Ropen skalla – multifaktorsautentisering för alla!
Men på VPN kan man ju ansluta utan MFA… Vi lever i oroliga tider där stater hackar stater och vi ständigt uppmanas att stärka skyddet för alla sorters inloggningar. Men hur gör man? Hur håller vi en god cybersäkerhetshygien i kölvattnet av pandemin då det tekniska bara behövde lösas? Hur kommer vi i mål med att alla, ja alla, behöver MFA?
Vi är tillbaka till ett nytt normalläge där vi behöver lyfta upp allt det vi inte hann prioritera i samband med pandemin och de utmaningar vi behövde lösa då.
Ibland handlar det om att bara ”dra plåstret” för att man måste. Det finns tydliga indikationer som pekar i riktning att det varit genom VPN-anslutningsmöjligheter utan krav på multifaktorsautentisering (MFA) som angripare kommit in och skapat fotfäste. När man väl har fotfäste så har man ställt till oreda. Krypterat filer, förstört och gjort att välfärdssystem slutat att kunna förse medborgare med samhällsviktiga funktioner. För att kunna hålla jämna steg med tillverkarnas säkerhetsuppdateringar och samtidigt inte riskera stänga ner system som finns i daglig drift, så är vi många som är i behov av extern hjälp. Individer som inte är anställda av organisationen, men som har kompetensen och kunnandet för att bistå oss i vår säkerhetsresa. Vi kan väl då inte rimligen, av förklarliga skäl, ställa samma säkerhetskrav på dem som vi gör på våra anställda? De är ju ändå inte anställda av oss? Vi vill ju bara ha deras hjälp med våra system och dess säkerhet – eller?
Resonemanget är ganska vanligt. Det sporadiska besöket och den otydliga gränsdragningen kring när det är relevant att aktivera eller inaktivera kravet på MFA för inloggning på distans.
”Identiteten är det vi baserar att tillit på. Faller den, faller allt. När vi dessutom har fler och fler som arbetar utanför ett fysiska kontoret, om det ens finns ett längre, så är säker autentisering den viktigaste grundbulten.”
En säker verifiering av identiteten är grundbulten
Att autentisera och att verifiera sin egen, eller enhetens, identitet är det första steget i att få åtkomst till något skyddsvärt. Identiteten är det vi baserar att tillit på. Faller den, faller allt. När vi dessutom har fler och fler som arbetar utanför ett fysiska kontoret, om det ens finns ett längre, så är säker autentisering den viktigaste grundbulten.
Inloggning från en enhet vi inte hanterar? Då kräver vi mer säkerhet
Kravbilden har alltså skärpts. Med intåget av AI och kontinuerlig kartläggning av vilka sårbarheter och möjliga vägar in i organisationers nätverk som finns att utnyttja, så kommer också opportunismen och de som inte alltid vill oss väl. Det blir här som frågan om när det är rimligt att ställa samma säkerhetskrav på våra externa leverantörer som på våra egna plötsligt vänder. I stället för att säga att ”Nej, vi ska inte ställa samma krav på våra externa som på våra egna” så bör i stället dialogen vara ”Nej, absolut kan vi inte ställa samma krav på våra externa som på våra interna – de externa måste ju ha högre säkerhetskrav då vi inte kan verifiera vilken enhet de kommer från, hur den mår och hur vi kan släppa in sessionen”.
Förvånansvärt få har dessvärre gjort den resan. Men det handlar i slutändan inte om att behöva skeppa företagshanterade datorer världen över. Det handlar om att våga ställa krav på ännu en faktor vid inloggningen. Om att våga sätta en säkerhetsribba som är tillräckligt hög för att inte vi ska vara nästa måltavla det skrivs om i nyheterna.
Multifaktorsautentisering som minimikrav i NIS2-direktivet
När världen förändras så förändras vi som en del av den. Det gäller både oss, våra säkerhetskrav men faktiskt också de vi anlitar för att hjälpa oss med säkerheten. Så nej, det är faktiskt inte omöjligt att ställa krav på flerfaktorsautentisering, MFA, eller vad ni väljer att kalla det just i din organisation – för personen du anlitar har förmodligen redan tekniken som behövs hos sig för att aktivera det även mot din organisation.
MFA är en viktig punkt i din cyberhygien och också ett minimikrav i NIS2-direktivet som träder i kraft under oktober 2024.