«Herregud, ikke igjen», kommer det fra «Gunn» (54) på økonomi. For tredje gang i år kommer beskjed om passordbytte. Først som en forsiktig oppfordring i form av en beskjed om at passordet utløper om syv dager, men «Gunn» vet av dyrekjøpt erfaring at dette snart blir alvor og at oppfordringen snart blir en ordre.
Neste gang «Gunn» banner, er det ikke fordi hun har glemt passordet sitt. Da er det fordi noen har flyttet personallisten. Denne listen over alle ansatte, som ligger bekvemmelig på en filserver – en Windows Server 2008R2 som ble satt opp av Infosys i 2010, og som ble patchet sist gang i 2016. Sikkerheten er jo ivaretatt i brannmuren, så alt som er på innsiden er jo trygt… ikke sant? Det er selvsagt bare «Per» som var litt kjapp med å flytte musepekeren og i vanvare dro personallisten ned et steg i mappe-hierarkiet.
Her forsøker noen å selge adgang til Helthjems database
Fjernarbeid
Nå er «Gunn» på konferanse. Bedriften har endelig skjønt at det er verdi i nettverksbygging og kompetanseheving i eksotiske København. Eneste aberet er at konferansen sammenfaller med lønnskjøring. Jaja, tenker «Gunn», jeg bare logger inn på VPN og henter ut lønningslisten fra filserveren og kjører lønn i Visma. Heldigvis har bedriften investert i et skybasert lønnssystem, så Gunn ikke trenger å være på kontoret for å kjøre lønn. Når «Gunn» logger på VPN, merker hun at Visma går gruelig treigt …
VPN-løsningen til bedriften skiller nemlig ikke mellom trafikk til filserveren og til internett. Derfor går nettverkstrafikken til Visma via bedriftens hovedkontor. Siden det tilfeldigvis er ski-VM denne uken, har halve kontoret NRK kjørende på skjerm nummer 2, og DSL-linjen som burde vært oppgradert, er nær kapasitet. Krise!
«Gunn» er redd. I morges fikk hun en e-post tilsynelatende sendt av en kollega. Den inneholdt en lenke til et dokument. Da hun trykket på lenken, ble hun bedt om å laste ned og installere en programvare. E-posten virket viktig, og den sa det hastet, så hun gjorde selvsagt det, og nå funker ingenting! Verre enn det, en melding kom opp på skjermen hennes, og denne sier noe om at filer er kryptert? «Gunns» kolleger begynner også å melde om at ting begynner å skje hos dem. Dokumenter vil ikke la seg åpne. Alt som ligger på filserveren er bare grøt, og alt er kaos. Fra morgen til lunsj har IT-ansvarlig vekslet mellom å sitte i telefonen og gå frem og tilbake fra datarommet. Nå dukket det opp noen konsulenter … «Gunn» er veldig redd!
Fiktiv, men representativ
«Gunn» er selvsagt en fiktiv person, men det er hundretusener som henne over det ganske land. De fleste «Gunn» bruker det samme passordet over alt, og de bytter bare ett tegn når det er «den tiden i måneden» (eller kvartalet, alt etter policy). «E» blir til «3», «i» blir til «!», og de neste par dagene kommer det et par saftige fraser fra «Gunn» hver gang hun glemmer hvilken «E» som ble «3» denne gangen.
Hva om «Gunn» jobbet i en bedrift som investerte i moderne IT-sikkerhet? Med moderne muligheter er det mulig gjøre passord evigvarende på en trygg måte, eller enda bedre, å fjerne passord fullstendig. I tillegg innfører man multifaktorautentisering (MFA) for å sørge for at passord på avveie, ikke er ensbetydende med informasjon på avveie og kompromitterte systemer. Man kan også sørge for at alle systemer krever pålogging, men at pålogging til alle systemer skjer som følge av at «Gunn» logger på sin PC om morgenen. Dette heter altså Single SignOn eller SSO.
Spionerte på Snapchats krypterte trafikk i flere år
Betydningen
Hvordan vil dette påvirke «Gunn» sin hverdag? I stedet for at hun at har ti passord til forskjellige systemer, trenger hun kun å logge på PC-en sin med ansiktsgjenkjenning, og resten går automatisk. Om hun trenger å jobbe med sikre systemer eller informasjonskilder, må hun bruke telefonen sin til å gi en ekstra godkjenning. Passordet hennes kommer ikke på avveie, for hun har ikke passord. Om noe skjer med kontoen hennes, blir hun bedt om en ekstra godkjenning med MFA på telefonen.
VPN er fjernet, fordi de få filserverne og tjeneste som fremdeles kjøres fra datarommet, er tilgjengelig på internett gjennom en herdet delingstjeneste (reverse proxy med moderne autentisering). Om «Gunn» trenger å kjøre et program eller installere noe på sin PC, er det en enkel og rask godkjenningsprosess som begrenser «Gunns» mulighet til å utsette bedriften for unødig risiko. Om alt annet feiler, er det selvsagt moderne sikkerhetssystemer som beskytter både «Gunns» PC og alle forretningssystemene hun jobber på.
Store kostnader
Hva betyr dette for bedriften? Ifølge en metastudie fra Norton er 96 prosent av passordene så dårlige at verktøy for passordinnbrudd kan knekke dem på mindre enn ett sekund. Samme metastudie viser til en statistikk fra Last Pass, som sier at brukere taster passord i snitt 154 ganger per måned, og at en typisk bedrift med 250 ansatte har 48.000 passord i bruk i organisasjonen. Det er klart at passord er en stor synder. Sikkerhetsmessig er det en dinosaur, men passord er også en enorm indirekte kostnad for bedriften.
Studien tidligere omtalt viser at det koster amerikanske bedrifter 480 dollar (cirka 5000 kroner) per ansatt per år, og det er ingen grunn til å tro at det tallet er lavere i Norge. Dette er bare de indirekte kostnadene relatert til tidsbruk. I øyeblikket det utenkelige skjer, går taksameteret hvert minutt for alle ansatte, i tillegg til direkte og indirekte kostnader for håndtering av hendelsen.
Ved å introdusere moderne autentiseringsmekanismer reduseres frustrasjon hos de ansatte, noe som igjen betyr lavere turnover og mindre tidsbruk på passordrelaterte problemer. Om man samtidig gjør forretningssystemer sikrere og mer tilgjengelig uavhengig av arbeidssted, blir arbeidsplassen ekstra attraktiv for eksisterende og nye ansatte.
Da er det bare en bonus at sikkerheten blir bedre og risiko for hendelser blir redusert.
Advarer: Det tar bare noen timer før kriminelle utnytter større sårbarheter
