Denne artikkelen stod på trykk i Computerworld 24. mai 2024.
Mange bedrifter investerer store summer i avanserte sikkerhetsprodukter og kostbare tjenester for å heve sikkerheten, men glemmer ofte det grunnleggende.
Kjenner bedriftene til alle identiteter og applikasjoner som har tilgang til deres systemer, og er disse sikret på en tilfredsstillende måte?
Dette er kritisk, ettersom omtrent 80 prosent av datainnbrudd starter med at en hacker får tilgang og kontroll på en identitet. Flere og flere bedrifter flytter til skyen, og med bedriftens data tilgjengelig på internett, blir problemstillingen enda mer aktuell.
Konsekvensene av slike brudd kan være ødeleggende for en organisasjon. Ikke bare kan det føre til store økonomiske tap og tap av konfidensiell informasjon og personvern, men det kan også resultere i tap av tillit fra kunder og partnere. I tillegg kan organisasjonen bli pålagt store bøter fra regulatoriske organer, og omdømmet kan lide betydelig. I snitt koster et datainnbrudd en bedrift ca 50mnok. Derfor er det avgjørende at bedrifter tar cybersikkerhet på alvor og implementerer robuste identitets- og tilgangsstyringsstrategier for å beskytte seg mot slike angrep.
Viktigheten av å ha kontroll på sine identiteter
Samtidig som mulighetene blir flere for en bedrift som flytter identiteter og applikasjoner til skyen, øker også kompleksiteten. Mange tror at IAM (Identity Access Management) løsninger og kontroll i HR systemet er nok, men brukerkatalogen hos Microsoft, Entra ID, inneholder som regel mange flere identiteter. Nasjonal sikkerhetsmyndighet (NSM) sine grunnprinsipper sier at du skal vite hvem alle dine brukere er. Og du skal vite hvilke rettigheter de har. It avdelinger vi prater med forstår ofte hva vi mener når vi stiller dem disse kontrollspørsmålene i våre kundemøter:
- Hvilke gjestebrukere har tilgang til deres miljø?
- Hvilke administratorbrukere har dere?
- Hvor mange servicekontoer finnes det i deres miljø?
- Hvor mange testbrukere finnes det i deres tenant?
- Vet dere hvilke rettigheter deres applikasjoner har, og hvor de logger på fra?
Med mange brukere og turnover i en bedrift er det utfordrende å oppnå tilfredsstillende kontroll på et tema som bare blir viktigere og viktigere.
Et eksempel fra virkeligheten var da Microsoft nylig ble utsatt for et dataangrep selv. En gruppe med tilknytning til den russiske etterretningstjenesten klarte å utnytte en svakhet i en test-tenant Microsoft hadde laget i utviklingsøyemed. I den hadde de laget en applikasjon som ble installert i produksjons-tenanten som en hvilken som helst SaaS applikasjon. Applikasjonen ble gitt altfor høye rettigheter og i selve test-tenanten var ikke brukerkontoene sikret godt nok, noe som medførte at angriperne klarte å ta kontroll over denne. Ved hjelp av testapplikasjonens tilganger inn i produksjons-tenanten fikk de tilgang til alle epostkontoer, og kunne i flere måneder overvåke eposter sendt både internt og eksternt. Dette viser hvordan små svakheter i identitet – og tilgangsstyring kan utnyttes til å utføre omfattende sikkerhetsbrudd.
Andre eksempler fra i fjor så vi både hos kommuner i Nord-Norge der de prøvde å komme inn via eksterne kontoer som var kompromittert, og i det finnes flere dokumenterte tilfeller i både Sverige og Danmark.
Fremtiden og nye krav
Med stadig flere bedrifter som tar i bruk et bredt spekter av SaaS-applikasjoner, spesielt de som er integrert med plattformer som Microsoft, blir behovet for å ha fullstendig oversikt over tilganger enda mer avgjørende. IAM-verktøy spiller en kritisk rolle i å administrere disse tilgangene, men de alene er ikke alltid tilstrekkelige. Selv om IAM-verktøy gir regler og policyer for å automatisere tilgangsadministrasjonen til ansatte og innleide, er det nødvendig med ytterligere verktøy og prosesser for å sikre en omfattende oversikt over hvem alle identitetene faktisk er, inkludert gjester, applikasjoner og andre kontoer som IAM-løsningen ikke «eier». Ved å implementere slike løsninger kan bedrifter bedre beskytte seg mot interne og eksterne trusler, opprettholde datasikkerheten og etterleve regulatoriske krav.
Fremover kommer god kontroll på disse utfordringene til å bli krav fra EU og myndigheter gjennom ulike direktiver som NIS1, NIS2, og CER. Direktivene vil øke ansvaret til ledelsen i selskaper, og hvis man ikke følger dem, kan selskapene få strenge sanksjoner i form av bøter på opp til flere millioner kroner. Dette legger et betydelig ansvar på it-avdelingene, som kan bli ansvarlig for at selskap pådrar seg store kostnader, enten i form av bøter eller hvis et datainnbrudd skjer.
Avslutningsvis
Som vi ser, er kontroll på brukeridentiteter en kritisk, men ofte en oversett del av cybersikkerhet. Med stadig mer sofistikerte trusler og et økende press fra regulatoriske organer, er det avgjørende at bedrifter tar grep for å sikre en solid identitets- og tilgangsstyringsstrategi. Vi i Bsure ser at flere og flere også tenker på dette som kjempeviktig, men vi møter også flere som velger å ikke prioritere det og satser på at historiske prosesser for forvaltning av brukeridentiteter er godt nok også fremover, en strategi vi ikke tror vil lønne seg i lengden.