Et nyt fundament for IT-sikkerhed

Hand holding a wooden brick.

This post is also available in: Engelsk


Blog af Bjarke Alling, Koncerndirektør i Liga og formand for det Nationale Cybersikkerhedsråd i Danmark.


Det bliver stadig mere krævende for virksomheder og myndigheder at håndtere IT-sikkerhed i takt med, at flere opgaver bliver digitaliseret. Her er derfor behov for en helt ny tilgang i den måde vi tænker på IT-sikkerhed – og for, at sikker digital identitet afløser usikker analog identitetskontrol.

Ved at kombinere effektiv brugerstyring og cybersikkerhed kan man eliminere en lang række af de sikkerhedsbrister, som hærger virksomheder og offentlige organisationer. Kombinationen af brugerstyring og cybersikkerhed kan give brugerne en sikker digital identitet, som blandt andet gør passwords helt overflødige. Dermed bliver en række IT-sikkerhedstrusler helt irrelavante eller reduceres til et minimum. Det drejer sig om:

Ransomware

Ransomware kan medføre store omkostninger til reetablering og tab i forbindelse med nedetid. Med sikker digital identitet kan denne risiko reduceres ved at:

  • Minimere rettigheder ift. maskiner, it-systemer og data, eksempelvis read-only frem for fuld adgang. 
  • Deaktivere konti ved orlov, barsel, ferie osv.

Insider svindel

Svindel med udbetaling af penge, afpresning og spionage kan kraftigt reduceres med sikker digital identitet fordi:

  • Brugeres rettighed detailstyring via roller.
  • Den digitale brugerid ikke kan kopieres af en kollega eller andre.

Tab af data

Risikoen for tab af borgerdata som følge af hacking og utilsigtet tab af data som følge af en menneskelig fejl minimeres med sikker digital identitet gennem:

  • Stærk kontrol ift. både fysisk og digital adgange
  • Brug af kryptering
  • Anvendelse af en brugerid metode hvor ID ikke kan aflures eller stjæles

Fælles for alle tre er gennemgående tab af borgernes tillid til det offentlige.

Den traditionelle tilgang til IT-sikkerhed, som i dag hersker i langt de fleste organisationer, kan ikke håndtere ovenstående problemer. Derfor er der behov for et skift til en nyt sikkerhedsgrundlag, der inkluderer brugerstyring.

Der er to primære grunde til, at tiden kræver en bedre sikker digital identitet fremfor de traditionelle passwordbaserede beskyttelses- og adgangssyste­mer:

1. Truslen er blevet for stor

Cybertruslen vurderes internationalt som blandt de fem største globale trusler. World Economic Forum har i deres »The Global Risks Report 2019 14th Edition« placeret datasvindel og tyveri og generelle cybertrusler på top-5-liste over globale trusler – og dette er blot en af mange vurderinger med meget høj grad af troværdighed, der beskriver cybertruslen som aktuel og meget alvorlig.

2. EU kræver to-faktoradgang

Lovgivning og internationale standarder kræver forandringer: Den gængse passwordbeskyttede adgang til elektroniske informationer opfylder ikke længere internationale standarder og euro­pæisk lovgivning på området, herunder Digitaliserings­styrelsens »National Standard for Identiteters Sikringsniveauer (NSIS)«, ISO/IEC-standarden »Styring af informationssikkerhed – (ISO/IEC 27001)« og endelig EU’s Persondataforordnings (GDPR) artikler 25 og 32.

En ny tilgang til IT-sikkerhed må derfor basere sig på en ny tilgang til de grundlæggende problemstillinger.

I dag er digital identitet baseret på analoge identificeringspunkter. Det betyder i praksis, at vi tager en fysisk identifikation og konverterer den til et digitalt. Det kan være fingeraftryk, ansigtsgenkendelse, iris-identifikation, stemmegenkendelse eller det endnu mere udbredte – og usikre – password.

Compliance

Analogt til digitalt = fail!

Fælles for disse identifikationsmodeller er, at udgangspunktet er et analogt input, der konverteres til en digital nøgle. Netop den proces har én afgørende svaghed: Man kan ikke være 100 pct. sikker på, at inputtet kommer fra den rette person. Med rette snilde kan alle disse metoder hackes eller omgås.

Internationale rapporter anslår, at 81% af alle hacking-relaterede databrud skyldes enten stjålne og/eller svage passwords. I dag er passwords ikke længere en sikkerhed, men et symptom på et større problemkompleks, der kun kan tackles gennem en omlægning af den måde, vi verificerer os selv på digitalt. Hvor passwordet kun løser den ene opgave at give et individ adgang til én service, står vi i dag i en situation, hvor en ny medarbejder i en virksomhed skal have adgang til et udvalg af flere hundrede IT-systemer.

Problemet ligger i konverteringen fra det analoge til det digitale. Langt hovedparten af vores IT-sikkerhedsproblemer baserer sig på, at vi ikke kan have fuld tillid til personers og virksomheders digitale identitet.

Løsningen ligger lige for. Vi må ændre måden, hvorpå vi identificerer os digitalt fra at have et analogt udgangspunkt til at have et digitalt udgangspunkt. Heldigvis er der mange løsninger på markedet, der kan netop dét.

Identifikation er kernen i IT-sikkerhed

Sikker digital identitet baserer sig på en 100 pct. digital identifikation og tager udgangspunkt i personen. For at nå målet om regulatorisk overholdelse og effektive sikkerhedsprocedurer bør større virksom­heder og organisationer se på brugerstyrings­processen som et samlet hele. Dette betyder, at man skal indføre en simpel, cirkulær proces bestående af 4 trin:

  • Opret
  • Udsted
  • Anvend
  • Revidér

Opret

Hver gang en organisation får nye medarbejdere, vikarer eller konsulenter, skal organisationen traditionelt bruge tid på at tildele de nye adgang til en række systemer. Mange steder vil IT-afdelingen tildele hver medarbejder ét login til først Windows og Active Directory, men også individuelt i mange øvrige interne og eksterne systemer. Det er ikke bare en tidskrævende procedure for IT-afdelin­gen. Det kan også forsinke, hvornår en medarbejder er fuldt klar til at kaste sig over sine nye opgaver samt medføre fejl, der i sjældne tilfælde endda kan have alvorlige eller fatale konsekvenser.

Vælger en organisation derimod at bruge en cen­traliseret brugerstyringsløsning (Identity Manage­ment – IDM), oprettes nye brugere automatisk i IT-systemet, ligesom ophørende brugere automatisk deaktiveres eller slettes. En af fordelene ved auto­matisk håndtering af brugeradgang er, at IT-afdelin­gen sparer mange ressourcer på at skulle oprette og slette medarbejdere manuelt. Ved en effektiv auto­matisk oprettelsesproces vil hver enkelt bruger derimod få rettigheder til at tilgå systemer og informationer tildelt på baggrund af personens rolle i organisationen.

Her er fordelen ikke blot, at brugeren kun har præcis de rette adgange. Man eliminerer også en væsentlig risiko for, at medarbej­dere uretmæssig får tildelt rettigheder, som vedkommende ikke skulle have haft i første omgang.

For at overholde gældende lovgivning vil et bruger­system også tilsikre, at oprettelse af brugeren dokumenteres i forhold til krav om et eventuelt fysisk fremmøde og fremvisning af identitetsdokumenter.

Udsted

Udstedelsen er et kortvarigt, men meget vigtigt element i opgaven med at sikre, at den fysiske person også ”bliver” den tilsvarende digitale person. For at dette kan fungere, skal dette procestrin fore­tages af brugeren selv. Brugeren skal:

  • selv bekræfte sin identitet
  • selv angive sin adgangskode og sin pinkode til et chipkort
  • selv godkende sit medarbejderfoto
  • Selv danne sin digitale nøgle

Kun på den måde kan organisationen og omverdenen vide sig sikker på, at man er den, man siger, at man er.

Dannelse og udstedelse af den digitale identitet sker gennem en selvbetjeningsproces, hvor hver medarbejder nemt kan udstede og eventuelt også printe sit eget adgangskort med foto, navn, titel og lignende. Den enkelte medarbejder sørger også selv for medarbejderfoto til adgangskortet og udsteder selv sin digitale adgang.

Processen er nem at håndtere for den enkelte bruger, frigiver ressourcer i IT-afdelin­gen og sikrer, at organisationen overholder gælden­de lovgivning og interne procedurer.

Med en god selvbetjeningsproces kan en virksom­hed eller organisation som f.eks. et hospital, bank eller kommune sikre, at medarbejderen har korrekte, sikre digitale it-adgange.

Anvend

I alle større organisationer arbejder man i mange forskellige systemer, og det er besværligt og tidsrøvende for medarbejderne at håndtere individuelle logins til hvert enkelt sy­stem.

Sikkerhedsprocedurerne bliver mere smidige og effektive med en automatiseret og integreret sikkerheds­adgang baseret på sikker digital identitet med chipkort. Samtidig opleves  disse procedurer ikke længere som et besværligt og forsinkende element for medarbejdere.

Følges processens første to trin med opret og udsted er vejen ganske kort til at sikre, at medarbejderne bruger to-faktor-login, hver gang de logger ind på deres systemer. Med to-faktor-login er der ikke længere risiko for, at medarbejderes login-informationer bliver kendt af andre på grund af utilsigtet deling eller phishing. Man kan nemlig hverken dele sin adgang eller kopiere et chipkort.

To-faktor-login sikrer også regeloverholdelse, når HR-medarbejdere skal have adgang til personføl­somt materiale eller når medarbejdere f.eks. skal arbejde med eller dele dokumenter, der indeholder følsom­me oplysninger. Samlet sænkes risikoen for, at ens interne computersystemer bliver kompromitteret, når adgangen til systemerne kræver to-faktor-login.

Revider

I processens sidste trin vurderer man, om processens foregående tre trin lever op til danske og internatio­nale love og standarder samt organisationens egne interne politikker. Området er meget bredt, men helt generelt er det nødvendigt med digitale styrings­værktøjer for både at bevare et overblik, men sam­tidig at kunne gennemføre de nødvendige og ønskede kontroller.

Compliance management er en proces, som sik­rer at de rette personer har de rette rettigheder og følger de rette regler. Det centrale er, at organisationen med regelmæssige mellemrum og i nogle tilfælde kontinuerligt evalu­erer, om regler og rettigheder overholdes. Processen skal sikre, at rettighedsejere systematisk autoriserer eller re-autoriserer de brugere, som har fået tildelt adgang til det eller de it-systemer, som rettigheds­ejeren er ansvarlig for. Det er også her, man ser på logfiler, fejlede logins og tilsvarende andre anomali­er.

Procespunktet giver et godt grundlag for organisa­tionen til rutinemæssigt at evaluere, om:

  • der skal justeres på regler og rettigheder
  • brugere skal deaktiveres eller slettes
  • overholdelse af gældende regler og love.
  • gældende processer og heraf tekniske setup for en sikker digital identitet har den ønskede robusthed og nødvendige kapacitet til at modstå aktuelle og fremtidige cybertrusler.
Card security

Systematiseret identifikation

Konklusionen er, at med brugen af sikker digital identitet og chipkort følger en meget høj grad af it-sikkerhed. I tilgift får organisationen en langt mere enkel og smidig drift fordi bøvl med passwords, rettigheder og manuelle håndteringer fjernes. Således bliver elementet ”anvend” i den fireledede cyklus: Opret, Udsted, Anvend og Revidér et aktiv til at sikre compliance og en høj grad af sikkerhed.

Det er et vigtigt trin i arbejdet med at sikre, at der implementeres og anvendes nye, sikre metoder, som samtidig er enkle at benytte og som opfylder europæiske love for datasikkerhed.

Sådan kommer man i gang med sikker digital identitet >


Hvidbog: Sikker Digital Identitet

Udfyld formularen, så modtager du et link, så du kan downloade bogen om Sikker Digital Identet!

Hvidbogen beskriver hvilke muligheder større virksomheder, organisationer og kommuner har for at indføre et eller flere elementer, der skal styrke sikker digital identitet internt og eksternt, og som opfylder både dansk lov og EU-lovgivning for databeskyttelse og datasikkerhed.