Informasjonssikkerhet i en sårbar verden

Informasjonssikkerhet i en sårbar verden

Sikkerhet og sårbarhet er et velkjent tema, men enda mer aktuelt i en verden som blir stadig mer digital og sammenkoblet. Digital transformasjon innebærer at virksomhetene i større grad kobler seg opp mot omverdenen og kobler sammen egne informasjonssystemer i stadig mer komplekse nettverk for å etablere samhandling på tvers med flere aktører.

Sikkerhet og sårbarhet er et velkjent tema, men enda mer aktuelt i en verden som blir stadig mer digital og sammenkoblet. Digital transformasjon innebærer at virksomhetene i større grad kobler seg opp mot omverdenen og kobler sammen egne informasjonssystemer i stadig mer komplekse nettverk for å etablere samhandling på tvers med flere aktører.

Av: M. Imran Mushtaq, Seniorrådgiver i A-2

Med digital transformasjon og økt samhandling, blir virksomheten avhengig av velfungerende sikre informasjonssystemer, samt effektiv forvaltning av elektronisk identitet som kan deles og brukes (fødereres) på tvers av systemer og virksomheter. Eksempel på dette kan være din Office 365 identitet, som brukes både i Teams for kommunikasjon med interne og eksterne aktører, samt for inngang til virksomhetens systemer med sensitiv informasjon.

Økt samhandling krever mer sammenkoblede informasjonssystemer som igjen krever mer sammenkoblede informasjonssystemer, som igjen krever sikring av informasjonsobjekter. Et informasjonssystem tilrettelagt for samhandling, er mer sårbar for forstyrrelser, stans eller angrep, siden systemet ikke er mer sikkert enn det svakeste leddet i verdikjeden.

iStock-Anyaberkut
iStock-Anyaberkut

Fra «fort-sikring» til «objekt-sikring»

Det tradisjonelle konseptet for sikring av informasjon har vært «eggeskall-sikkerhet» eller også kalt «fort-sikring». Behov og trusselbildet har endret seg radikalt det siste tiåret. Det er ikke lenger tilstrekkelig å tenke brannmurer og nettverksovervåkning for å sikre sitt eget fort. Det er nå behov for å dele informasjonsobjekter for å oppnå bedre samhandling. For dette formålet må det sikre fortet åpnes opp, det må etableres flere åpne vinduer (informasjonskanaler) inn mot fortet og døra til fortet må stå mer åpen for å slippe flere aktører inn i det sikre område. Alle aktører med tjenstlig behov, skal kun se og oppdatere informasjon som virksomheten har ansvar for. Det er derfor nå behov for å bevege seg fra tanken om «fort-sikring» over til å kunne beskytte hvert enkelt informasjonsobjekt. Analogien blir å flytte sikring av fort, til å sikre tilgang til hvert enkelt rom og skap mye bedre. Kontroll på hvem som får tilgang til å se eller modifisere informasjon som virksomheten forvalter, både under ro i fortet og under transport utenfor fortet, blir meget viktig. Når virksomheter tar i bruk skyløsninger, kan dette sees på som mobile lagringsplasser utenfor fortet. Selv om disse mobile lagringsplassene er bedre sikret enn selve fortet, har virksomheten fortsatt like stort ansvarforl å sikre informasjonsobjektene som lagres i disse mobile lagringsplassene, samt sikre informasjonsobjektene i sitt eget fort.

De fleste organisasjoner vil ikke ha full kapasitet til sikre informasjonsobjekter gjennom «fort-sikring». Virksomhetene er nødt til å bevege seg mer over til nye tekniske løsninger for «identitet og tilgangsstyring», overvåkningsløsninger som bidrar med å hindre datatap i henhold til definerte policy og regulatoriske krav, uansett om informasjonen er lagret i fortet eller på en mobil lagringsplass (skyløsning). Fokus må flyttes fra å sikre perimeter til å skape sikkerhetsløsninger for hvert enkelt skap i fortet, dvs. bygge inn sikkerhet i applikasjonen og ta i bruk sikkerhetstjenester, slik at enhetlig sikring på tvers kan håndheves. Dette krever at virksomheter skaffer seg kompetanse om sikkerhetsarkitektur med fokus på IAM (Identitet og tilgangsstyring), DLP (Data Loss Prevention) og overvåkning/analyse av sikkerhetslogger. Det krever også at utviklere skoleres til å utvikle sikre løsninger og applikasjoner fra planlegging til produksjonssetting.

Hvem er du, og hva er din identitet?

En digital identitet for en fysisk person er den totale summen av unike egenskaper (attributter) som opprettes ved å registrere disse egenskapene i elektronisk form. Bruker-konto eller elektronisk identitet(er) vil være en del  av informasjon tilhørende den digitale identiteten.

«Identitet, personlighet, den man er. Identitet kan også betegne ens selvbilde eller selvoppfatning.» ref: snl.no/identitet

Identiteten til en person er todelt fordi man kan være ”den samme” på to måter. På den ene siden kan vi være den samme som oss selv, det vi kaller personlig identitet. På den andre siden kan vi være den samme som andre, det vi kaller sosial identitet eller gruppeidentitet., ref: ndla.no.

En elektronisk identitet brukes for autentisering, altså for å bevise at du er den du er. Brukernavn og passord er en type elektronisk identitet. BankIDBuypass, og MinID er andre eksempler. En type elektronisk identitet kan være sterkere enn en annen. Forskjellen ligger i hvor sikker den er, altså hvor mye du har måttet bevise om deg selv for å få den. ref: snl.no/elektronisk_identitet

Klientautentisering (bruker-autentisering) er en prosess som en tjener i et nettverk kan bruke som bevis på at identiteten til en klient er som påstått. En klient (også kalt bruker) som kontakter en tjener for å få utført en tjeneste vil som regel selv påstå hvilken identitet den har, og tjeneren skal kunne autentisere klienten, det vil kunne verifisere eller avkrefte denne påstanden. ref: snl.no/autentisering

For elektroniske identer (eIdentitet) er det tre typer unik informasjon som kan knytte eIdentiteten med den fysiske personen:

En fysisk person sin identitet kan være representert digital, også kalt digital identitet. Denne fysiske personen får tildelt personnummer (fødselsnummer) som attributt knyttet til sin digitale identitet. I tillegg får vedkommende en/flere mobil-nummer som attributt knyttet til sin digitale identitet. Gjennom livet blir denne digitale identiteten utvidet med attributter som førerkortnummer, passnummer, ID for europeisk helsetrygdekort , bankkontonummer, bostedsadresse(r), ansatt-nummer, elektroniske identiteter (eIdentitet, muligens bruker-konto-id for IT systemer) osv. 

Digital identitet refererer til måter identitet skapes og oppfattes på nettet. Det inkluderer unike beskrivende data, samt personlig informasjon og relasjoner vi skaper med andre. Vår digitale identitet består av representasjoner av oss selv med kontonavn, skjermnavn, avatarer og visningsnavn, samt webdesign, fotografier og personopplysninger som er knyttet til oss og tilgjengelig på nettet. I tillegg til det skaper vi og utvikler vår egen digitale identitet gjennom vår aktivitet på nett. Venner, favoritter, tilhengere, de som vi velger å følge, samt det vi deler, liker, kommenterer og sier på digitale arenaer bidrar til vår digitale identitet (kilde: Senter for IKT i utdanningen). ref: https://www.udir.no/kvalitet-og-kompetanse/profesjonsfaglig-digital-kompetanse/rammeverk-larerens-profesjonsfaglige-digitale-komp/vedlegg/

Begreper IAM

Foto: iStock Matejmo
Innenfor informasjonssystemer brukes begrepet IAM (Identitet og tilgangsstyring) og baserer seg på følgende delelementer:

1. Identitet - Hvordan er den definert og forvaltet? (Livssyklus forvaltning)

Elektronisk identitet: «Digital representasjon av en identitet til bruk i autentisering.  Synonym for «e-ID» og «Elektronisk identifikasjonsmiddel» Identitetsføderering: Gjenbruk av identitet mellom virksomheter/systemer/plattformer.

2. Autentisering (AuthN) - Hvordan kan man bevise identiteten?

Autentisering: «Metode for å verifisere en påstått identitet før det gis tilgang til et informasjonssystem.
I en moderne føderert identitetsarkitektur  er autentiseringsprosessen to-delt:

-Interaktiv(*) autentisering av brukeren under utstedelse av en elektronisk identitet med tilhørende tilgangsbevis

-Sømløs autentisering ved validering av den utstedte elektroniske identiteten under påloggingstidspunktet og/eller ved tjenestetilgangstidspunktet til tjenesten.

(*) Ved bruk av SSO-funksjonalitet (Single Sign-On) kan autentisering på dette tidspunkt også være sømløs, forutsatt at brukeren allerede har hatt 1 interaktiv autentisering.

3. Autorisering (AuthZ) - Hva har identiteten lov å gjøre?

Gjøres for å verifisere hvilke tilganger en elektronisk identitet har i et informasjonssystem; for eksempel hvilke filer som kan åpnes, endres, slettes m.v. Autorisering i denne konteksten er den «tekniske» autoriseringen i applikasjoner, til forskjell fra administrativ autorisering.

Administrativ autorisering: Bakgrunn for tildeling av rettigheter, f.eks. når en leder godkjenner en tilgangsbestilling eller når en person blir autorisert.

Autorisasjon:  En autorisasjon er en godkjennelse som personen må ha av autorisasjonsansvarlig i virksomheten for å kunne få tilgang til informasjon. Den brukes også for en bekreftelse fra offentlige myndigheter på at de formelle og faglige krav til yrkestittelen er oppfylt. Dette innebærer at personen er vurdert skikket og gitt den nødvendige tillitt til å kunne stole på vedkommende i utførelse av sitt arbeid og behandling av tilhørende informasjon.

4. Audit – Hva har identiteten utført/gjort?

Logging av viktige hendelser er viktige å samle sentralt, korrelere og aggregere informasjon, slik at den er på nivå for å kunne ta beslutninger. Det kan være informasjon om hvilke saksbehandlere som har vært innom systemet og har de hatt tilgang til informasjon iht. tjenstlig behov eller har de prøvd å snoke informasjon om andre. Få oversikt over potensielle angrepsmønstre og dokumentere i ettertid for hvilke informasjon som ble benyttet for å gi tilgang til informasjon.

Økt sårbarhet

Med digitalisering og økt samhandling, blir virksomheten avhengig av velfungerende sikre informasjonssystemer, samt at den blir også mer sårbar for forstyrrelser eller stans i systemene, problemer med kommunikasjonsløsningene eller angrep utenfra. Effektive tiltak som bør gjøres for å beskytte seg mot dataangrep kan være: 

A-2 kan bistå med å etablere god sikkerhetsarkitektur, Identitetsføderering og effektiv tilgangsstyring

A-2 har lang erfaring med å etablere god sikkerhetsarkitektur, samt design og implementasjon av gode IAM løsninger i ulike virksomheter, både offentlige og private.

Imran er utdannet sivilingeniør innen datateknikk på NTH. Imran har tidligere jobbet som seniorrådgiver/arkitekt i Forsvarsmateriell/ Forsvaret i 5 år og før dette som underdirektør i Skatteetaten og før dette i Accenture. I Accenture jobbet han i 15 år innen offentlig virksomhet, bank/finans, telekom og teknologi. Imran har vært involvert i prosjekter med til dels meget høy grad av teknisk kompleksitet som krever lang erfaring og dyp kompetanse og har gjort alt fra programmeringsoppgaver til å lede større offshore team og gi råd på mer strategisk nivå.

Imran Mushtaq har erfaring som IT leder i offentlig virksomhet, IT arkitekt med fokus på integrasjon og sikkerhet, samt IT konsulent og prosjektleder. Han er spesialist på gjennomføring av teknologi komplekse IT prosjekter som involverer mange aktører og leverandører i et internasjonalt miljø og offshore team. Imran har ledet områder for integrasjon, sikkerhet, datavarehus/BI, CRM og applikasjonsutvikling for web baserte løsninger.

Imrans kompetanseområder er virksomhets-/teknisk-/sikkerhets-arkitektur, utvikling av IT systemer, IT prosjektledelse og prosessledelse, ITIL, kvalitetssikring og risikostyring, løsningskompetanse digitalisering, anskaffelsesprosesser, bruk av Offshore, samt kontrakts- og leverandørhåndtering.