It-sikkerhedskonsulenter: For mange virksomheder sjusker alvorligt med bruger-adgangen til it

Illustration: leowolfert/Bigstock
Unge ansatte og vikarer kan ende med at få adgang til fortrolige virksomhedsdata, fordi der ikke er styr på brugerens adgangsrettigheder til it-systemer, mener flere sikkerhedskonsulenter.

Alt for mange virksomheder har ikke tilstrækkelig styring af brugernes adgang til software, hvilket både øger sårbarheden over for cybercrime-angreb, er i strid med den nye EU-persondataforordning og koster dyrt.

Det siger Jørgen Sørensen, som er partner i Security & Technology, PwC.

»Mange virksomheder har en alvorlig udfordring med at styre adgangen til deres it-systemer. Hvis man ikke har styr på adgangen til sine softwaresystemer og dermed data, får hackerne det nemmere, for man øger antallet af angrebspunkter,« siger han til Version2.

Det er ikke ualmindeligt, at helt almindelige medarbejdere får tildelt fuld adgang til hele systemet og dermed kan tilgå alt – fra salgstal og lagerdata til administration af hele virksomhedens lønninger.

»Men hvis alle ansatte har fuld adgang til alt, øger det selvfølgelig muligheden for, at hackere finder et offer blandt de ansatte, - og det problem eskalerer selvfølgelig, hvis man har mange ansatte,« siger han.

Udtalelsen fra PwC kommer på baggrund af en undersøgelse fra EG, som viser at 7 ud af 10 virksomheder med Dynamics AX-installationer i Norden ikke har overblik over, hvilke medarbejdere der har adgang til hvad i deres it-system.

Den manglende fokus på licenser er en følge af, at der ofte ikke eksisterer en samlet instruks for adgang og sikkerhed i it-systemet, og at it-afdelingen derfor ikke ved, hvilke ansatte der skal have adgang til hvilke dele af systemet.

»Kombinationen af disse faktorer betyder, at mange it-afdelinger som udgangspunkt vælger at give fuld adgang, fordi det er den eneste måde, hvorpå de kan sikre, at medarbejderen kan tilgå de dele af systemet, han eller hun skal bruge,« fortæller Steffen Meyer, der er salgsdirektør, Business Development, i EG, ifølge en pressemeddelelse.

Teknisk direktør Jacob Herbst, Dubex, ser problemet med mangelfuld administration af brugerrettigheder 'overalt og allevegne':

»Mit bud er, at mindst 90 procent af alle danske virksomheder har alvorlige fejl i deres brugerrettigheder. Men det er blevet bedre de seneste par år, og vi ser efterhånden kun sjældent de mest alvorlige tilfælde, hvor man f.eks. har givet samtlige medarbejdere administratorrettighed,« siger han til Version2.

Sjusk kan være ulovligt

Ikke alene øger sjusk med adgangsrettigheder den konkrete sårbarhed over for it-kriminalitet. Man vil som virksomhed også komme på kant med lovgivningen.

Den nye persondataforordning stiller nemlig krav om en langt mere professionel styring af adgangsrettigheder.

Bl.a. kræver forordningen, at virksomheder identificerer de systemer med persondata, hvor et læk kan medføre en alvorlig konkvens for kunden – og adgang til sådanne data skal ske på et dokumenteret og ledelsesbaseret grundlag, anfører PwC.

»Men i mindre og mellemstore virksomheder er der ofte ikke et tilstrækkeligt fokus på, at man f.eks. med fællesbrugere – som stadig findes i mange ældre kommunale systemer og kundesystemer og bl.a. benyttes af vikarer – ikke kan dokumentere, hvem der faktisk udførte en bestemt handling og om vedkommende havde den korrekte rettighed til at gøre det,« siger Jørgen Sørensen.

Med andre ord kan man ikke – som man skal – dokumentere, hvem der har behandlet følsomme persondata i forbindelse med en klage.

Andre eksempler på fejladgang opstår, hvis it-afdelingen f.eks. spørger en chef, hvilken kollega man kan se på, når man opretter adgang til en ny medarbejdere i en virksomhed – for bare at kopiere adgangsprofilen.

Problemet er bare, at sådanne tilfældige udpegninger ikke tager højde for, at den udpegede kollega kan haft adgang til systemer i forbindelse med et projekt, men at det ikke skal videregives.

Forskellen på, om nogle få dedikerede superbrugere har adgang til hele systemet, eller om hele virksomheden med mere og mindre erfarne it-brugere har, er enorm, mener EG.

Superbrugere har typisk en uddannelsesmæssig baggrund, som gør, at de forstår, hvordan de arbejder sikkert med systemet – det samme kan man ikke forvente af en medarbejder, som et par gange i måneden skal indtaste informationer, mener Steffen Meyer.

Rettighedsroller efter funktion har faldgruber

Mange forsøger at løse det ved at etablere rettighedsroller i systemerne, som svarer til arbejdsfunktionen.

Men der sker bare alt for ofte det, at man ikke får fjernet adgangsrettigheder på medarbejdere, der flytter rundt, siger Jørgen Sørensen.

»Derfor er det klassiske eksempel, at den unge medarbejder, der er på rundtur i virksomheden, ender med at få de fleste adgange,« siger han.

Et konkret eksempel på en sådan manglede kontrol med og fratagelse af rettigheder så man i sagen fra Region Hovedstaden, hvor man havde sjusket med at lukke for brugerkonti til patientjournalsystemerne, når de ansatte flyttede til et andet hospital i regionen eller forlod den.

Læs også: Region H afviser læk af sundhedsdata - men erkender sjusk med brugerkonti

Generelt duer det ikke at køre adgangsprocesserne manuelt, mener PwC:

»Selv om man i store organisationer påstår, at man har folk nok til manuel registrering, så vil en behandling af en klage fra en kunde, der kræver dokumentation for, hvem der havde adgang hvornår, blive så langsommelig, at det er ganske uforsvarligt,« siger Jørgen Sørensen.

Prisen for en strammere adgangsstyring kan være en stor investering i en såkaldt Identity Management Systemer-løsning, som er nødvendig, hvis man skal undgå, at brugervenligheden falder. Øget adgangsstyring er nødvendigt, for det er følsomme data, mange har at gøre med, anfører han.

Identity Management Systemer understøtter en regelbaseret oprettelse af brugere, men også bl.a., hvem der skal godkende oprettelse og flere rettigheder, hvem der har skiftet afdeling med konsekvens for rettigheder - samt tilbyder en samlet log over, hvem der har fået hvilke rettigheder.

Jørgen Sørensen slår dog fast, at indførelse af IdM-systemer (også kaldet IAM-systemer) også kræver løbende konfiguration og vedligehold.

Jacob Herbst, Dubex, er enig:

»Man skal være varsom med at tro, at IAM-systemer er et quick fix, som nemt løser alle problemer. De kræver en høj grad af modenhed i organisationen - ellers rammes man af 'garbage in garbage out-syndromet',« siger han.

Eksempelvis kan der ske det, at HR eller it-afdelingen går uden om systemet i en presset situation og tildeler ansatte roller, de ikke burde have - eller man evaluerer ikke på aktuelle roller i forhold til de ændringer, der løbende sker i alle virksomheder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Bobjerg Juul

Hvad der har fungeret tidligere fungere ikke nødvendigvis i morgen. Så den metode hvormed der gives adgang til alt, har fungeret "fint" tidligere, men som tiden går og der kommer flere tilfælde af utilsigtede hændelser p.gr.a lemfældig adgangsstyring (og det vil der) så vil flere og flere tage det alvorligt.

  • 0
  • 0
Heino Svendsen

Jeg skulle undersøge hvorfor, der var problemer med dataudtræk hos et større forsikringsselskab. Interessant nok, fik jeg en USB disk med fuldt udtræk af deres database tilsendt ( skulle ikke kvittere for den ). På den lå personlige data, lister over værdigenstande, alarmanlægsfortegnelser ( nogle steder inkl. master kode ) og andre interessante ting. Fejlen blev fundet og løst. 2-3 uger EFTER endt opgave fik jeg tilsendt en erklæring, jeg skulle underskrive, hvor jeg lovede ikke at tage kopier af / dele data med andre...Fik aldrig en NDA etc.

  • 3
  • 0
Henrik Pedersen

Det var dog depressivt. Jeg har bygget et system med lignende "vigtighed" for en mindre virksomhed og der i bliver der også gemt planlægning, værdigenstande og adgangskoder. Men jeg har i det mindste krypteret alt der bare minder om sensitive data med en nøgle som ligger på disken, således du skal kompromittere hele systemet først...

  • 0
  • 0
Log ind eller Opret konto for at kommentere