kaugjuurdepääs peab sõltuma seadme usaldusväärsusest, mitte ainult kasutaja autentimisandmetest. Kehtiv parool ja MFA kinnitus haldamata, nakatunud või paikamata seadmest on endiselt kõrge risk.

Zenith Blueprint: audiitori 30-sammuline teekaart selgitab seda praktiliste kontrollimeetmete etapis, Step 16, People Controls II:

„Kaugtöötajatelt tuleb nõuda ainult ettevõtte heakskiidetud seadmete kasutamist, mille IT on seadistanud täisketta krüpteerimise, aktiivse lõppseadmete kaitse, automaatse paikamise ja kohustuslike ekraanilukustuse ajalõppudega.“

Sama samm rõhutab, et kaugjuurdepääs peab toimuma ettevõtte VPN-i kaudu, ideaalis MFA-ga kaitstult, ning BYOD tuleb keelata või lubada ainult rangetel tingimustel, nagu MDM-i registreerimine, konteineriseerimine ja kaugkustutamine.

Siin koonduvad 8.1 Kasutajate lõppseadmed, 6.7 Kaugtöö, 8.8 Tehniliste haavatavuste haldus, 8.9 Konfiguratsioonihaldus ja 8.20 Võrguturve.

GDPR Article 32 puhul on seadme turvaseisund oluline, sest kaugkasutatavad lõppseadmed on osa tehnilistest ja korralduslikest meetmetest, mis kaitsevad isikuandmeid. DORA puhul toetab lõppseadme turvaseisund IKT-riski juhtimist ja toimepidevust. NIS2 puhul toetab see küberhügieeni, juurdepääsukontrolli, varahaldust ja haavatavuste käsitlemist.

3. Kuidas seanss on kaitstud?

Turvaline kaugjuurdepääsu seanss peab kasutama krüpteeritud transporti, tugevat autentimist, segmenteerimist ja kontrollitud haldusteid.

Zenith Blueprint, riskijuhtimise etapp, Step 14, Risk Treatment Policies and Regulatory Cross-References, annab kaugjuurdepääsu ootuse:

„Kogu kaugjuurdepääs sisemistele süsteemidele peab kasutama turvalist VPN-i või samaväärset krüpteeritud ühendust. Ettevõtte võrkudesse kaugsisselogimisel on nõutav mitmefaktoriline autentimine (MFA).“

Step 20, Controls 8.18 to 8.26, juhendab organisatsioone valideerima võrguteenuste turvet, loetledes kõik sisemised ja välised võrguteenused, nagu DNS, VPN, SMTP, DHCP ja API-lüüsid, kinnitades turvalisi protokolle, vaadates üle juurdepääsukontrollid ning kontrollides kolmandate isikute turbeklausleid, kui teenuseid hallatakse väliselt.

VPN ei ole ainult seade. See on võrguteenus, millel on protokollivalikud, juurdepääsupiirangud, sertifikaadid, tulemüüriteed, kolmandatest isikutest sõltuvused, paikamisnõuded ja logid.

4. Kuidas juurdepääsu seiratakse ja uuritakse?

Kaugjuurdepääsu valitsemine peab hõlmama logimist ja seiret. NIS2 Article 23 kehtestab oluliste intsidentide etapiviisilised teavitamisootused, sealhulgas varajase hoiatuse 24 tunni jooksul, intsidenditeavituse 72 tunni jooksul ja lõpparuande ühe kuu jooksul. DORA nõuab finantsüksustelt suuremate IKT-ga seotud intsidentide tuvastamist, haldamist, klassifitseerimist, eskaleerimist ja teavitamist, sealhulgas algpõhjuse analüüsi ja teabevahetust juhul, kui mõjutatud on klientide finantshuvid. GDPR-i rikkumise analüüs sõltub arusaamisest, kas isikuandmetele pääseti ligi, neid muudeti, avalikustati, kaotati või muul viisil kompromiteeriti.

Ilma kaugjuurdepääsu logideta ei saa organisatsioon regulaatori esimesele küsimusele kindlalt vastata: mis juhtus?

Tugev logimine peab hõlmama kasutaja identiteeti, autentimise tulemust, lähte-IP-d, vajaduse korral geolokatsiooni, seadme identiteeti, sihtteenust, privilegeeritud toimingut, seansi kestust, ebaõnnestunud katseid, haldusmuudatusi ning korrelatsiooni lõppseadme ja identiteedisündmustega.

5. Kuidas käsitletakse erandeid ja haavatavusi?

Kaugjuurdepääsu taristu on kõrge väärtusega. VPN-lüüsid, ZTNA seadmed, identiteedipakkujad, bastion-hostid ja kaugtöölaua teenused peavad kuuluma haavatavuste programmis kõige rangemalt hallatavate varade hulka.

Küps erandiprotsess peab hõlmama varaomanikku, mõjutatud kaugjuurdepääsuteenust, haavatavuse tõsidust, ärakasutatavust, andmete kokkupuudet, ajutisi kompenseerivaid kontrollimeetmeid, riskiomaniku heakskiitu, aegumiskuupäeva, kordustestimise tõendusmaterjali ning seost riskiregistri ja riski käsitlemise plaaniga.

ISO/IEC 27001:2022 puhul toetab see riskikäsitlust, tegevuse ohjet ja pidevat täiustamist. DORA puhul toetab see IKT-riski juhtimist, testimist ja parandusmeetmeid. NIS2 puhul toetab see haavatavuste käsitlemist ja parandusmeetmeid põhjendamatu viivituseta. GDPR-i puhul aitab see tõendada, et töötlemise turvalisus oli riskipõhine, mitte vajaduspõhine.

Tarnija kaugjuurdepääs on varjatud auditilõks

Paljud kaugjuurdepääsu puudused ei ole töötajate puudused. Need on tarnijate juhtimise puudused.

MSP-l on vana VPN-konto. Tarkvaratarnija kasutab jagatud autentimisandmeid. Tugipartner ühendub kaugtöölaua kaudu, et lahendada kliendimõjuga probleem. Pilveteenuse osutaja haldab kaugjuurdepääsu lüüsi. Töövõtjal säilib juurdepääs pärast projekti lõpetamist.

DORA on selles osas eriti range. Article 28 nõuab finantsüksustelt kolmandast isikust IKT-teenuse osutajatega seotud riski juhtimist IKT-riski juhtimise raamistiku osana ning täieliku vastutuse säilitamist ka siis, kui IKT-teenused on allhangitud. See eeldab IKT lepinguliste kokkulepete registreid, taustakontrolli, infoturbe standardeid, auditi- ja kontrolliõigusi, lõpetamisõigusi, kontsentratsiooniriski analüüsi ning väljumisstrateegiaid kriitiliste või oluliste funktsioonide jaoks. Article 30 täpsustab lepingulisi sätteid, nagu andmekaitse, teenustasemed, töötlemise asukohad, andmetele juurdepääs ja nende taastamine, abi intsidentide ajal, koostöö ametiasutustega, turvameetmed, auditiõigused ja väljumistugi.

NIS2 Article 21 hõlmab samuti tarneahela turvet ning tarnija- ja teenuseosutajate suhteid, pöörates tähelepanu tarnijapõhistele haavatavustele ja tarnijate küberturvalisuse praktikatele.

NIST CSF 2.0 GV.SC pakub praktilise tegevusmudeli: tarneahela riskistrateegia, rollid, tarnija kriitilisus, lepingulised nõuded, taustakontroll, seire, intsidendis osalemine ja suhtejärgsed tegevused.

Clarysec klientide jaoks on praktiline reegel lihtne: kolmandate isikute kaugjuurdepääsu tuleb käsitleda privilegeeritud juurdepääsuna, kuni ei ole tõendatud vastupidist. See peab olema nimeline, heaks kiidetud, ajaliselt piiratud, MFA-ga kaitstud, logitud, seiratud ja segmenteeritud.

Ristvastavuse vastendus: üks kontrollisüsteem, palju kohustusi

Kaugjuurdepääsu valitsemine on üks tugevamaid ristvastavuse näiteid. Sama tõendusmaterjal võib täita mitut kohustust, kui see on õigesti kavandatud.

Üksikasjalikum ISO kontrollimeetmete vastendus näitab, miks kaugjuurdepääsu valitsemisel on nii suur vastavusväärtus.

NIS2 kehtestab ka selge juhtkonna vastutuse. Article 20 nõuab oluliste ja tähtsate üksuste juhtorganitelt küberturvalisuse riskijuhtimismeetmete heakskiitmist, rakendamise järelevalvet ja koolituse läbimist. DORA Article 5 nõuab sarnaselt finantsüksuste juhtorganilt IKT-riski juhtimise korralduse määratlemist, heakskiitmist, järelevalvet ja vastutuse säilitamist.

Juhatus ei pea heaks kiitma iga tulemüürireeglit. Kuid ta peab heaks kiitma kaugjuurdepääsu riskipositsiooni: MFA on kohustuslik, tarnijate juurdepääs logitakse, privilegeeritud juurdepääs segmenteeritakse, kaugjuurdepääsu taristu paigatakse määratud tähtaegade jooksul, erandid on ajaliselt piiratud ja küberintsidendid eskaleeritakse kokkulepitud kanalite kaudu.

90-minutiline kaugjuurdepääsu tõendusmaterjali sprint

Praktiline viis puudujääkide esiletoomiseks on koostada ühe juurdepääsutee ümber väike tõendusmaterjali pakett. Valige üks näide, näiteks „VPN-juurdepääs tootmiskeskkonna tugiinseneridele“, ja viige läbi järgmine sprint.

Eesmärk ei ole paberitöö. Eesmärk on siduda poliitika tõenditega. Kui tõendusmaterjali paketti ei saa ühe juurdepääsutee kohta lõpuni koostada, on organisatsioon leidnud tegeliku juhtimislünga enne, kui audiitor või regulaator selle leiab.

See harjutus sobib ka NIST CSF 2.0 profiili meetodiga: määratle profiili ulatus, kogu poliitikad ja nõuded, dokumenteeri praegused ja sihttulemused, analüüsi lünki, koosta prioriseeritud tegevuskava ja vii täiustused ellu.

Kuidas audiitorid kaugjuurdepääsu testivad

Kaugjuurdepääsu audit võib tunduda erinev sõltuvalt audiitori taustast. Zenith Controls aitab organisatsioonidel valmistuda, sest see vastendab ISO/IEC 27002:2022 kontrollimeetmete seosed ristvastavuse vaatesse, mitte ühte kontrollnimekirja.

Auditivalmis organisatsioon ei hakka kuvatõmmiseid paaniliselt otsima. Ta hoiab elavat tõendusmaterjali süsteemi.

Levinud leiud 2026. aastal

Hindamistes näeb Clarysec korduvalt samu kaugjuurdepääsu probleeme:

• MFA on lubatud töötajatele, kuid mitte tarnijatele, hädaolukorra kontodele või pärand-VPN-profiilidele;
• kaugjuurdepääsu logid on olemas, kuid neid ei säilitata piisavalt kaua, neid ei koondata keskselt ega seota identiteetidega;
• lõppseadmete nõuetele vastavust hallatakse VPN-juurdepääsust eraldi, mistõttu haldamata seadmed saavad endiselt ühenduda;
• juurdepääsuõiguste ülevaatused keskenduvad ärirakendustele, kuid eiravad VPN-rühmi, bastioni õigusi ja pilveadministraatori rolle;
• kaugjuurdepääsu taristu puudub haavatavuste prioriteetide loendist;
• tarnija juurdepääs kiidetakse heaks mitteametlikult ja see ei kajastu lepingutes;
• eranditel puudub aegumiskuupäev, kompenseeriv kontrollimeede või riskiomaniku heakskiit;
• hädaolukorra juurdepääsukontosid ei testita, seirata ega vaadata üle;
• privilegeeritud seansse ei segmenteerita üldisest kaugjuurdepääsu liiklusest;
• intsidentidele reageerimise tööjuhised ei hõlma kaugjuurdepääsu tõendusmaterjali kogumist.

Need leiud on välditavad. Need tulenevad tavaliselt killustunud vastutusest. Võrgumeeskonnad vastutavad VPN-i eest. IAM vastutab MFA eest. IT vastutab seadmete eest. Hange vastutab tarnijalepingute eest. Õigusosakond vastutab andmetöötlustingimuste eest. SOC vastutab teavituste eest. Vastavusfunktsioon vastutab auditi tõendusmaterjali eest.

ISMS peab need ühendama.

Turvalise kaugjuurdepääsu sihttegevusmudel

Küps turvalise kaugjuurdepääsu ja VPN-i valitsemismudel peab hõlmama järgmisi tegevuspraktikaid:

• säilitada kõigi kaugjuurdepääsumeetodite register, sealhulgas VPN, ZTNA, RDP, bastion-hostid, SaaS-i haldusportaalid ja tarnijatunnelid;
• nõuda MFA-d kogu kaugjuurdepääsu puhul, sealhulgas tarnijatele, administraatoritele ja hädaolukorra kontodele;
• rakendada seadme nõuetele vastavuse kontroll enne juurdepääsu, kui see on tehniliselt võimalik;
• kasutada privilegeeritud ja kolmandate isikute juurdepääsu jaoks segmenteerimist, bastion-hoste või Zero Trust lüüse;
• logida lähte-IP, kasutaja identiteet, autentimise tulemus, sihtsüsteem ja seansi kestus;
• säilitada logisid vastavalt poliitika, regulatiivsetele ja uurimisvajadustele;
• seada kaugjuurdepääsu süsteemid haavatavuste skannimisel ja paikamisel prioriteediks;
• vaadata juurdepääsuõigused perioodiliselt üle ning rollimuudatuse, töösuhte lõpetamise või tarnijalepingu muutumise korral;
• piirata hädaolukorra, ajutine ja tarnija juurdepääs ajaliselt;
• hõlmata kaugjuurdepääs intsidentidele reageerimises, rikkumise hindamises ja kriisiõppustes;
• testida kaugjuurdepääsu vastupidavust ja varujuurdepääsu marsruute, kui see on talitluspidevuse jaoks nõutav;
• integreerida tarnija kaugjuurdepääs lepingutesse, taustakontrolli, seiresse ja väljumisplaanimisse;
• esitada juhtkonnale kaugjuurdepääsu riskimõõdikuid.

Maria jaoks muutub see praktiliseks tegevuskavaks. Esimese kahe nädala jooksul kasutab ta Zenith Blueprinti, et ajakohastada valitsemisdokumente, viia poliitikad kooskõlla NIS2 ja DORA kohustustega ning saada juhtkonna heakskiit. Järgmise kuu jooksul rakendavad tema IT- ja turbemeeskonnad MFA kõigile kaugjuurdepääsuprofiilidele, segmenteerivad töövõtjate juurdepääsu, häälestavad logimist ning seavad VPN- ja ZTNA-süsteemid haavatavuste kõrvaldamisel prioriteediks. Pidevalt viib ta läbi kvartalipõhiseid juurdepääsuõiguste ülevaatusi, testib intsidendi tõendusmaterjali kogumist ja raporteerib riskimõõdikuid juhatusele.

Tulemus ei ole ainult puhtam VPN-i konfiguratsioon. See on kaugjuurdepääsu kontrollisüsteem, mis peab auditile vastu, toetab intsidentidele reageerimist ja vähendab tegelikku tegevusriski.

Koosta kaugjuurdepääsu tõendusmaterjali pakett enne järgmist intsidenti

Esmaspäevahommikune VPN-i teavitus ei pea kriisiks muutuma. Kuid sellest peab saama valitsemise test.

Kas suudate kasutaja tuvastada? Kas suudate tõendada MFA-d? Kas suudate kinnitada seadme turvaseisundit? Kas suudate seansi rekonstrueerida? Kas suudate kindlaks teha, kas isikuandmed olid ligipääsetavad? Kas suudate näidata, et konto oli heaks kiidetud ja läbi vaadatud? Kas suudate tõendada, et VPN-seade oli paigatud? Kas suudate tõendada, et tarnija juurdepääs on logitud ja segmenteeritud? Kas juhtkond näeb riski?

Kui vastus on „veel mitte“, saab Clarysec aidata.

Alustage Zenith Blueprint: audiitori 30-sammuline teekaart juhendist, et struktureerida oma ISO/IEC 27001:2022 rakendamise teekaart, eriti Step 14 riskikäsitluse poliitikate jaoks, Step 16 kaugtöö kontrollimeetmete jaoks, Step 19 turvalise autentimise jaoks ja Step 20 võrguteenuste turbe jaoks. Kasutage Zenith Controls: ristvastavuse juhendit, et vastendada kaugtöö, juurdepääsukontroll, turvaline autentimine, tarnijakontrollid, logimine ja võrguturve seotud ISO/IEC 27002:2022 kontrollimeetmete ning ristvastavuse tõendusmaterjaliga.

Seejärel rakendage nõuded Clarysec poliitikatega, nagu Remote Work Policy, Network Security Policy, Access Control Policy, Third party and supplier security policy ning VKE-valmid samaväärsed dokumendid.

Teie järgmine audit ei tohi olla esimene kord, kui kaugjuurdepääsu tõendusmaterjal kokku pannakse. Koostage see nüüd, testige seda nüüd ja muutke turvalise kaugjuurdepääsu valitsemine oma vastavusprogrammi üheks tugevamaks osaks. Võtke Claryseciga ühendust kaugjuurdepääsu valitsemise hindamiseks, laadige alla poliitikamallid või broneerige demo, et näha, kuidas teie praegused kontrollimeetmed vastenduvad ISO 27001, NIS2, DORA ja GDPR Article 32 nõuetega.