Identitet er den nye perimeter
Med hybrid arbejde, cloud-tjenester og API-integrationer er den traditionelle netværksperimeter opløst. I dag er identitet og adgangskontrol den vigtigste forsvarslinje.
NIS2 anerkender dette ved eksplicit at kræve kontrol over adgang til netværk og systemer.
Grundspørgsmålet: Kan I i dag liste præcis, hvem der har adgang til jeres kritiske systemer og hvorfor de har den adgang?
NIS2’s krav til adgangskontrol
Artikel 21.2j — Personaleuddannelse, adgangskontrol og aktivhåndtering:
Organisationer skal træffe passende foranstaltninger for:
- Kontrol af adgang til netværks- og informationssystemer
- Håndtering af aktiver (assets)
- Personaleuddannelse og bevidsthed
I praksis:
- Dokumentér hvem der har adgang til hvad
- Sikr at rettigheder er begrundede
- Gennemgå rettigheder regelmæssigt
- Fjern rettigheder ved rolleskift/fratræden
- Implementer stærk autentificering
Grundprincipper
Giv kun nødvendige rettigheder. Start med nul og tilføj det der behøves, ikke omvendt.
Adgang til information kun for dem, der behøver den til deres arbejdsopgaver.
Kritiske processer kræver flere personer. Ingen skal kunne handle alene i følsomme processer.
Flere lag af kontroller. Hvis et lag fejler, findes det næste.
Access review-processen
- Kortlæg rettigheder Indsaml data om hvem der har adgang til hvilke systemer. Inkluder brugerkonti, servicekonti, API-nøgler og eksterne brugere.
- Identificer afvigelser Sammenlign faktiske rettigheder med roller og ansvar. Har brugere mere adgang end de behøver? Findes der konti for fratrådte medarbejdere?
- Beslutning: behold eller fjern For hver rettighed: er den begrundet? Hvis ja, dokumentér hvorfor. Hvis nej, fjern den.
- Implementer ændringer Fjern ubegrundede rettigheder. Opdater adgangsdokumentation. Kommuniker ændringer.
- Dokumentér og følg op Gem beslutninger og begrundelser. Planlæg næste gennemgang. Rapportér status til ledelsen.
Frekvens for access review
| Kategori | Frekvens | Eksempel |
|---|---|---|
| Privilegerede konti | Kvartalsvis | Administratorer, root, servicekonti med høj adgang |
| Kritiske systemer | Kvartalsvis | Finanssystemer, kundedata, produktion |
| Følsomme data | Halvårligt | Personoplysninger, forretningshemmeligheder |
| Øvrige systemer | Årligt | Støttesystemer, interne værktøjer |
| Ved ændring | Omgående | Rolleskift, fratræden, organisationsændringer |
Almindelige fejl
Brugere skifter rolle, men beholder gamle rettigheder. Efter få år har de mere adgang end direktøren.
"Admin"-kontoen som alle kender til. Ingen sporbarhed, intet ansvar.
Konti for fratrådte medarbejdere som aldrig lukkes. Potentiel bagdør.
Servicekonti med statiske adgangskoder som aldrig skiftes. Kompromitterede for evigt.
"Giv admin-rettigheder, så ordner det sig" — standardsvaret der skaber risici.
Kritiske systemer uden multifaktor-autentificering. Stjålne adgangskoder er nok til indtrængen.
MFA overalt
Hvor MFA bør implementeres:
- Alle eksterne adgangspunkter (VPN, RDP, webmail)
- Kritiske systemer og applikationer
- Privilegerede konti (administratorer)
- Cloud-tjenester og SaaS
- Konsoladgang til servere og netværksudstyr
Ikke bare adgangskode + SMS: SMS er bedre end intet, men svagere end:
- Authenticator-apps (TOTP)
- Hardware-nøgler (FIDO2/WebAuthn)
- Push-notifikationer med number matching
Automatisering
Provisioning
- Automatiser tildeling af standardrettigheder baseret på rolle
- Kobling mellem HR-system og identitetshåndtering
- Reducér manuelle fejl og forsinkelser
Deprovisioning
- Automatisk deaktivering ved fratræden
- Kobling til HR-fratræden
- Ingen glemte konti
Access certification
- Automatiserede påmindelser for access review
- Workflow for godkendelse/afslag
- Sporbarhed og dokumentation
Tjekliste
Grundlæggende:
- Kortlægning af alle brugerkonti
- Dokumentation af servicekonti
- MFA på kritiske systemer
- Proces for onboarding/offboarding
Access review:
- Plan for regelmæssig gennemgang
- Proces for at identificere afvigelser
- Dokumentation af beslutninger
- Rapportering til ledelsen
Automatisering:
- Integration med HR-system
- Automatiseret provisioning
- Automatiseret deprovisioning
- Workflow for adgangsanmodninger
Adgangskontrol er et af flere kravområder i NIS2. Se vores NIS2-ramverk oversigt for et komplet billede af alle krav, eller brug vores NIS2-klassificeringsværktøj for at kontrollere om I er omfattet.
Sådan kan Securapilot hjælpe
Securapilot understøtter adgangskontrol og access review:
- Risikohåndtering — Identificér risici knyttet til adgang
- Dokumentation — Politikker og procedurer
- Opfølgning — Spor gennemgange og beslutninger
- Rapportering — Status for ledelsen
- Leverandører — Kontrol over ekstern adgang
Book en demo og se hvordan vi kan understøtte jeres adgangskontrol.
Ofte stillede spørgsmål
Hvad er least privilege?
Princippet om kun at give brugere de rettigheder, der kræves for at udføre arbejdsopgaverne, ikke mere. Reducerer skaden, hvis en konto kompromitteres.
Hvor ofte skal access review foretages?
Afhænger af risiko. Kritiske systemer og privilegerede konti: kvartalsvis eller oftere. Øvrige systemer: halvårligt eller årligt. Alle ændringer bør dokumenteres.
Hvad er separation of duties?
At fordele kritiske opgaver mellem flere personer, så ingen alene kan gennemføre en skadelig handling. Eksempel: den der godkender betalinger skal ikke kunne registrere dem.
Er MFA obligatorisk ifølge NIS2?
NIS2 nævner ikke MFA eksplicit, men kræver passende tekniske foranstaltninger for adgangskontrol. I praksis er MFA en grundlæggende kontrol, der forventes.
