Sikkerhedsekspert: Multifaktor-sikkerhed bliver det nye minimumskrav i virksomhederne
Det kan kun gå for langsomt med at højne virksomhedernes it-sikkerhed. Alle er udsatte og antallet af cyber-angreb er konstant stigende.
Nikolaj Vang, Director hos Entrust, der er global specialist i identiteter og identitetssikring, mener, at det er på tide at de It-ansvarlige sætter sig mere igennem og holder op med at være bange for at genere brugerne.
Som eksempel på det øgede aktivitetsniveau blandt hackere nævner Nikolaj Vang, at it-systemerne ved OL i Tokyo blev angrebet 4.4 mia. gange i de 17 dage legene varer. Til sammenligning blev der ved det foregående OL registreret ca. 700 mio. angreb. Altså mere end en femdobling over de seneste fem år.
Danske virksomheder er sårbare. Ifølge Vang gælder det både de store virksomheder med egne, velbemandede it-afdelinger og de små virksomheder, der typisk har outsourcet deres it-drift til eksterne Service Providers. De store og de små har hver især deres blinde pletter inden for it-sikkerhed.
Små og store problemer
De mindre virksomheder forventer, at deres outsourcing-partnere har styr på sikkerheden. Men faktisk er det kun et fåtal af hosting-virksomhederne, der sikrer etablering af multifaktor-sikkerhed, hvilket er det letteste og mest logiske ekstra sikkerhedsniveau.
Årsagen til manglen er, at kunderne ikke efterspørger sikringen – men det kan de ifølge Nikolaj Vang ikke forventes at gøre, da de jo sjældent har viden om udfordringen. De er typisk ikke it-eksperter. Det etiske ansvar er ikke ulig det forældre har for deres børn, der skal tage sele på i bilen – det er ikke op til børnene om de ønsker sikkerhedsforanstaltningen.
De større organisationer har et andet problem: Medarbejderne arbejder typisk med forskellige cloud-applikationer, der ikke er sikret godt nok, og som derfor kan udnyttes af hackere til at skaffe sig adgang til forretningskritiske oplysninger. It-afdelingen er godt klar over risikoen, men gør ikke noget ved den, af frygt for at skabe ekstra bøvl for brugerne.
»Mange sætter lighedstegn mellem sikkerhed og bøvl, men sådan behøver det ikke være. Man kan sagtens bygge bro mellem sikkerhed og en god brugeroplevelse, ved at anvende intelligente løsninger,« mener Nikolaj Vang.
Ulåste døre
Han oplever ofte, at selv om store virksomheder har beskyttet dele af deres it-infrastruktur med den nødvendige multifaktor-sikkerhed, så efterlader de ulåste døre i forbindelse med cloud-applikationer. Det kan f.eks. være salgsafdelingen, der bruger Salesforce eller HR-afdelingen, der bruger Workday.
»Man undlader at få de nødvendige sikkerhedsmekanismer på plads, selv om systemerne rummer forretningskritisk information. Jeg tror, årsagen er, at it-afdelingen mangler gennemslagskraft i den øverste ledelse, og at it-folkene har en tendens til at være lidt ”bange” for brugerne.«
Men ifølge Vang kan en virksomheds cloud-applikationer sikres forholdsvis enkelt. De kan f.eks. samles i en Single-Sign-on portal, udstyret med multifaktor-sikkerhed. Når brugeren har legitimeret sig, får man adgang til denne Walled Garden af applikationer, der så kan anvendes uden at kompromittere virksomhedens samlede sikkerhed. Det hele uden ekstra bøvl for medarbejderen. Applikationerne kan også kommunikere til en IdP (eks. AD FS eller IDaaS) om står for valideringen, førend brugerne har så har adgang.
Det nye minimumskrav
Ifølge Nikolaj Vang er der en klar tendens til, at multifaktor-sikkerhed bliver det nye minimumskrav i virksomhederne.
Eksempelvis er multifaktor nu et parameter i D-mærket, den nye mærkningsordning for it-sikkerhed etableret af Industriens Fond i samarbejde med Dansk Industri, Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk. Desuden kræver forsikringsbranchen i stigende grad multifaktor-sikkerhed som betingelse for at tegne de cyber-forsikringer, som bliver stadig mere populære.
Skal tage mere ansvar
Også de mange Service Providers, der driver små og mellemstore virksomheders it-systemer vil begynde at fokusere mere på multifaktor-sikkerhed. Efter Nikolaj Vangs mening har de alt for længe satset på at fungere som tjenstvillige leverandører af det, kunderne har efterspurgt. Fremover kommer de i højere grad til at tage ansvar for deres kunders sikkerhed. Virksomheder, som skal tegne deres første cyberforsikring, kan blive overrasket over de krav, der stilles fra forsikringsselskaberne. *Har I MFA (Multi Factor Authentication) implementeret på alle eksterne adgange til virksomhedens systemer?
Derfor er det en hjælp, hvis virksomheden som forberedelse til udbud af cyberforsikring kan svare på nedenstående spørgsmål:
»Kunderne tror, at de er i sikre hænder hos deres outsourcing-partnere. Men selskaberne leverer kun det kunderne efterspørger, og det er nok kun omkring 20 % af brugere, administreret af danske hosting-virksomheder, der har den brugervalidering der er nødvendig. Igen handler det også om, at man er bange for at gøre det for bøvlet for kunderne/brugerne. Men man kan sagtens integrere multifaktor-sikkerhed i sine systemer uden at forringe brugeroplevelsen.«
»F.eks. arbejder vi med identifikationsløsninger uden password. I de løsninger kører der en Risk Engine i baggrunden, der analyserer brugerens anvendelsesmønster og giver adgang til applikationerne, når den genkender brugeren.«
Ifølge Nikolaj Vang er det kun et spørgsmål om tid, før multifaktor-sikkerhed bliver minimumskrav i virksomhederne. Og der er ingen grund til at tøve af frygt for at skræmme brugere eller kunder væk. Det er på tide at it-branchen forstår, at multifaktor hverken behøver at være klodset eller bøvlet. ”Virksomheder, som skal tegne deres første cyberforsikring, kan blive overrasket over de krav, der stilles fra forsikringsselskaberne. Derfor er det en hjælp, hvis virksomheden som forberedelse til udbud af cyberforsikring kan svare på nedenstående spørgsmål:” Har I MFA (Multi Factor Authentication) implementeret på alle eksterne adgange til virksomhedens systemer?
