Denna artikel publicerades i Computerworld den 24 maj 2024 (på norska). 

Många företag investerar stora summor i avancerade säkerhetsprodukter och dyra tjänster för att förbättra sin säkerhet, men glömmer ofta det grundläggande.

Vet företagen alla identiteter och applikationer som har tillgång till deras system, och är dessa tillräckligt säkrade?

Detta är avgörande, eftersom cirka 80 procent av dataintrång börjar med att en hackare får tillgång till och kontroll över en identitet. Fler och fler företag flyttar till molnet, och med företagsdata tillgängliga på internet blir denna fråga ännu mer relevant.

Konsekvenserna av sådana intrång kan vara förödande för en organisation. Det kan inte bara leda till betydande ekonomiska förluster och förlust av konfidentiell information och integritet, utan det kan också resultera i en förlust av förtroende från kunder och partners. Dessutom kan organisationen möta stora böter från regulatoriska organ, och dess rykte kan skadas avsevärt. I genomsnitt kostar ett dataintrång ett företag nära 5 miljoner USD. Därför är det avgörande att företag tar cybersäkerhet på allvar och implementerar robusta strategier för identitets- och åtkomsthantering för att skydda sig mot sådana angrepp.

Vikten av att Kontrol lera Identiteter

När företag flyttar identiteter och applikationer till molnet ökar möjligheterna, men det gör också komplexiteten. Många tror att lösningar för Identity Access Management (IAM) och kontroll i HR-systemet är tillräckliga, men Microsofts användarkatalog, Entra ID, innehåller vanligen många fler identiteter. National Security Authority (NSM)- riktlinjer säger att du bör veta vilka alla dina användare är. Och du bör veta vilka rättigheter de har. IT-avdelningar vi pratar med förstår ofta vad vi menar när vi ställer dessa kontrollfrågor vid våra kundmöten:

• Vilka gäst användare har tillgång till din miljö?

• Vilka administratörsanvändare har du?

• Hur många servicekonton finns i din miljö?

• Hur många testanvändare finns det i din tenant?

• Vet du vilka rättigheter dina applikationer har, och var de loggar in från?

Med många användare och omsättning i ett företag är det utmanande att uppnå tillfredsställande kontroll över en fråga som blir allt viktigare.

Ett verkligt exempel var när Microsoft nyligen själva utsattes för ett dataintrång. En grupp associerad med den ryska underrättelsetjänsten lyckades utnyttja en sårbarhet i en test-tenant som Microsoft hade skapat för utvecklingsändamål. I den hade de skapat en applikation som installerades i produktionstentan som vilken annan SaaS-applikation som helst. Applikationen fick orimligt höga rättigheter, och i själva testtenant blev användarkontona inte tillräckligt skyddade, vilket resulterade i att angriparna tog kontroll över den. Genom att använda testapplikationens tillgång till produktionstenten fick de tillgång till alla e-postkonton och kunde övervaka e-postmeddelanden som skickades både internt och externt under flera månader. Detta visar hur små svagheter i identitets- och åtkomsthantering kan utnyttjas för att utföra omfattande säkerhetsintrång.

Andra exempel från förra året inkluderar kommuner i norra Norge där de försökte få tillgång via komprometterade externa konton, och det finns flera dokumenterade fall i både Sverige och Danmark.

Framtiden och Nya Krav

Med fler och fler företag som tar till sig ett brett utbud av SaaS-applikationer, särskilt de som är integrerade med plattformar som Microsoft, blir behovet av omfattande åtkomstkontroll ännu mer kritiskt. IAM-verktyg spelar en avgörande roll i att hantera dessa tillgångar, men de är inte alltid tillräckliga. Även om IAM-verktyg ger regler och policys för att automatisera åtkomsthantering för anställda och underleverantörer, behövs ytterligare verktyg och processer för att säkerställa en omfattande översikt över vem alla identiteter faktiskt är, inklusive gäster, applikationer och andra konton som IAM-lösningen inte "äger." Genom att implementera sådana lösningar kan företag bättre skydda sig mot interna och externa hot, upprätthålla datasäkerhet och följa regulatoriska krav.

Framöver kommer god kontroll över dessa utmaningar att bli ett krav från EU och myndigheter genom olika direktiv som NIS1, NIS2 och CER. Dessa direktiv kommer att öka ansvaret för företagsledning, och om de inte följs kan företag få stränga påföljder i form av böter upp till flera miljoner kronor. Detta ställer betydande ansvar på IT-avdelningar, som kan hållas ansvariga om företag drabbas av stora kostnader, antingen i form av böter eller om ett dataintrång inträffar.

Sammanfattning

Som vi ser är kontroll över användaridentiteter en kritisk men ofta förbisedd del av cybersäkerhet. Med alltmer sofistikerade hot och ökat tryck från myndigheter är det avgörande att företag vidtar åtgärder för att säkerställa en solid identitets- och åtkomsthanteringsstrategi. På Bsure ser vi att fler och fler också anser detta extremt viktigt, men vi möter även många som väljer att inte prioritera det och förlitar sig på historiska processer för hantering av användaridentiteter, en strategi som vi inte tror kommer att löna sig i längden.