Risikobasert autentisering øker produktiviteten

Av Berit Bekkevold, senior informasjonssikkerhetskonsulent

Når virksomheter vurderer egen sikkerhetsrisiko, er Risikoen for at eksterne aktører får tilgang til våre bedriftsinterne dokumenter eller personopplysninger blant de mest vanlige. Sannsynligheten for at dette skjer vurderes ved å definere hvilke trusselaktører som ønsker tilgang til verdiene i virksomheten, og hvilke sårbarheter de kriminelle må utnytte for å klare dette.

Når de kriminelle først er på innsiden

Som sikkerhetseksperter, er ett av spørsmålene vi belyser når vi bistår kunder - Hvilke eksterne aktører kan være interessert i bedriftens verdier, og hvilke ressurser har de til rådighet for å få tilgang til disse?

Dessverre kreves det verken gode tekniske ferdigheter eller store ressurser for å gjennomføre et phishing-angrep, og derfor er dette en angrepsmetode som de fleste trusselaktører benytter seg av. Har uvedkommende først kommet seg på innsiden er det oftest kun rutinene for behandling av bedriftens opplysninger som står mellom de kriminelle og sensitive data.

For ett år siden ble passordene til over 600 000 nordmenn gjort tilgjengelig på nett som følge av et omfattende dataangrep. Lekkasjene stammet fra et hackerangrep i 2012, og opplysningene ble først solgt på det mørke nettet i 2019 (Les mer om saken på E24).

I 2019 ble en sårbarhet utnyttet ved Norges Handelshøgskole for å komme innenfor høgskolens systemer, og angriperne fikk dermed tilgang til ukrypterte passordlister (Les om saken i Universitetsavisa). Begge tilfellene er eksempler på passord og brukernavn på avveie, og det representerer høy risiko for de virksomhetene det gjelder.

Hva vil utfallet være dersom en cyberkriminell kan autentisere seg som en administrator og få tilgang til alle data i din virksomhet?

Som sikkerhetsrådgivere erfarer vi at passord og passordlister dessverre alt for ofte blir liggende ubeskyttet, i klartekst, på brukernes felles lagringsplass, eller i e-postservere. Dette er dokumenter som Watchcoms sikkerhetstestere enkelt finner på sine oppdrag, og slike dokumenter kan trusselaktører bruke for å få ytterligere tilgang i systemene, og da med administratorrettigheter.

Over 40% klikker på feil lenker

For å måle hvor sårbar virksomheten er mot phishing-angrep, gjennomfører vi phishingtester. Vi sender ut e-poster som likner den typen e-poster ansatte kunne fått av virkelige trusselaktører. Testene viser at så mange som 40% av de ansatte klikker på linkene, og at det går kort tid fra testen sendes ut til førstemann har klikket på linken og gitt fra seg sitt brukernavn og passord. Ingen bransje peker seg ut – dette gjelder alle typer virksomheter.

Sikring av ansattes identitet blir litt for ofte knyttet til strenge og komplekse rutiner, og blir en utfordring fordi tiltakene kan oppfattes som å stå i veien for produktivitet og effektivitet. Dette gjelder spesielt i miljøer hvor flere deler PC eller der tilgang til mobiltelefon enten er begrenset eller under strenge restriksjoner. Da havner vi fort i en situasjon hvor sikkerheten gjør oss mer sårbare – fordi implementeringen ikke tar hensyn, eller står i stil, til risikoen ved brudd på konfidensialiteten og integriteten til dataene.

To-faktorautentisering er ikke nok

Implementering av to-faktorautentisering foreslås ofte som sikkerhetstiltak for å redusere mange risikoer knyttet til eksterne trusselaktører, men det hjelper ikke like godt mot trusselaktører fra innsiden («insidere»), og medfølgende tap av integritet i opplysningene som skal beskyttes.

To-faktorautentisering er, etter vår oppfatning, heller ikke tilstrekkelig gitt dagens sofistikerte trusselaktører og de ressurser mange av disse gruppene besitter.

Kartleggingen av virksomhetens verdier, sårbarheter og trusler står sentralt for å kunne vurdere og iverksette de riktige tiltakene for å sikre virksomheten og brukerne, ifølge ISO/IEC 27001, NIST Cyber Security Framework og NSMs Grunnprinsipper for IKT-sikkerhet 2.0.

Kartlegging av brukere og deres behov for tilgang er derfor et viktig element, og Nasjonal Sikkerhetsmyndighet (NSM) påpeker viktigheten av å definere hvem som bør ha tilgang til hva, og sikre deretter.

Juster tiltak ut fra behov og kompleksitet

Basert på vår erfaring anser vi det som mest effektivt å oppnå god sikring av verdier ved både å autorisere tilgang ut fra behov og øke kompleksiteten i sikkerhetstiltakene basert på en vurdering av risiko for at dataene som beskyttes havner i gale hender. Med andre ord innta en risikobasert tilnærming til autentisering.

Virksomheter som etablerer gode mekanismer for autentisering av brukerne, uten at det går på bekostning av produktiviteten, har større sjanse for å motstå et angrep enn virksomheter som pålegger ansatte et strengt og komplekst passordregime.

Innføring av multifaktor-autentisering regnes som svært effektivt for å skru ned risikoen og bidra til økt sikkerhet, men det kan det ofte være en høy terskel for å implementere det i virksomheten. Brukerne må endre vaner, virksomheten må implementere en ny og sikrere infrastruktur for autentisering og utarbeide nye retningslinjer og brukerinstrukser for brukerne og driftspersonale.

Skap felles forståelse

For at virksomheten skal lykkes med å ta i bruk flere faktorer ved autentisering, må alle ha en felles forståelse for hva som sikres og hvorfor, og retningslinjer basert på dette. God kjennskap til trusselbildet, og de ulike aktørene, kan bidra til å øke bevisstheten blant de ansatte, og alle må få god opplæring i bruk av autentiseringsfaktorene, og se fordelene ved å autentisere seg sikkert.

Vår anbefaling er å investere tid og ressurser i holdningsendringer og i selve innføringen av nye rutiner og mekanismer for multifaktor-autentisering.