ANNONSEBILAG FRA DATA EQUIPMENT

Hugo Fernandez, salgssjef i Data Equipment.
Hugo Fernandez, salgssjef i Data Equipment.

Hvis du tror du har passordene dine for deg selv, må du tro om igjen

Du har kanskje opplevd det selv, eller hørt det fra en venn eller kollega: «E-posten min er hacket!». Sannheten er dessverre langt mer ubehagelig enn som så.

ANNONSEBILAG FRA DATA EQUIPMENT
ANNONSEBILAG FRA DATA EQUIPMENT

«Hackers don’t break in, they log in» har blitt en klassiker siden CISO i Microsoft, Bret Arsenault, ytret setningen for noen år siden. Men hva ligger egentlig i dette? Svaret er utenkelig, men likevel åpenbart: Passordene dine er på avveie.

Hvis du fryktet at uvedkommende gikk rundt med husnøklene dine, ville du kanskje ha vurdert å bytte lås. Den samme materielle kontrollen er imidlertid vanskelig å ha for digitale nøkler og passord. Derfor er det egentlig bare én strategi som fungerer: Anta at passordene dine er på avveie, og handle deretter! Heldigvis finnes det flere måter å stikke kjepper i hjulene til de digitale kjeltringene på. Det finnes noen enkle tiltak vi gjerne vil dele.

Denne «guiden» er elendig, så hvorfor følger du den?

Du har helt sikkert vært med på runddansen fra «passordet må inneholde» via «passordet er for kort» til «du kan ikke bruke et tidligere benyttet passord» en eller flere ganger. Vi skjønner at det kan oppleves som både unødvendig og tidkrevende, men dessverre ser vi likevel at dette gjerne fører til unnasluntring på en rekke punkter, der brukere:

· har korte passord

· har samme passord på flere tjenester

· har standardpassord fra produkt (password123)

· har passord som er enkle å gjette seg frem til (typisk fødselsdato eller qwerty)

· har samme passord over lang tid

Summen av dette gjør deg sårbar, og dermed til et enkelt bytte for hackere, sier Hugo Fernandez, salgssjef i Data Equipment. Et ankepunkt for lange, unike passord er at det er vanskelig å huske dem. Dette gjelder særlig for tjenester du ikke logger inn på jevnlig, og mang en bruker har nok innboksen sin fylt opp med engangskoder fra glemt passord-tjenester. Skal du oppbevare passordene dine et sted, bør du gjøre dette analogt (penn og papir), ved hjelp av en digital nøkkelring eller rett og slett bruke en sikrere innlogging enn passord. Mer om slike løsninger senere.

Passord tilhører fortiden

Eller «passord er hjernedødt», som prisvinnende gravejournalist Jonas Alsaker Vikan så pent sa det fra scenen på Securithon 2022. Han står bak prosjektet Lekkelandet fra 2019, der han sammen med journalistkollegaene Espen Rasmussen og Jonas Nilsson fikk tilgang til en database med 1,4 milliarder rader med e-postadresser og passord. I dette materialet fant de over 600 000 passordlekkasjer de kunne knytte til Norge – fra privatpersoner, mediebransjen, politi og helseforetak.

Har du noen passord du ikke har endret de siste par årene? Ditt første kjæledyr, kanskje? Eller Favorittfotballag123? Vel, da er det ganske trygt å anta at de allerede befinner seg hos uvedkommende.

NSM, NorSIS, Datatilsynet, Digdir og flere kommer stadig med gode råd om passord og passordfornuft. Det som sjelden snakkes om, er hvilke bedre alternativer det finnes der ute. Brukernavn og passord, uansett hvor kreative og gjennomtenkte, er sårbare for angrep – og angrepene kommer.

Men hvis ikke passord, hva da?

Skal du inn i nettbanken din bruker du BankID, og logger du inn på jobb-PCen din på et offentlig nettverk må du mest sannsynlig totrinnsverifisere deg.

Single Sign-on (SSO) er avgjørende for en fungerende, skalerbar, bruker- og administratorvennlig løsning. Det kan virke komplisert å få satt i stand, men det er langt fra sannheten. Noen få enkle trinn kan hjelpe deg med å gjøre pålogging smidig og enkel, selv uten bruk av passord:

1. Etablerer SSO som en sentralisert og skalerbar løsning

2. Knytt løsningen mot f.eks Azure AD med sin brukerdatabase

3. Benytt en brukervennlig MFA-løsning ved siden av (f.eks Duo Security)

Summen av disse enkle tiltakene gir deg en løsning som gjør dette nettopp håndterbart og brukervennlig. Med grunnmuren på plass, kan du deretter knytte tjeneste etter tjeneste opp mot løsningen – uten å involvere brukerne.

Nøkkelen til god sikkerhet ligger i gode administrasjonssystemer, og det er administratoren som spiller hovedrollen. En oppdatert sikkerhets- og systemadministrator godtar nemlig premissene om at passord både er usikre og utdaterte, og agerer deretter – overalt. Dessuten har administratoren en skikkelig tilgangskontroll.

Tilgangskontroll, også kjent som tilgangsstyring eller aksesskontroll, er et sett med retningslinjer og regler for å styre hvem som skal ha tilgang til hvilke data, systemer eller tjenester i virksomheten. Risiko for tap av verdifull data, samt nedetid på kritiske IT-systemer, har ført til at virksomheters IT-miljøer verden over har satt tilgangskontroll på agendaen. Uautorisert brukere og enheter kan potensielt være ekstremt skadelig for virksomheten, sier Fernandez.

Riktig tilgangskontroll sikrer at tilganger til virksomhetskritiske data, tjenester og funksjoner kun gis til de som oppfyller et sett med forhåndsdefinerte krav. Med en solid SSO-løsning og MFA-løsning på plass, har du lett tilgjengelig tilgangskontroll, og kan enkelt fjerne og moderere tilganger ved for eksempel endring i ansettelsesforhold.

Hvordan er tilgangskontrollen i skyen din?

Les «Hvor sikker er egentlig skyen din? En sjekkliste i 3 faser»

Men ikke på kontoret, vel?

Det kan oppleves som lite brukervennlig å måtte bruke SSO eller MFA på kontorpulten eller i egen stue. Men tilbake til det med nøklene dine; det føles vel ikke så unødvendig å måtte låse seg inn på kontoret eller hjemme heller? Det er her administratoren kan gjøre en forskjell. Ved å gå grundig til verks med en nøye planlagt sikkerhetsstrategi, bevisstgjør du brukerne på hva de faktisk beskytter. Fokuset må være på hva vi beskytter, og hvorfor. Verdi og risiko.

Unntak for MFA på kontoret kan forbindes med en gammel og forhistorisk perimeterbasert tankegang. Det er også gjerne et resultat av du i utgangspunktet benytter løsninger som ikke er særlig brukervennlige, og som du derfor ønsker å spare brukerne for bryderiet med å gjennomføre daglig. Spørsmål man sitter igjen med, er hvorfor du i alle dager skal ha klienter bak en brannmur? Få klientene ut og sørg for et markant sikkerhetsløft i samme slengen.

En sentralisert løsning med gode integrasjoner behøver ikke gi et frustrerende brukergrensesnitt i det hele tatt hvis gjort riktig. De fleste ansatte har i dag en smarttelefon, og vanskeligere trenger det faktisk ikke å være. Duo Security gir en strømlinjeformet, pushbasert påloggingsopplevelse, samtidig som du ivaretar informasjonssikkerheten.

Zero Trust!

Enten du velger SSO, MFA eller begge deler, bør strategien være tuftet på de samme prinsippene. Det nytter lite å låse hoveddøra med både sikkerhetslås og kamera, hvis du lar bakdøren stå ulåst og ubevoktet. Det holder rett og slett ikke å sikre hovedporten. Data Equipment anbefaler sikkerhetstiltak på domenekontroll, backupserver, printserver, managementserver, brannmur og ja, i det hele tatt på alt som kan sikres.

Internkommunikasjon er avgjørende for å lykkes med en Zero Trust-strategi. På lik linje med å bruke nøkkelkort til toalettet, vil totrinnsverifisering til det digitale morgenmøtet oppleves som svært unødvendig. Her er vi igjen inne på forholdet mellom verdi og risiko – og det bør være nettopp forholdsmessig. Mentaliteten er likevel viktig! Uønskede hendelser skjer i tillatt trafikk, og ved å implementere en allmenn bevisstgjøring om at den lille ekstra jobben det tar å benytte SSO eller MFA er verdt det, har du allerede kommet langt på vei!

Les mer om Zero Trust

Avslutningsvis har vi noen tørre oppfordringer til administratoren:

· Sikre Security Assertion Markup Language (SAML)-støtte for applikasjoner, eksternt OG internt. Ha dette som et RFP-/funksjonskrav.

· For løsninger som ikke støtter SAML/SSO, sikre MFA i brannmuren med nettverksbasert autentisering.

· Ha med fysiske tokens i diskusjonen. Dette kan være fordelaktig for økt sikkerhet på administratorkontoer, men også for kritiske systemer.

· Lurer du på hvordan du skal gå frem for å sikre dataene dine? Sikkerhetsekspertene til Data Equipment tar gjerne en uforpliktende prat med deg om akkurat din virksomhets IT-sikkerhet.