Teknologi, kompetanse, brukere og brukervennlighet i fokus.
Vi lever i en verden av teknologi. Det er store forskjeller på teknologiene, og det er tilsvarende når det gjelder kompetanse på disse.
I tillegg kommer brukeren og fokuset på brukervennlighet.
Og. Har vi glemt en ting? Alt skal i tillegg være sikkert. Dette blir mange dimensjoner, og hvem skal styre og kontrollere det?
“Sikkerhet er ikke bra om det ikke er brukervennlig”
Denne påstanden har jeg kjørt i mange år, og den var sentral i mitt arbeid som CISO. Og her kommer vi til samarbeid med teknologene. Å skaffe seg den beste teknologien og dermed muligheten til å oppnå den beste sikkerheten kan fort gå på bekostning av brukervennlighet. I andre enden er det mange som skal spare penger og kjøper teknologi som er vanskelig å gjøre brukervennlig.
Dårlige løsninger og installasjoner gir dårlige brukeropplevelser
Hvem her har ikke måttet forholde seg til en dårlig MFA løsning? Jeg vil anta at alle har vært der. MFA trenger ekstra omsorg av IT og sikkerhetsledelse for å bli så brukervennlig som mulig. Om installasjonen gjøres skikkelig, og justeres og tunes over tid, vil brukerne få en enklere hverdag enn uten, fordi Single Sign-On kan og bør være en sentral del av en slik installasjon.
Både VPN og MFA finnes i gamle og “dårlige” varianter, som fortsatt eksisterer i produksjon for mange, og stakkars brukere. Vi lever i 2024, og slike sentrale løsninger burde få den fortjente oppmerksomheten vi alle fortjener.
“Det fungerer, og det er billig”
Vel, joda, men neida. Gang på gang har gamle VPN løsninger blitt misbrukt, både fra Juniper, Ivanti, Cisco og Fortinet. I tillegg fungerer det veldig fint uten MFA, joda, men neida, slik SKAL og KAN det ikke være i 2024.
Kjører man VPN/Always-On VPN SKAL man ha MFA, alle steder, hele tiden, og hele løsningen skal og må være brukervennlig, fordi det er 2024, og fordi det er høyst oppnåelig.
“Vi trenger ikke MFA når vi er på kontoret”
Å fydda for en påstand, men den lever i beste velgående, dessverre. Kjempedessverre.
- Nummer 1. Å komme med en slik påstand er et signal om en dårlig og lite brukervennlig MFA løsning. Fiks brukervennligheten og ha MFA aktivt alltid, alle steder, for alle, inkludert for eksterne.
- Nummer 2. Å komme med en slik påstand betyr at man ikke forstår dagens trusselbilde og viktigheten av å leve etter Assume Breach. De kriminelle aktørene klarer å komme seg på innsiden, enten via misbruk av en software sårbarhet, via manglende MFA på VPN eller tilsvarende, eller phishing som gir den tilgang til en arbeidsstasjon. Om MFA da ikke er aktiv på “innsiden” blir det enklere å være kriminell. Lytt til Martin i opptaket fra webinaret vi hadde, der han bl.a misbrukte unntak for MFA på innsiden.
VPN/Always-On VPN
VPN har eksistert som remote access i mange år, og er noe brukere aktiverer ved behov.
Pålogginger varierer, der noen må fylle inn brukernavn og passord hver gang, noen har brukernavn lagret og bare trenger å fylle inn passord, og for altfor mange er det ikke en gang MFA selv om det er sterkt anbefalt. For de som har MFA må man kanskje fylle inn tre ting for å komme inn, der MFA kanskje er en 6-sifret kode man må lese av fra telefonen.
VPN verden har gått videre. Always-On VPN
Mange arbeider for en VPN fri verden, og det gir veldig god mening, men dette er ikke nødvendigvis en god eller realistisk løsning for alle.
Always-On VPN anbefales av mange grunner for “alle”. En slik løsning skal være brukervennlig, da den automatisk kobler til, og kan samtidig gjøres meget sikker med både sertifikat og FIDO2.
En Always-On VPN løsning vil både gi fjernaksess tilsvarende den gamle tradisjonelle VPN løsningen, men den har i tillegg til hensikt å gi enda flere lag med sikkerhet, alltid, for man må i dag være ekstra godt sikret hele tiden, spesielt mot phishing, med DNS og URL sikkerhet alltid aktivt, noe som beviselig har stor effekt.
Mange av de største kundene kjører med slike løsninger og er særs fornøyde, og da spesielt brukerne som har jobbet med andre teknologier og installasjoner tidligere. Enklere. Mer brukervennlig. Mer stabilt. Bedre ytelse. Bedre sikkerhet.
Brukervennlig OG sikker MFA krever tuning
Det er ikke nok å bare ha MFA, man må bruke tid på oppsettet. Å ha individuell MFA på alle løsninger er IKKE brukervennlig, og ei heller sikkert.
Sentralisert autentisering og tilgangskontroll er anbefalt i NSMs grunnprinsipper for IKT-sikkerhet:
- 2.6.1 f)
- “Gjenbruk identiteter mest mulig på tvers av systemer, delsystemer og applikasjoner (ideelt «Single sign on»)”
God sikkerhet er som en god fotballkamp
Om man ser en fotballkamp uten å nevneverdig merke dommeren, tyder det gjerne på en kamp der dommeren ikke har blåst for mye eller for lite, men vedkommende har blåst når det skal blåses.
Det er veldig likt innen sikkerhet. Min erfaring er at Always-On VPN med god MFA implementasjon er akkurat som en slik god fotballkamp. Brukerne skal nærmest ikke merke det. Det er en kombinasjon av kommunikasjon med brukerne om viktigheten av god sikkerhet, og god installasjon med fornuftige intervaller på autentisering, som kan være alt fra hver gang man logger på en tjeneste, til en gang om dagen, i uka, eller sjeldnere. Det kommer helt an på løsning, kritikalitet og risikovurdering.
Sett brukervennlighet på agendaen
Sikkerhet er viktig, det er alle enige om. Derfor kjøpes og installeres det teknologi i “hytt og pine”, ofte uten nevneverdig god kompetanse. Den tekniske sikkerheten kan være både god og dårlig etter en slik installasjon, men kan ofte inneha lite brukervennlighet. Verifiser at løsninger er gjort så brukervennlige som mulig, og spør om hjelp om behov, for dette er komplisert, og bistand er helt innafor å spørre om.
Lykke til på veien mot en mer brukervennlig og sikrere hverdag.
Leave a Reply