Kampen for en sikrere hverdag for brukere og organisasjoner betyr at det forhatte passordet kanskje må skrotes. Det er sterke argumenter for å kvitte seg med passord som nøkkel til systemer, og heller tenke mer helhetlig på sikkerheten i systemene.
Det mener Thommy Mikkelsen i Painkiller, et norsk selskap som er ledende i Identity Access Management (IAM). De utarbeider grunnmuren i sikkerhetsløsningene og, nei, den består ikke av å gjøre det vanskeligst mulig for brukeren å konstruere et akseptabelt passord.
Les mer: — Den verste formen for Single Sign On er det lagrede passordet
– Dette feltet er digert. En analogi kan være å snakke om byggingen av en boligblokk, og vi er de som bestemmer hvordan låsen på ytterdøren skal utformes, og hvem som skal ha tilgang til nøklene og hvordan de deles ut, forklarer Mikkelsen.
En av de som bruker Painkillers ekspertise til å rådgi kundene hvordan man best mulig setter opp en helhetlig sikkerhetsløsning, er Thales. Dersom Painkiller er låsesmeden som gir råd om hvordan nøklene til blokka best håndteres basert på behovet til den enkelte, er Thales dør- og låsprodusenten som sørger for at brukerne kommer dit de skal. Og bare dit.
– Vi er ikke redde for å si at vi er kjempegode, nettopp fordi vi har samlet de beste i klassen og skape et av Norges beste miljøer til å levere IAM, sier Mikkelsen. Det får han god støtte for hos Thales.
– Det er en masse produkter i det norske markedet som i større eller mindre grad kan løse dette, men ganske få som kan rådgi på risk management. Der er er Painkiller eksperter på identitetsstyring og access management, sier Kenneth Jeppesen i Thales.
Så hva ligger i begrepet identitetsstyring? Vel, det begynner allerede på din første arbeidsdag, der du dukker opp ung og lovende for å hente adgangskort og lære hvor den beste kaffemaskinen står.
– En nyansatt kommer til lederen, de signerer avtale og registrerer sine personalia, forklarer Thommy. Allerede da har grunnlaget for en sikker bekreftelse av personen bak en brukeridentitet blitt lagt.
– Så sendes den ansatte sendes til lønningsfolkene, leder sier at du trenger det og det utstyret, du går til IT som gir tilgang til e-post og filtjenenester. Så må du kanskje gå til produkteierne for de ulike arbeidssystemene, som gir deg tilgang til ulike systemer.
I stedet for et passord her og et passord der, får den nyansatte et smartkort som beskyttes av en PIN-kode, og gir et høyere nivå av autentisering: Noe du vet (koden) og noe du har (smartkortet). På mobilen kan autentiseringen gjøres med en app.
Dermed er to ting gjort: Arbeidsgiveren har uforløselig knyttet den ansatte opp mot en identitet i systemene, og arbeidstakeren har fått de tilgangene vedkommende trenger. Men ikke noe mer enn det.
– Nå går mer og mer over til skyleverandørene.
– Dette gjør at du har kontroll i første omgang. Så må man videre tenke på at bedriften, i tillegg til kanskje flere tusen ansatte, også har hundrevis av ulike applikasjoner. Du må kanskje separere helt hvilke tilganger man har for systemene til eksakt den jobben som skal gjøres. Å kartlegge dette er viktig for Thales, og vi er den partneren som kan prosessen, sier Mikkelsen.
– Vi har forskjellige systemer som kan ta inn de kulturelle og organisatoriske aspektene, og maskinelt utføre dem. Det inngår i hva vi kaller Identity Governance, som hele tiden evaluerer hvilke rettigheter en identitet skal ha, forklarer Thommy.
Med stadig flere bedrifter som skroter serverparken i kjelleren, og tar i bruk applikasjoner som serveres fra skyene i stedet, blir dette bare viktigere.
– Nå går mer og mer over til skyleverandørene. De leverer infrastruktur og applikasjoner. Da flytter du tilgangsstyring ut av egen bedrift og du må vite hva du skal bruke det til. Du må vite at din leverandør leverer rett tilgang til rett identitet, og du må sikre at rettigheter kan tilpasses og trekkes tilbake.
– Veldig mange bedrifter har mange adgangskontrolløsninger i dag. Men det er litt som å låse hageporten og lite annet.
Når Painkiller har satt opp et system for bekreftelse av brukerens identitet, de har kartlagt hvilke applikasjoner og hvilke deler av den enkelte applikasjonen de skal få tilgang til, er det systemene fra Thales som utfører jobben.
– Det systemet kaller vi Safenet Trusted Access. Det ligger som et skall for adgangskontroll for de ulike systemer, applikasjoner og tilgangen til informasjon innad i disse applikasjonene, forklarer Kenneth.
Thales’ løsning skiller seg fra andre ved å være en tjenestebasert løsning, i motsetning til mange andre som er serverbaserte. Det betyr kontinuerlig beskyttelse, døgnet rundt og mindre å styre med for en allerede hardt arbeidende IT-avdeling.
– Veldig mange bedrifter har mange adgangskontrolløsninger i dag. Men det er litt som å låse hageporten og lite annet. Men med Safenet så får man en kraftig, godt konstruert og overvåket inngangsport. Og når du er innenfor porten, sørger systemet for at du kun ser de applikasjonene du trenger, med det tilgangsnivået du behøver.
– Så når man setter våre utredninger og systemer sammen med Thales’ Safenet, får man den sunne sikkerhetsløsningen man trenger i et moderne trusselbilde, sier Thommy.
...og trenger brukeren egentlig å vite? Mange bedrifter har flere teoretiske nivåer av tilgang. For eksempel: en regnskapsmedarbeider har full tilgang til regnskapssystemene men bør kanskje ikke ha tilgang til data om hvordan et børsnotert selskap gjør det rett før en sensitiv kvartalspresentasjon.
At en bruker får carte blanche ved opprettelsen av en bruker, er en av de store syndene i norske IT-avdelinger.
– Jeg gjorde en opptelling her om dagen og fant ut at jeg kunne ha opptil 15 passord bare for å se på TV.
– Om man klikker på en lenke som installerer en keylogger, kan jo den gjøre alt du kan som bruker. Men om man ikke har en aktiv forvaltning, om du har all rettigheter til alle systemer fordi du trenger det kanskje en gang i året, så får jo hackeren tilgang til mer enn om du hadde litt begrensninger som bruker, forklarer Thommy.
Å legge litt bånd på seg selv kan være smart: – Det bedre å kanskje be om tilgangen når du trenger det en gang i blant, for eksempel kanskje tilgang til en del av økonomisystemet i måneden før kvartalsrapporten fordi man trenger å jobbe med den.
Dusinvis av passord liker ingen. Ikke sikkerhetsekspertene heller.
– Jeg gjorde en opptelling her om dagen og fant ut at jeg kunne ha opptil 15 passord bare for å se på TV. Det er jo ikke en menneskevennlig måte å gjøre ting på, sier Thommy.
Han får støtte fra Kenneth, som er en ivrig forkjemper for enklere og sikrere måter å gjennomføre sikring av IT-systemer og infrastruktur på.
– Om man har samme passordene overalt, har du jo et stort problem om det blir lekket. Målet med systemer som Safenet gir noe som likner på konseptet for Single Sign On, men med langt bedre kontroll bak. Om den kontrollen er god nok, for eksempel så mister du automatisk tilgangen om du ikke anvender den, skapes systemer som er svært mye sikrere og enklere å bruke, avrunder Kenneth.
