Den siste tidens angrep mot Stortinget og en rekke kommuners IT-systemer har gjort passord og autentisering til et brennaktuelt tema. Det sikkerhetseksperter har visst lenge, har nå blitt løftet opp på agendaen for alvor: Passord som autentisering, også i kombinasjon med en annen faktor, kan være sårbart.
– Det er først når du autentiseres med noe du har, i kombinasjon med noe du vet og noe du er, at vi begynner å snakke om et bra nivå på sikkerheten. Da har du noe fysisk, som et kort, kombinert med en PIN-kode og for eksempel et fingeravtrykk, sier Espen Andreassen i Exclusive Networks.
Utfordringen er at vi bruker en rekke forskjellige applikasjoner, med hvert sitt autentiseringssystem. En undersøkelse som Thales har gjennomført, viser at vi i gjennomsnitt bruker 27 SaaS-apper på jobb. Problemet er derfor å etablere sterk nok autentisering for de ansatte på de ulike tjenestene.
– Når det kommer til sikkerhet og skyapplikasjoner er det typisk at man får disse på plass, og hvis det i det hele tatt tenkes på autentisering, er det fokus på multifaktor-autentisering. Men det man helt glemmer, er Identity Access Management (IAM). Det sier Guido Gerrits, som er salgsdirektør for IAM i Thales.
– Når brukeren logger inn på en applikasjon, er det viktig at man er den man er, og det sørger multifaktor-autentisering for. Men du må også ha kontroll på hvor brukeren logger seg inn fra, hvilken lokasjon eller IP-adresse, og med den enheten som virksomheten tillater. Det er det jeg kaller ordentlig Identity Access Management, sier han.
Det typiske er at virksomheten har et mylder av SaaS-apper og autentiseringsløsninger som brukeren på en eller annen måte forholder seg til. Det kan være en stor andel tjenester som dekkes av autentiseringsløsningen til for eksempel Salesforce, men i tillegg en rekke applikasjoner som brukeren selv må huske passordet til.
– Og så klikker brukeren «ja» når nettleseren spør om passordet skal lagres, og dermed tror brukeren at det er single sign-on. Men det er egentlig den verste formen for single sign-on man kan ha. IT-avdelingen oppdager ikke at man ikke har kontroll på sikkerheten, fordi ting fungerer. De tror at man er dekket med Salesforce-løsningen, eller hvis man har en SMS-kode eller noe annet, men det dekker ikke alle applikasjonene, advarer Gerrits.
En IAM-løsning lar også organisasjonen definere brukergruppene. Det er forskjell på selgere og regnskapsmedarbeidere. Systemet skal ta hensyn til om du er økonomisjef eller resepsjonsmedarbeider.
– Hvis en bruker først er logget inn med det jeg kaller sterk autentisering, for eksempel med et kort, så kan det godt være single sign-on til en masse applikasjoner som ikke er så følsomme. Men er du ansatt i regnskapsavdelingen, bør det ikke være single sign-on til regnskapsapplikasjoner. Da skal du ha en step-up — du skal logge inn igjen, ettersom du har tilgang til sensitiv informasjon, sier Gerrits.
– Det er dette som er tilgangskontroll. Hva er det du får tilgang til? Sikkerheten på en enkelt applikasjon skal være basert på din rolle, legger han til.
Gerrits minner om at man ikke er prisgitt det autentiseringssystemet som leverandøren av skytjenesten tilbyr. Man trenger ikke å bruke autentiseringsmetodene til Google, Salesforce, Microsoft eller andre, selv om man benytter deres sky-apper.
– Dessverre er det det man ofte ender opp med. Men da glemmer man at det finnes produkter som Thales Safenet Trusted Access, sier han.
Safenet Trusted Access er en skytjeneste som legger seg som en paraply over alle tjenestene som virksomheten benytter — både skyapplikasjoner, lokale applikasjoner og VPN-forbindelser. Den kan settes opp med sterk autentisering i form av smartkort, engangspassord og biometriske lesere, og kan gi brukeren single sign-on for bestemte applikasjoner.
– De aller, aller fleste virksomhetstjenester bruker standardprotokoller, slik at vi kan støtte dem i Safenet Trusted Access, forklarer Gerrits.
I Thales bruker selvsagt alle medarbeiderne Safenet Trusted Access. Det betyr at Gerrits selv har et smartkort som må inn i PC-en, slik at han kan logge på ved hjelp av en PIN-kode. Hvis han vil logge på via telefonen, bruker han en app.
– Det betyr at jeg har en passordløs autentisering. Definisjonen på passordløs er at du ikke bruker AD-passordet. Det beste med dette er at jeg får single sign-on til en rekke applikasjoner, og at jeg ikke trenger å huske en masse passord, sier han.
Da COVID-19 grep tak i forretningsverdenen og flere ble sittende på hjemmekontor, måtte virksomheter reagere raskt. Deres første prioritering var å opprettholde driften.
– Vi så at nesten alle virksomheter måtte gjøre justeringer i IT-miljøet. VPN-tilganger og implementering av nye sky-applikasjoner var definitivt en del av det, men det ble kanskje ikke tid til å implementere en IAM-løsning. Virksomheter som måtte gjøre slike justeringer bør nå ta et skritt tilbake og spørre seg om de gjorde det på rett måte, eller om det trengs nye justeringer, sier Gerrits.
Han poengterer at når mer og mer data konsumeres fra skyen, er ikke lenger de tradisjonelle måtene å beskytte tilgangen tilstrekkelige. Derfor har alle virksomheter behov for en IAM-løsning.
Espen Andreassen i Exclusive Networks, som er distributør for Thales Safenet Trusted Access i Norge, legger vekt på at løsningen gir økt brukervennlighet for sluttbrukeren, i tillegg til bedre sikkerhet. Selve tjenesten er rask og enkel å implementere, men en del av jobben er også en skikkelig prosess rundt risk management , definering av brukergrupper og tilgangsnivåer. Da kan Safenet Trusted Access konfigureres med best mulig balanse mellom brukervennlighet og sikkerhet.
– Dette kan virksomheten få hjelp til av våre partnere. Resultatet vil da være en god IAM-løsning som faktisk er en seier for både brukervennligheten og for sikkerheten, og det er ikke så ofte det skjer ved implementeringen av sikkerhetsløsninger, sier Andreassen og legger til:
– En annen verdi ved Thales Safenet Trusted Access er at det kan forenkle både onboarding og offboarding. En nyansatt kan tildeles alle nødvendige tilganger med riktig sikkerhetsnivå, og alle tilganger kan raskt og enkelt avsluttes når en ansatt slutter.
