SIKKERHET

Kabeltråling kan skape tilgangstrøbbel

Hva skjer dersom «noen» bestemmer seg for å starte tråling etter fiberkabler og setter store deler av den transatlantiske kommunikasjonen ut av spill? Du bør ha et alternativ til den skybaserte identitetsløsningen din dersom det oppstår et brudd på internett mellom Europa og USA.

Sjøkabler av alle slag kan være vanskelige å forsvare mot sabotasje. Bildet viser en dykker som reparerer en sjøkabel ved Pacific Missile Range Facility Barking Sands (PMRF) utenfor Hawaii.
Sjøkabler av alle slag kan være vanskelige å forsvare mot sabotasje. Bildet viser en dykker som reparerer en sjøkabel ved Pacific Missile Range Facility Barking Sands (PMRF) utenfor Hawaii. Foto: CEC Adam Winters
Lars Petter Hosøy, seniorkonsulent og partner i Sicra
13. mai 2023 - 16:20

Én av to viktige fiberkabler til Svalbard ble ødelagt for ikke lenge siden. «Noen» hadde revet den av og dratt den langt av gårde. «Noen» har også drevet utstrakt kartlegging av infrastruktur utenfor Norges kyst.

Om store deler av den transatlantiske kommunikasjonen settes ut av spill, kan vi da være sikre på at skyløsningene vi baserer oss på, fortsatt vil være tilgjengelige?

De fleste organisasjoner i Norge har ett eller flere systemer som opererer i sky. For mange er identitetsløsningen ett av disse systemene. Når en bruker skal logge på, omdirigeres brukeren til skytjenesten og autentiseres der, før brukeren kommer tilbake med et identitets-token og får tilgang. Lett som en plett.

Lurt å etablerte lokale løsninger

– Min innstendige oppfordring til alle som benytter sky-identiteter, er å foreta en risikoanalyse og evaluere behovet for å gjøre klar alternative løsninger som enkelt kan aktiveres, skirver Lars Petter Hosøy, som er seniorkonsulent og partner i Sicra. <i>Foto:  Sicra</i>
– Min innstendige oppfordring til alle som benytter sky-identiteter, er å foreta en risikoanalyse og evaluere behovet for å gjøre klar alternative løsninger som enkelt kan aktiveres, skirver Lars Petter Hosøy, som er seniorkonsulent og partner i Sicra. Foto:  Sicra

Hva skjer da den dagen identitetsløsningen ikke lenger er tilgjengelig online og vi ikke får autentisert brukere til systemer som faktisk kjører i eget datasenter? Slik tidene er blitt, er det nødvendig å foreta en risikoanalyse på identitetsløsningen og evaluere konsekvensen dersom den blir borte.

Et typisk avbøtende tiltak vil være å etablere lokale løsninger som kan aktiveres raskt dersom den sentrale skytjenesten faller ut over lengre tid. Her er det flere alternativer som vil passe, avhengig av hvordan infrastrukturen ellers ser ut:

  • Etablere AD-basert autentisering via ADFS eller LDAP.
  • Etablere sertifikatbasert autentisering via sertifikat som rulles ut via for eksempel Microsoft Intune.
  • Etablere en lokal «Identity broker» som benyttes av lokale applikasjoner også i normalproduksjon.

De to første punktene over sier lite om hvor mange steder du må rekonfigurere for å etablere alternativ operasjon – det kan ofte være at alle applikasjoner må rekonfigureres. Ved å etablere en lokal «identity broker» kan du ha ett enkelt system du behøver å endre for å benytte alternative identitetskilder. Kildene kan da være ett av de to første punktene i listen over.

Det kan være et visst arbeid å etablere en lokal «identity broker». Det skal imidlertid være lett å se nytten av å konsentrere alle relasjoner mellom lokale applikasjoner og identitetstjenestene gjennom én lokal tjeneste. Med en slik arkitektur kan også flere applikasjoner dele identity provider-tjenester.

I normal drift gjøres ofte brukerautentiseringen «online» av AzureAD, Google, Okta eller tilsvarende. Gjerne med SSO (Single Sign-On).

Det sitter langt inne for Høyre å ville forby næringer, men i dette tilfellet er det riktig, ifølge Nikolai Astrup.
Les også

Høyre og SV vil forby kryptoutvinning

Du kjøper deg masse tid

Om du i tillegg sørger for å distribuere brukersertifikat til alle enheter i normal drift, har du en ferdig løsning som kan tre inn som plan B dersom det blir nødvendig. Alt du da trenger å gjøre, er å konfigurere aksessløsningene/identity broker til å kjøre sertifikatbasert autentisering foran applikasjonene. SSO vil da fungere som det gjør i normalsituasjonen, og sertifikatene er gyldige identitetsbevis helt til de utløper.

Du har da kjøpt deg månedsvis med tid til å omgruppere dersom det oppstår hendelser. Sertifikatene kan legges enten på TPM (Trusted Platform Module) i bærbare PC-er eller på type Yubikeys, som plugges i USB-porten der de skal brukes.

Min innstendige oppfordring til alle som benytter sky-identiteter, er å foreta en risikoanalyse og evaluere behovet for å gjøre klar alternative løsninger som enkelt kan aktiveres. Finner du det nødvendig, anbefales det samtidig å etablere en lokal «identity broker» som alle lokale applikasjoner benytter. 

− Når det står om liv eller død, spiller det ingen rolle når på døgnet en hendelse skjer, sier Olav Storli Ulvund, direktør for IKT-tjenester i Sykehuspartner HF.
Les også

Har 99,99 prosent oppetid – slik snudde de trenden

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.