KOMMENTAR:
Tilgangsstyring er et lederansvar
Avansert sikkerhetsteknologi hindrer daglig et utall datainnbrudd hos norske virksomheter. Samtidig avhenger vi mer enn noen gang av mennesker som ryggraden i vår motstandsdyktighet.
For hva gjør vi når teknologien svikter oss? Og hva kan vi gjøre for å forebygge bedre?
På vår turné med cyberøvelsen Hele Norge øver er manglende tilgangsstyring hyppig nevnt som en grunnleggende utfordring. Man kan jo rent få «zero trust issues» av å se hvordan moderne sikkerhetsarkitektur stadig hviler på brukere med altfor vide tilganger.
«Men vi stoler på hverandre her», er en typisk norsk innvending mot å begrense tilgang til systemer og informasjon på jobb. En slik tilnærming innebærer åpenbart stor risiko for norske bedrifter, deres kunder og deres ansatte.
Som ledere har vi ansvar for å ivareta våre medarbeidere. For å klare dette, er manglende tilgangsstyring en unnlatelsessynd vi må gjøre bot for – ikke bare en gang, men om og om igjen.
Rett og slett for å beskytte hverandre, i en urolig verden hvor cyberangrep er blitt dagligdags.
Tenk deg at virksomheten blir hacket, på den aller vanligste måten: En ansatt mottar et skadelig vedlegg på e-post, eller lures til å oppgi brukernavn og passord på en falsk nettside.
Hvilke tilganger denne medarbeideren har, får umiddelbart konsekvenser for hendelsesforløpet videre. Dessverre har de aller fleste videre systemtilganger enn de egentlig har tjenstlig behov for.
Under et cyberangrep misbruker inntrengerne slike tilganger til å stjele data. I neste omgang brukes de samme tilgangene til å låse ned dataen med kryptering. Til slutt kommer utpressingskravet: Betal avlat for dine synder, ellers blir dataen publisert eller solgt på det mørke nettet.
I slike tilfeller kommer ofte trusselen hånd i hånd med bevis på hvilke data utpresserne har stjålet. Igjen vil risikoen øke – og oppleves enda mer kritisk – dersom de kriminelle har klart å stjele større mengder data, og ikke minst sensitive data.
Dessverre har de aller fleste videre systemtilganger enn de egentlig har tjenstlig behov for.
En slik situasjon beviser ikke i seg selv at alle virksomhetens data er på avveie. Men dårlig tilgangsstyring øker sannsynligheten for at nettopp dette er tilfelle.
Og her blir det mange som kan kjenne på en vond klump i magen.
Det siste halvåret har vi øvd på cyberangrep og beredskap med deltakere fra over to tusen norske virksomheter. Over hele landet har vi også møtt enkeltvirksomheter med historier om utpressing og løsepenger, øvd med ledergrupper og på allmøter.
Her spør vi gjerne de ansatte hvilke konkrete data de selv har tilgang på, som kan stå i fare hvis deres bruker rammes av en hacker.
Svarene deres overrasker helt opp til toppledernivå: «Vi har mye å beskytte, men ingenting å skjule», er en oppfatning som viser seg å ikke alltid stemme med virkeligheten.
I realiteten kan hele leverandørkjeder og samfunnskritiske virksomheter settes i spill, når selv små og mellomstore bedrifter raides av kriminelle.
Sammen med en sterk sikkerhetskultur beskriver begrepet «joiners, movers, leavers» dynamikken som vi alle må mestre i det brede sikkerhetsarbeidet – noen kommer, noen går, mens andre flytter på seg. Dessverre er det altfor vanlig at tilganger akkumuleres ved rollebytte internt i virksomheten. Får du inn en ny medarbeider fra et annet sted internt, sørg derfor alltid for å hjelpe din nye kollega med å bli kvitt gamle tilganger.
Tilgangsstyring er nemlig et ansvar som ligger i linja, ute i forretningen, der hvor informasjon faktisk oppstår, behandles og eies. Derfor er det lederne der ute som jevnlig må kontrollere og rette tilganger til informasjon som de selv og deres team forvalter.
Det handler altså ikke om mangel på tillit, men ren omtanke.
Hva med å få virksomheten til å gjøre sjekk av tilganger som en praktisk del av den årlige medarbeidersamtalen?
