Innbrudd og hackere er ofte ikke den reelle faren
– Vi finner nesten alltid admin-kontoer som ikke skal være der.
Geir Christensen
Om du ser for deg IT-systemene i bedriften din, kan du med hånden på hjertet si at det ikke finnes én eneste brukerkonto i systemet som har litt for mye unødvendig makt?
– Du er slett ikke alene om å ha den gnagende følelsen av at noen sitter med litt for mye tilgang, mener Geir Christensen i CA Technologies (CA). Han har en oppfordring som hele ledergruppen burde ta til seg:
– Om dere ikke har lært dere forkortelsen PAM, er det på tide nå. Bak de tre bokstavene skjuler det seg en rekke løsninger på problemer dere har og noen som dere ikke vet at dere har. Du kan ikke sikre det du ikke vet om, poengterer han.
PAM, som står for Privileged Access Management, tar kort fortalt for seg opprydning av tilgangsnivå i bedrifters IT-system, og mye, mye mer.
Finner nesten alltid hull i bedriftene
Christensen har lang erfaring innenfor sikkerhet i IT-bransjen, og har den seneste tiden fokusert sin innsats på PAM fra CA Technologies. Når de er ute og implementerer løsningene, kommer de sjeldent over løsninger der tilgangene er korrekt satt og fungerer slik man tror.
– Vi finner nesten alltid admin-kontoer som ikke skal være der. Vi finner også kontoer med dype adgangsnivåer, svake passord eller feil tilgang. Noen ganger finner vi også kontoer som er opprettet uten at noen vet hvorfor, og i andre tilfeller uten at man vet hvem som har opprettet dem, forteller han.
– Litt smak av gammel UNIX
For å skjønne hvordan vi alle havnet i det som noen ganger kan virke som en jungel av ulike brukere, tilganger og systemer, må vi skru tiden litt tilbake.
– Det er litt smak av den gamle UNIX-holdningen, der enkelte brukere hadde tilgang til alt i et IT-system. Mange bedrifter har gitt sine ansatte tilgang via disse mega-brukerne, ofte litt tilfeldig, sier Christensen.
For en som jobber i IT-bransjen er det ofte behagelig å jobbe med et tilgangsnivå som tilsier at du kan gjøre hva du vil og se i hver eneste krik og krok uten å måtte bekymre deg for begrensninger. De mer fornuftige administratorene har betraktet dette som et privilegium forbundet med stor risiko. En mega-bruker har tilgang til å gjøre alt de vil, som også innebærer en ubegrenset mulighet for å gjøre enorme tabber og ondsinnede handlinger.
– Bransjen snakker veldig mye om hackere og innbrudd i systemene, som om det er en stor overhengende fare som lusker utenfor vinduene til bedriften. Sannheten er at de fleste store datainnbrudd kommer innenfra, og da veldig ofte fra personer som har ubegrenset med tilganger i sin innlogging. De har alle muligheter til å gjøre hva de vil i systemene, og det er ingen mulighet til å overvåke dem med mindre man etablerer en PAM-løsning, sier Christensen.
Stadig mer komplekse systemer
Siden UNIX-dagene har antall plattformer økt drastisk, mange har tatt dem helt eller delvis ut i skyen og har en organisasjon der langt flere personer skal ha dype tilganger. Samtidig blir kravene til personvern og datasikkerhet bare strengere og truslene øker. Det skaper utfordringer.
– PAM er en del av hele dette komplekse bildet. Det handler ikke bare om å begrense hva folk kan gjøre med sine kontoer, for de trenger også frihet til å gjøre jobben sin.
Geir Christensen
– Ta en overlege på et sykehus, hva slags brukertilgang skal denne legen ha til ulike deler av svært mange forskjellige systemer? Hva skjer når legen går fra sin avdeling, til en utenfor ansvarsområdet sitt? Skal legen kunne lese alle journaler på tvers av hele sykehuset? Hva skjer i en nødsituasjon? Dette er en slik problemstilling som PAM er med på å redusere, når brukernivået og adgangen blir mulig å kontrollere, sier Christiansen.
Det mangler ikke på hendelser i de ulike institusjonene landet over, der uautorisert adgang til informasjon har skapt skandaler av større eller mindre grad. Nå som den nye personvernforordningen GDPR banker på døren om bare noen måneder, er etterrettelighet viktigere enn noensinne.
– GDPR gir oss alle en mulighet til å fokusere på hvem som har tilgang til hva, og i hvilke systemer. Det er spesielt innenfor offentlig sektor vi ser at man virkelig har våknet og sett til PAM og likende løsninger, forteller han.
Endelig en oversikt
PAM-løsningen kan gi et oversiktsbilde over hvem som har adgang til hvilken del av informasjonen, men også nøste opp en konkret sak dersom en konto eller et tilgangsnivå har blitt misbrukt. Det er dagsaktuelt fordi GDPR-direktivet ikke bare handler om personvern, men også om krav til å finne ut av om noe galt skjer eller har skjedd, og når det har gått galt, hva som skjedde.
– PAM er en del av hele dette komplekse bildet. Det handler ikke bare om å begrense hva folk kan gjøre med sine kontoer, for de trenger også frihet til å gjøre jobben sin. Det handler om etterrettelighet og kunne vite at om noe informasjon blir misbrukt, så skal man kunne finne synderen og rydde opp.
– Kort sagt skal du vite hvem som gjør hva, hele tiden, avslutter Christensen.