Identitet är den nya perimetern
Med hybrid arbete, molntjänster och API-integrationer har den traditionella nätverksperimetern upplösts. Idag är identitet och åtkomstkontroll den viktigaste försvarslinjen.
NIS2 erkänner detta genom att explicit kräva kontroll över åtkomst till nätverk och system.
Grundfrågan: Kan du idag lista exakt vem som har tillgång till era kritiska system och varför de har den tillgången?
NIS2:s krav på åtkomstkontroll
Artikel 21.2j: Personalutbildning, åtkomstkontroll och tillgångshantering:
Organisationer ska vidta lämpliga åtgärder för:
- Kontroll av åtkomst till nätverks- och informationssystem
- Hantering av tillgångar (assets)
- Personalutbildning och medvetenhet
I praktiken:
- Dokumentera vem som har åtkomst till vad
- Säkerställ att behörigheter är motiverade
- Granska behörigheter regelbundet
- Ta bort behörigheter vid rollbyten/avslut
- Implementera stark autentisering
Grundprinciper
Ge endast nödvändiga behörigheter. Börja med noll och lägg till det som behövs, inte tvärtom.
Tillgång till information endast för dem som behöver den för sina arbetsuppgifter.
Kritiska processer kräver flera personer. Ingen ska kunna agera ensam i känsliga processer.
Flera lager av kontroller. Om ett lager fallerar, finns nästa.
Access review-processen
- Inventera behörigheter Samla data om vem som har åtkomst till vilka system. Inkludera användarkonton, tjänstkonton, API-nycklar och externa användare.
- Identifiera avvikelser Jämför faktiska behörigheter mot roller och ansvar. Har användare mer åtkomst än de behöver? Finns konton för avslutade anställda?
- Beslut: behåll eller ta bort För varje behörighet: är den motiverad? Om ja, dokumentera varför. Om nej, ta bort.
- Implementera ändringar Ta bort omotiverade behörigheter. Uppdatera access-dokumentation. Kommunicera förändringar.
- Dokumentera och följ upp Spara beslut och motiveringar. Planera nästa granskning. Rapportera status till ledning.
Frekvens för access review
| Kategori | Frekvens | Exempel |
|---|---|---|
| Privilegierade konton | Kvartalsvis | Administratörer, root, service accounts med hög åtkomst |
| Kritiska system | Kvartalsvis | Finanssystem, kunddata, produktion |
| Känsliga data | Halvårsvis | Personuppgifter, affärshemligheter |
| Övriga system | Årligen | Stödsystem, interna verktyg |
| Vid förändring | Omedelbart | Rollbyten, avslut, organisationsändringar |
Vanliga misstag
Användare byter roll men behåller gamla behörigheter. Efter några år har de mer åtkomst än VD.
"Admin"-kontot som alla känner till. Ingen spårbarhet, ingen ansvarighet.
Konton för avslutade anställda som aldrig stängs. Potentiell backdoor.
Tjänstkonton med statiska lösenord som aldrig byts. Komprometterade i evighet.
"Ge admin-rättigheter så löser det sig", standardsvaret som skapar risker.
Kritiska system utan multifaktorautentisering. Stulna lösenord räcker för intrång.
MFA överallt
Var MFA bör implementeras:
- Alla externa åtkomstpunkter (VPN, RDP, webmail)
- Kritiska system och applikationer
- Privilegierade konton (administratörer)
- Molntjänster och SaaS
- Konsol-åtkomst till servrar och nätverksutrustning
Inte bara lösenord + SMS: SMS är bättre än inget, men svagare än:
- Authenticator-appar (TOTP)
- Hårdvarunycklar (FIDO2/WebAuthn)
- Push-notifikationer med number matching
Automatisering
Provisioning
- Automatisera tilldelning av standardbehörigheter baserat på roll
- Koppling mellan HR-system och identitetshantering
- Minska manuella fel och förseningar
Deprovisioning
- Automatisk inaktivering vid anställningsavslut
- Koppling till HR-avslut
- Inga glömda konton
Access certification
- Automatiserade påminnelser för access review
- Workflow för godkännande/avslag
- Spårbarhet och dokumentation
Checklista
Grundläggande:
- Inventering av alla användarkonton
- Dokumentation av tjänstkonton
- MFA på kritiska system
- Process för onboarding/offboarding
Access review:
- Schema för regelbunden granskning
- Process för att identifiera avvikelser
- Dokumentation av beslut
- Rapportering till ledning
Automatisering:
- Integration med HR-system
- Automatiserad provisioning
- Automatiserad deprovisioning
- Workflow för access-förfrågningar
Åtkomstkontroll är ett av flera kravområden i NIS2. Se vår NIS2-ramverksöversikt för en komplett bild av alla krav, eller använd vårt NIS2-klassificeringsverktyg för att kontrollera om ni omfattas.
Så kan Securapilot hjälpa
Securapilot stödjer åtkomstkontroll och access review:
- Riskhantering: Identifiera risker kopplade till åtkomst
- Dokumentation: Policyer och procedurer
- Uppföljning: Spåra granskningar och beslut
- Rapportering: Status för ledning
- Leverantörer: Kontroll över extern åtkomst
Boka en demo och se hur vi kan stödja er åtkomstkontroll.
Vanliga frågor
Vad är least privilege?
Principen att ge användare endast de behörigheter som krävs för att utföra arbetsuppgifterna, inget mer. Minskar skadan om ett konto komprometteras.
Hur ofta ska access review göras?
Beroende på risk. Kritiska system och privilegierade konton: kvartalsvis eller oftare. Övriga system: halvårsvis eller årligen. Alla förändringar bör dokumenteras.
Vad är separation of duties?
Att fördela kritiska uppgifter mellan flera personer så att ingen ensam kan genomföra en skadlig handling. Exempel: den som godkänner betalningar ska inte kunna registrera dem.
Är MFA obligatoriskt enligt NIS2?
NIS2 nämner inte MFA explicit, men kräver lämpliga tekniska åtgärder för åtkomstkontroll. I praktiken är MFA en grundläggande kontroll som förväntas.
