Informationssäkerhetschefens dilemma en betraktelse kring identitetshantering. Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Transkript

1 Informationssäkerhetschefens dilemma en betraktelse kring identitetshantering Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

2 .SE

3 Om mig Monika Ann-Mari Eklund Lövinder Amel barnsmamma Bostadsrättsinnehavare Kattägare Ledamot i SNUS styrelse Ledamot i CENTR:s BoD Medlem i SIG Security Medlem i Dataföreningen ICA-medlem Coop-medlem Hemköps-medlem Kicks-medlem H&M-medlem Bankkund IKEA Family-medlem Medlem i Åhléns-klubben Medlem hos Stadium Medlem i Viking Club Prenumerant hos DN Biblioteksbesökare Landstingsklient Kund på Saga Konto på Svenska Spel Konto på ATG Kund hos Twilfit Gift Frånskild Systemvetare Fil kand Svensk medborgare Åländskt påbrå Använder Facebook Använder LinkedIn Twittrar Säkerhetschef Kvalitetschef Säkerhetsexpert.SE-anställd Trendspanare Domäninnehavare

4 Vad oroar jag mig för? Rädsla är lidande i förskott, men det finns saker att fundera på

5 Människor Crowd in Sweden. Photo: Robert Ekegren/Scanpix

6 Undersökning av PC för alla Fyra av tio kan lösenordet till någon annans mejl. 20 procent förvarar sina lösenord bredvid datorn - på en bit papper. 23 av 34 gav välvilligt bort sitt mest använda lösenord, cirka 67 procent. Nästan alla lösenord hade en personlig koppling till den tillfrågade, lätta att komma ihåg, men därför också lätta att knäcka.

7 Identitetshantering En normalanvändare inom en större verksamhet har 5-10 lösenord som skall memoreras och kanske bytas med jämna mellanrum. Administrativ personal har ännu fler och personalen på driften har massor. I en stor verksamhet blir hundratals lösenord bortglömda varje dag och byts med mer eller mindre säkra rutiner. Många användare uppfattar inte lösenorden som speciellt känsliga och delar gärna med sig av eller återanvänder dem. Våra lösenord är med andra ord jobbiga, dyra och mycket osäkra.

8 Identifiering All personal med tillgång till system ska ha en unik identitet. Autentisering innebär att en påstådd identitet verifieras. En person kan styrka sin identitet genom att bevisa innehavet av ett eller flera kreditiv, t.ex. genom att: Veta något (t.ex. ett lösenord) Äga något (t.ex. ett aktivt kort) Vara något (t.ex. ett fingeravtryck).

9 Information

10 Behörighet vs. befogenhet Med behörigheter avses tekniska kontroller för styrning av identiteters rättigheter i system och applikationer. Bör lagras centralt i en katalogtjänst, som stödjer ITsystemens behov av verifiering av rättigheter. Befogenhet definieras som den rätt en person har att utföra en operation med stöd av de arbetsuppgifter och det ansvar personen har vid ett givet tillfälle.

11 Behörighetsadministration Rollbaserade behörigheter bör användas så att inga identiteter tilldelas unika rättigheter. Alla beslut om tilldelning, förändring och spärr av behörigheter bör tas av närmaste chef, uppdragsgivare eller motsvarande. Utgångspunkten är alltid minsta möjliga behörighet för respektive identitet. Tilldelade behörigheter bör granskas regelbundet och efter varje förändring i arbetsuppgifter. Anonyma identiteter ska endast användas då spårbarhet, identifiering och behörighetskontroll upprätthålls på annat sätt.

12

13 Lösenordshantering Ställ höga krav på lösenordets styrka. Använd tekniska styrmedel. Lösenord skall aldrig visas, lagras eller överföras i klartext eller annan otillräckligt skyddad form. Lösenord ska inte heller matas in från osäkra terminaler. Fabriksinställda lösenord, standardlösenord och andra allmänt kända lösenord måste ändras.

14 Finns det behov av IAM-verktyg? Behovet av bra identifieringslösningar har funnits i många år. Idag saknas det enkla och billiga lösningar för tjänsteleverantör som vill utnyttja eid för identifiering av användare i sina respektive lösningar. Befintliga system kräver förutom avtal med certifikatutfärdare även relativt omfattande teknisk infrastruktur.

15 Finns det behov av IAM-verktyg? I en stor organisation kan det ta flera timmar att skapa de konton en nyanställd behöver. Av samtalen till en vanlig supportavdelning rör sannolikt hälften bortglömda lösenord. Då en medarbetare slutar finns oftast inte något samlat register över vilka system en användare har åtkomsträttigheter till och det är lätt att glömma att ta bort användaren ur systemet. De identiteter som skall hanteras är inte bara medarbetares. Det kan också vara kunder, medlemmar i en förening eller boende i en kommun.

16 Affärsnyttan med IAM-verktyg För att kunna vidareutveckla våra e-tjänster är vi i stort behov av elektronisk identifiering som Är enkel för våra användare (medarbetare eller kunder). Fungerar i många miljöer. Är spridd bland våra användargrupper. Har en förutsägbar kostnad. Kan administreras centralt.

17 Vad ska ett bra verktyg kunna klara av? Ha stöd för att automatiskt skapa och ta bort konton. Ha funktioner för synkronisering av kontoinformation mellan olika system. Erbjuda kiosklösningar för bortglömda lösenord. Ha stöd för policyhantering. Vara enkelt att använda. Ha anpassningsbart användargränssnitt. Utnyttja befintlig infrastruktur och resurser. Snabbt implementerat. Inte kräva några kostsamma investeringar. Vara flexibelt.

18