En af de vanskelige IT-sikkerhedssårbarheder at gøre noget ved er brugere med administrative rettigheder.

Der er jo behov for at nogen kan administrere virksomhedens netværk, men hvordan kan vi sikre at dette sker på en hensigtsmæssig måde?

En af de absolut bedste værktøjer at kigge på er Just In Time (JIT) Access. Denne metode sikrer at brugere der skal lave administrative opgaver på netværket, kun får de nødvendige rettigheder i en defineret tidsrum og kun de rettigheder der er nødvendige for at løse opgaven.

Da de fleste virksomheder anvender Microsoft Active Directory (AD) til at styre IT-sikkerheden er det her muligt at anvende Microsofts service Privileged Identity Management (PIM).

PIM er en service i Azure AD (nu en del af Microsoft Entra). Med denne service defineres forskellige roller som kan tildeles udvalgte brugere.

Disse brugere kan så vælge at aktivere en rolle efter behov (Just In Time) og brugeren kan vælge hvor lang tid de ønsker at bruge rollen – fx 2 timer. Der vil typisk være opsat en maksimal periode på fx 6 timer.

Dette giver selvsagt flere klare fordele.

1. Brugerne har ikke rettigheder standard, dvs. vi opnår et ekstra lag af sikkerhed.

2. Vi kan muligvis undvære at oprette dedikerede admin-brugere, da alm. brugere kan opnå rettigheder efter behov

3. Især eksterne konsulenter/IT-leverandører kan tildeles mere specifikke roller

En anden stor fordel er at brugerne afkræves en forklaring ved hver anvendelse af rollen, herved opnår vi en audit log over anvendelse af admin-rettigheder. Dette kan være yderst fordelagtigt ifm. fejlfinding m.m.

PIM og Just In Time Access er et vigtige elementer i en Zero Trust strategi og i implementering af et least privilege koncept.

Så vi anbefaler klart kunder at implementere JIT Access med PIM som en foranstaltning i deres IT-sikkerhed.

Se evt. denne video, hvis du vil vide mere.

Jeg bliver ofte spurgt om vores IT-sikkerhedsforløb også omfatter penetration testing - penetrationstest.

Penetrationstest foregår typisk ved at man tillader et IT-sikkerhedsfirma at forsøge at bryde ind i virksomhedens systemer, som om de var hackere der ville forsøge det samme.

Selvom IT-sikkerhedsfirmaet anvender stort set samme værktøjer og metoder som de IT-kriminelle er forskellen naturligvis, at eksperterne rapporterer de afdækkede sårbarheder til ledelsen, så de med denne viden kan iværksætte foranstaltninger så “hullerne” kan lukkes.

Men penetrationstest er dyre. Skal det gøres ordentligt kræver det dybe kompetencer, mange konsulenttimer til planlægning og gennemførelse samt rapportering.

Så ingen tvivl om at penetrationstest kan være et godt værktøj. Men hvornår skal værktøjet anvendes?

Forestil dig at vi talte om en ældre villa som skulle sikres imod indbrud.

Ville du starte med at hyre en tidligere indbrudstyv til at forsøge et indbrud?

Nej vel. Det ville nok være smartere at kortlægge dine værdier, undersøge om dine forsikringer er tilstrækkelige, klippe hækken ned i højde, DNA-mærke værdigenstande, sikre vinduer og døre samt evt. opsætte en alarm.

Herefter er du uden tvivl bedre sikret.

Men hvis du stadig er usikker, er dette det bedste tidspunkt at bede en “ekspert” om at forsøge et indbrud. Er der stadig “huller”?

På samme måde med IT-sikkerheden, kortlæg dine IT-sikkerhedsaktiver, vurder dine risici, implementér relevante foranstaltninger, undervis dine medarbejdere.

Først herefter vil du få mest værdi ud af en evt. penetrationstest.

Forstå mig ret, penetrationstest kan være meget effektive. Men hvis du har 100.000 der skal bruges på IT-sikkerhed, så start i den rigtige rækkefølge. Gennemfører du penetrationstest for tidligt, kommer du til at gentage processen - måske flere gange.

Bestyrelsen ”slår tonen an” til håndtering af IT-sikkerhed i virksomheden, hvordan bestyrelsen forholder sig til cybertruslen og kommunikerer, sender signaler til hele organisationen.

Rent formelt er styring af virksomhedens risici – også cyberrisici – bestyrelsens ansvar. Og med de kommende NIS2 regler bliver det bødebelagt ikke at leve op til ansvaret.

Bestyrelsesforeningens Center for Cyberkompetencer, har udarbejdet en god vejledning for bestyrelsesmedlemmer og heri er der beskrevet en række gode anbefalinger.

”Virksomheden skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger, der sikrer et sikkerhedsniveau, der passer til risikoen.”

Men hvad er ”passende og forholdsmæssige” for den enkelte virksomhed eller institution?

Her kommer bestyrelsens egne kompetencer i spil. Hvem I bestyrelsen har kompetencer til at vurdere dette?

Det er naturligvis en mulighed at finde en egnet kandidat og udvide bestyrelsen, men ofte vil det være svært at finde egnede kandidater med dette fokus.

En anden mulighed er at øge bestyrelsens vidensniveau, fx med en temadag eller at sende enkelte bestyrelsesmedlemmer på kursus.

En tredje mulighed er at tilknytte en ekstern IT-sikkerhedsrådgiver i en kortere eller længere periode. På denne måde sikrer bestyrelsen at kompetencen er til stede, at der er sparring omkring IT-sikkerhedshåndteringen og at der kan implementeres passende foranstaltninger.

Hos Digital Fighters tilbyder vi netop at spille denne rolle for virksomhedens bestyrelse og ledelse.

Vi kan træne og uddanne bestyrelsen, deltage i konkret IT-sikkerhedsarbejde, være projektleder på implementering af foranstaltninger og facilitere ISO-27001 eller D-mærket certificeringer. Ligesom vi tilbyder løbende at følge op på virksomhedens IT-sikkerhed.

Tag fat i os, hvis du ønsker at tage IT-sikkerheden alvorligt i din bestyrelse.

Læs vejledningen ”Cybersikkerhed for bestyrelse og direktion”.