Identitet er den nye perimeteren
Med hybrid arbeid, skytjenester og API-integrasjoner har den tradisjonelle nettverksperimeteren oppløst seg. I dag er identitet og tilgangskontroll den viktigste forsvarslinjen.
NIS2 anerkjenner dette ved eksplisitt å kreve kontroll over tilgang til nettverk og systemer.
Grunnleggende spørsmål: Kan du i dag liste nøyaktig hvem som har tilgang til deres kritiske systemer og hvorfor de har denne tilgangen?
NIS2s krav til tilgangskontroll
Artikkel 21.2j — Personalopplæring, tilgangskontroll og ressurshåndtering:
Organisasjoner skal iverksette hensiktsmessige tiltak for:
- Kontroll av tilgang til nettverks- og informasjonssystemer
- Håndtering av ressurser (assets)
- Personalopplæring og bevissthet
I praksis:
- Dokumenter hvem som har tilgang til hva
- Sikre at tillatelser er begrunnet
- Gjennomgå tillatelser regelmessig
- Fjern tillatelser ved rolleskifter/avslutning
- Implementer sterk autentisering
Grunnprinsipper
Gi kun nødvendige tillatelser. Start med null og legg til det som trengs, ikke omvendt.
Tilgang til informasjon kun for dem som trenger den for sine arbeidsoppgaver.
Kritiske prosesser krever flere personer. Ingen skal kunne handle alene i sensitive prosesser.
Flere lag med kontroller. Hvis ett lag feiler, finnes det neste.
Tilgangsgjennomgangsprosessen
- Inventér tillatelser Saml data om hvem som har tilgang til hvilke systemer. Inkluder brukerkontoer, tjenestekontoer, API-nøkler og eksterne brukere.
- Identifiser avvik Sammenlign faktiske tillatelser mot roller og ansvar. Har brukere mer tilgang enn de trenger? Finnes kontoer for avsluttede ansatte?
- Beslutning: behold eller fjern For hver tillatelse: er den begrunnet? Hvis ja, dokumentér hvorfor. Hvis nei, fjern.
- Implementer endringer Fjern ubegrunnede tillatelser. Oppdater tilgangsdokumentasjon. Kommuniser endringer.
- Dokumenter og følg opp Lagre beslutninger og begrunnelser. Planlegg neste gjennomgang. Rapporter status til ledelsen.
Frekvens for tilgangsgjennomgang
| Kategori | Frekvens | Eksempel |
|---|---|---|
| Privilegerte kontoer | Kvartalsvis | Administratorer, root, tjenestekontoer med høy tilgang |
| Kritiske systemer | Kvartalsvis | Finanssystemer, kundedata, produksjon |
| Sensitive data | Halvårlig | Personopplysninger, forretningshemmeligheter |
| Øvrige systemer | Årlig | Støttesystemer, interne verktøy |
| Ved endring | Umiddelbart | Rolleskifter, avslutning, organisasjonsendringer |
Vanlige feil
Brukere skifter rolle men beholder gamle tillatelser. Etter noen år har de mer tilgang enn administrerende direktør.
"Admin"-kontoen som alle kjenner til. Ingen sporbarhet, intet ansvar.
Kontoer for avsluttede ansatte som aldri stenges. Potensiell bakdør.
Tjenestekontoer med statiske passord som aldri endres. Kompromitterte for evig tid.
"Gi admin-rettigheter så løser det seg" — standardsvaret som skaper risiko.
Kritiske systemer uten multifaktorautentisering. Stjålne passord er nok for innbrudd.
MFA overalt
Hvor MFA bør implementeres:
- Alle eksterne tilgangspunkter (VPN, RDP, webmail)
- Kritiske systemer og applikasjoner
- Privilegerte kontoer (administratorer)
- Skytjenester og SaaS
- Konsoll-tilgang til servere og nettverksutstyr
Ikke bare passord + SMS: SMS er bedre enn ingenting, men svakere enn:
- Autentiserings-apper (TOTP)
- Maskinvarenøkler (FIDO2/WebAuthn)
- Push-varsler med number matching
Automatisering
Provisioning
- Automatiser tildeling av standardtillatelser basert på rolle
- Kobling mellom HR-system og identitetshåndtering
- Reduser manuelle feil og forsinkelser
Deprovisioning
- Automatisk deaktivering ved ansettelsesavslutning
- Kobling til HR-avslutning
- Ingen glemte kontoer
Tilgangssertifisering
- Automatiserte påminnelser for tilgangsgjennomgang
- Arbeidsflyt for godkjenning/avslag
- Sporbarhet og dokumentasjon
Sjekkliste
Grunnleggende:
- Inventering av alle brukerkontoer
- Dokumentasjon av tjenestekontoer
- MFA på kritiske systemer
- Prosess for onboarding/offboarding
Tilgangsgjennomgang:
- Tidsplan for regelmessig gjennomgang
- Prosess for å identifisere avvik
- Dokumentasjon av beslutninger
- Rapportering til ledelsen
Automatisering:
- Integrasjon med HR-system
- Automatisert provisioning
- Automatisert deprovisioning
- Arbeidsflyt for tilgangsforespørsler
Tilgangskontroll er ett av flere kravområder i NIS2. Se vår NIS2-rammeverkoversikt for en komplett oversikt over alle krav, eller bruk vårt NIS2-klassifiseringsverktøy for å kontrollere om dere omfattes.
Slik kan Securapilot hjelpe
Securapilot støtter tilgangskontroll og tilgangsgjennomgang:
- Risikohåndtering — Identifiser risiko knyttet til tilgang
- Dokumentasjon — Policyer og prosedyrer
- Oppfølging — Spor gjennomganger og beslutninger
- Rapportering — Status for ledelsen
- Leverandører — Kontroll over ekstern tilgang
Book en demo og se hvordan vi kan støtte deres tilgangskontroll.
Ofte stilte spørsmål
Hva er least privilege?
Prinsippet om å gi brukere kun de tillatelsene som kreves for å utføre arbeidsoppgavene, ikke mer. Reduserer skaden hvis en konto kompromitteres.
Hvor ofte skal tilgangsgjennomgang gjøres?
Avhenger av risiko. Kritiske systemer og privilegerte kontoer: kvartalsvis eller oftere. Øvrige systemer: halvårlig eller årlig. Alle endringer bør dokumenteres.
Hva er separation of duties?
Å fordele kritiske oppgaver mellom flere personer slik at ingen enkeltperson kan gjennomføre en skadelig handling. Eksempel: den som godkjenner betalinger skal ikke kunne registrere dem.
Er MFA obligatorisk i henhold til NIS2?
NIS2 nevner ikke MFA eksplisitt, men krever hensiktsmessige tekniske tiltak for tilgangskontroll. I praksis er MFA en grunnleggende kontroll som forventes.
