Identitet är den nya perimetern
Hybrid arbete, molntjänster och API-integrationer har löst upp den traditionella nätverksperimetern. I dag är identitet och åtkomstkontroll den viktigaste försvarslinjen.
NIS2 erkänner detta genom att explicit kräva kontroll över åtkomst till nätverk och system.
Grundfrågan: Kan du i dag lista exakt vem som har tillgång till era kritiska system och varför de har den tillgången?
NIS2:s krav på åtkomstkontroll
Artikel 21.2j: Personalutbildning, åtkomstkontroll och tillgångshantering:
Organisationer ska vidta lämpliga åtgärder för:
- Kontroll av åtkomst till nätverks- och informationssystem
- Hantering av tillgångar (assets)
- Personalutbildning och medvetenhet
I praktiken:
- Dokumentera vem som har åtkomst till vad
- Säkerställ att behörigheter är motiverade
- Granska behörigheter regelbundet
- Ta bort behörigheter vid rollbyten/avslut
- Implementera stark autentisering
Vilka grundprinciper gäller?
Ge bara de behörigheter som behövs. Börja med noll och lägg till det som krävs — inte tvärtom.
Tillgång till information endast för dem som behöver den för sina arbetsuppgifter.
Kritiska processer kräver flera personer. Ingen ska kunna agera ensam vid känsliga moment.
Flera lager av kontroller. Om ett lager fallerar, finns nästa.
Så fungerar en behörighetsgranskning
- Inventera behörigheter Samla data om vem som har åtkomst till vilka system. Glöm inte tjänstkonton, API-nycklar och externa användare.
- Identifiera avvikelser Jämför faktiska behörigheter mot roller och ansvar. Har någon mer åtkomst än hen behöver? Finns konton kvar för avslutade anställda?
- Beslut: behåll eller ta bort För varje behörighet: är den motiverad? Om ja, dokumentera varför. Om nej, ta bort.
- Implementera ändringar Ta bort omotiverade behörigheter. Uppdatera access-dokumentation. Kommunicera förändringar.
- Dokumentera och följ upp Spara beslut och motiveringar. Planera nästa granskning. Rapportera status till ledning.
Hur ofta bör du granska behörigheter?
| Kategori | Frekvens | Exempel |
|---|---|---|
| Privilegierade konton | Kvartalsvis | Administratörer, root, service accounts med hög åtkomst |
| Kritiska system | Kvartalsvis | Finanssystem, kunddata, produktion |
| Känsliga data | Halvårsvis | Personuppgifter, affärshemligheter |
| Övriga system | Årligen | Stödsystem, interna verktyg |
| Vid förändring | Omedelbart | Rollbyten, avslut, organisationsändringar |
Vilka misstag bör du undvika?
En medarbetare byter roll men behåller gamla behörigheter. Efter några år har hen mer åtkomst än vd.
"Admin"-kontot som alla känner till. Ingen spårbarhet, ingen ansvarighet.
Konton för avslutade anställda som aldrig stängs. En potentiell bakdörr in i systemen.
Tjänstkonton med statiska lösenord som aldrig byts. Blir de stulna är de stulna för alltid.
"Ge admin-rättigheter så löser det sig", standardsvaret som skapar risker.
Kritiska system utan multifaktorautentisering. Stulna lösenord räcker för intrång.
MFA överallt
Var MFA bör implementeras:
- Alla externa åtkomstpunkter (VPN, RDP, webmail)
- Kritiska system och applikationer
- Privilegierade konton (administratörer)
- Molntjänster och SaaS
- Konsol-åtkomst till servrar och nätverksutrustning
Inte bara lösenord + SMS: SMS är bättre än inget, men svagare än:
- Authenticator-appar (TOTP)
- Hårdvarunycklar (FIDO2/WebAuthn)
- Push-notifikationer med number matching
Hur kan du automatisera åtkomstkontroll?
Provisioning
- Automatisera tilldelning av standardbehörigheter baserat på roll
- Koppling mellan HR-system och identitetshantering
- Minska manuella fel och förseningar
Deprovisioning
- Automatisk inaktivering vid anställningsavslut
- Koppling till HR-avslut
- Inga glömda konton
Behörighetscertifiering
- Automatiserade påminnelser för behörighetsgranskning
- Workflow för godkännande/avslag
- Spårbarhet och dokumentation
Checklista för åtkomstkontroll
Grundläggande:
- Inventering av alla användarkonton
- Dokumentation av tjänstkonton
- MFA på kritiska system
- Process för nyanställning och avslut
Behörighetsgranskning:
- Schema för regelbunden granskning
- Process för att identifiera avvikelser
- Dokumentation av beslut
- Rapportering till ledning
Automatisering:
- Integration med HR-system
- Automatiserad provisioning
- Automatiserad deprovisioning
- Workflow för access-förfrågningar
Åtkomstkontroll är ett av flera kravområden i NIS2. Se vår NIS2-ramverksöversikt för en komplett bild av alla krav, eller använd vårt NIS2-klassificeringsverktyg för att kontrollera om ni omfattas.
Så kan Securapilot hjälpa
Securapilot stödjer åtkomstkontroll och behörighetsgranskningar:
- Riskhantering: Identifiera risker kopplade till åtkomst
- Dokumentation: Policyer och procedurer
- Uppföljning: Spåra granskningar och beslut
- Rapportering: Status för ledning
- Leverantörer: Kontroll över extern åtkomst
Boka en demo och se hur vi kan stödja er åtkomstkontroll.
Vanliga frågor
Vad är least privilege?
Principen att ge användare endast de behörigheter som krävs för att utföra arbetsuppgifterna, inget mer. Minskar skadan om ett konto komprometteras.
Hur ofta ska access review göras?
Beroende på risk. Kritiska system och privilegierade konton: kvartalsvis eller oftare. Övriga system: halvårsvis eller årligen. Alla förändringar bör dokumenteras.
Vad är separation of duties?
Att fördela kritiska uppgifter mellan flera personer så att ingen ensam kan genomföra en skadlig handling. Exempel: den som godkänner betalningar ska inte kunna registrera dem.
Är MFA obligatoriskt enligt NIS2?
NIS2 nämner inte MFA explicit, men kräver lämpliga tekniska åtgärder för åtkomstkontroll. I praktiken är MFA en grundläggande kontroll som förväntas.
