I början av december 2020 släppte datainspektionen nyheten om att sju av åtta granskade vårdgivare brister så mycket i sin styrning av åtkomst till huvudjournalsystemen att det gav upphov till sanktionsavgifter på upp till 30 miljoner kronor. Under hösten 2020 meddelades det också att en klädjätte drabbades av sanktionsavgifter på mer än 300 miljoner kronor i Europa för att ha lagrat känsliga uppgifter om sina anställda. En svensk koncern inom säkerhetsbranschen drabbades av intrång som gjorde att känslig information om försvarsanläggningar och skydd av banker läckte. Även ett finskt företag inom psykiatrisk vård drabbades av ett intrång där journaluppgifter för tusentals patienter läckte ut.
Det börjar bli dyrt att förlora data eller att inte följa reglerna. Konsekvenserna blir sanktioner i bästa fall och intrång och förlust av data i värsta fall.
Det börjar alltså bli dyrt att förlora data eller att inte följa reglerna. Konsekvenserna blir sanktioner i bästa fall och intrång och förlust av data i värsta fall. Men hur gör man för att bygga in en säker hantering av identiteter och åtkomst av verksamhetskritisk information? En bra regel är att utgå från begreppet IAM, Identity and Access Management, som handlar om samverkan mellan tre viktiga områden:
1. IGA, Identity Governance and Administration
IGA, Identity Governance and Administration, handlar om att ha dokumenterade processer med ett tydligt definierat ansvar för hur identiteter och behörigheter hanteras i verksamheten. Oavsett om man gör det manuellt eller med systemstöd, måste hanteringen finnas på plats. Man måste ha klara rutiner för hur en behörighet tilldelas, vem som godkänner den och regelbunden uppföljning av vem som har rätt att komma åt vad. Och naturligtvis måste hanteringen vara spårbar så att man i varje stund kan gå tillbaka och se vem som hade rätt till vad vid en given tidpunkt.
2. Access Control
Access Control, eller åtkomstkontroll. Här handlar det om att säkerställa att folk verkligen är de som de utger sig för att vara och att de har rätt att komma åt den information och de resurser som de begär åtkomst till. Detta är en funktion som måste fungera i realtid när en person söker åtkomst, vanligtvis uppdelad i autentisering och kontroll av auktorisering. Om det handlar om flerfaktorsautentisering när man loggar in i ett system eller manuell kontroll av identitetshandling när någon går in genom dörren spelar ingen roll. Oavsett vad, måste det finnas ett definierat regelverk för hur det ska ske och det måste gå att spåra att så har skett.
3. PAM – Privileged Access Management
PAM – Privileged Access Management, eller hantering av priviligierad åtkomst. Alla verksamheter har speciell åtkomst till information och resurser som behöver ha extra högt skydd. Det kan vara behörigheter som administratör eller åtkomst till särskilt känsliga system eller resurser. Just den här typen av behörigheter är extra åtråvärda för till exempel hackare. Därför kräver den också särskilda skyddsåtgärder där man kan följa upp, inte bara när någon har använt resursen eller systemet, utan också vad han eller hon gjort under den tid de använt den.
Grunden handlar inte om teknik, utan att få verksamheten med sig.
Det är med IAM precis som med inbrottslarm. Ofta inser man inte värdet av det man saknat förrän skadan har skett. Man bör alltså se IAM som en del i verksamhetens försäkringsskydd. Att bygga upp en väl fungerande IAM kräver dock en del resurser. Det behövs plattformar, system, applikationer och inte minst kunskap och erfarenhet för att bygga upp den på rätt sätt.
Men grunden handlar inte om teknik, utan att få verksamheten med sig. Man måste börja med att få koll på styrnings och ansvarsfrågorna, på vem som får godkänna hur en person ska få tillgång till information och resurser. Vem är det till exempel som ska godkänna att en medarbetare får tillgång till viss information, får arbeta i ett visst system eller får tillgång till ett visst våningsplan på kontoret? Det är genom att ha väl definierade processer och regelverk som man bygger säkra lösningar som stöder verksamheten. När en sådan väl är på plats är det också mycket enklare att implementera tekniska verktyg som underlättar, effektiviserar och ger bra kontroll i identitets- och behörighetshanteringen.