Artikelserie: NSIS-compliance – Hvorfor NSIS og hvordan overholder I NSIS-standarden?
Som en del af temarækken ”Stay safe, start smart” dykker Globeteams konsulent Bjarne B. Dollerup ned i NSIS-standarden. Hvad betyder den nye standard, hvilke krav skal overholdes, hvad er vigtigt at have med i jeres overvejelser, og hvordan kommer I videre og sikkert i mål med NSIS-opgaven. Første artikel har fokus på det helt grundlæggende indenfor NSIS og digitale identiteter, nemlig styring af brugere og deres adgange.
I de næste artikler kigger vi bl.a. på føderationsløsninger og jeres eksisterende it-infrastruktur, for hvor meget kan I genbruge, og hvad skal nytænkes.
Governance og compliance: Styring af brugere og deres adgange
For en virksomhed eller offentlig organisation er det ekstremt vigtigt både at sikre kunders og borgeres information, men også at sikre, at kun de medarbejdere, der har brug for denne information, kan få adgang til den.
En væsentlig del af at sikre sine brugere en enkel og sikker adgang til de applikationer og informationer, de har brug for, er adgangsstyring. Men individuel styring af hver eneste applikation eller service og hver eneste bruger er typisk en overvældende opgave for enhver virksomhed.
Derfor vælger virksomheder at standardisere styring af deres brugeres adgang til applikationerne ved hjælp af brugerstyringssystemer som Active Directory (AD), grupper og roller. Applikationernes beskrivelse af adgangene er dog en yderlig udfordring: Hvordan tilgås applikationen, og hvordan “udtrykker” den sine “adgangsbegrænsninger”?
Det er her, imellem styring af brugernes adgang og applikationerne, at vi finder et sæt af elementer, der gør det muligt at styre begge ender af ligningen effektivt. Nemlig føderation af identitet, ofte kaldet “Single Sign-On” (SSO). Føderation dækker over en række standarder for, hvorledes applikationer taler med en brugers identitetsbekræfter eller -leverandør. I Danmark findes en fælles-offentlig standardisering ovenpå føderation, kaldet “National Standard for Identiteters Sikringsniveauer”(NSIS).
I slutningen af denne artikel kan du læse mere om de mekanismer og standarder, der er omtalt ovenfor.
Adgang til fortrolige eller personhenførbare oplysninger
For at gøre det enklere at styre “fortrolighedsgraden” eller den information, som en given applikation eller service giver adgang til, anvendes NSIS-sikkerhedsniveauer: Lav, betydelig og høj. Disse tre sikkerhedsniveauer bruges ikke nødvendigvis til at give adgang til specifik information, de bruges til at kvalificere, hvor sikker en given organisation skal være på en brugeridentitet.
Det betyder, at informationer, der er markeret med niveau høj, kun kan tilgås af brugere, der er kategoriseret som høj. Et eksempel på dette kunne være en patients sundhedsdata.
Ovenstående er beskrevet på Digitaliseringsstyrelsen hjemmeside (se Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS) – version 2.1 (digst.dk)).
Styring af brugere og deres adgange
Som nævnt ovenfor, skal en organisation identificere og kategorisere sine brugere, for at de kan tilgå offentlige applikationer. Dette gælder i alle led af brugeradministrationsprocessen: Fra indrullering af brugerne, til når brugerne logger ind på henholdsvis deres PC og en given offentlig applikation.
Login eller adgang til data, som er kategoriseret på niveau høj eller betydelig, kræver blandt andet en ekstra identifikationsfaktor, typisk via multi-faktor login. Adgangen til disse applikationer vil i sagens natur løbende blive afbrudt, for eksempel 30 minutter efter login. Så for at gøre det nemmere for brugerne at arbejde i applikationerne, vil disse applikationer typisk tilbyde muligheden for at logge ind til applikationen på niveau lav og derefter – når det er nødvendigt – foretage en yderligere identifikation ved hjælp af en eller flere faktorer.
Det siger sig selv, at organisationen løbende skal sikre brugernes identitet, og at de skal have adgang til applikationer på ovenfor beskrevne niveauer. Dette betyder, at der skal være processer for blandt andet:
- Ind- og udmelding af brugerne
- Styring af brugernes adgang
- Sikring og styring af multi-faktor systemerne
Revision
Som en konsekvens af ovenstående kræver Digitaliseringsstyrelsen, at organisationen har styr på sine processer, og at disse løbende bliver revideret. En sådan revision kan være både tids- og omkostningskrævende.
Globeteams anbefaling
Brug føderation
Brug føderation både til at tilgå generelle applikationer som f.eks. Office 365, men også alle andre applikationer. Føderationssystemet skal være koblet op til en autoritativ kilde (fx AD eller Azure AD).
Dette har blandt andet den fordel, at en bruger ikke længere kan tilgå de applikationer, som vedkommende har fået adgang til, som en del af sit job, når denne ikke længere er i organisationen.
Det lyder såre simpelt, men vi støder stadigvæk på organisationer, der tillader brugere at oprette sig direkte på en ekstern service. Vi ser også organisationer, hvor brugere kan oprette sig på eksterne services med en privat e-mail.
Brug også føderation til at tilgå NSIS-føderationssystemet
Dette betyder, at brugerne kan logge sig ind og tilgå deres “normale” applikationer, som f. eks. Office 365 og applikationer, der er installeret på organisationens eget netværk med deres “normale” login, og at adgangen til NSIS-applikationer håndteres via en separat server/service. Det lyder banalt, men denne opdeling betyder, at det “kun” er NSIS-føderationssystemet, der skal revideres.
Brug MFA – Multi-faktor godkendelse
Brug af MFA bør være indlysende og er et krav fra Digitaliseringsstyrelsen i forbindelse med tilgang til applikationer, der er karakteriseret ved niveau ”betydelig” og ”høj”. Ikke alle MFA-systemer er lige gode. Fx kan det ikke anbefales at bruge SMS, da “vejen” til den modtagne enhed (mobiltelefonen) ikke er krypteret hele vejen. (Se vores artikel om MFA)
For at hjælpe en organisation med at få et korrekt overblik over sine brugere, styringen af disse samt en opbygning af en identitetskæde til brug for login til applikationerne, tilbyder Globeteam en workshop. Kontakt Peter Langvad på e-mail: pl@globeteam.com eller mobil +45 3086 4343 for mere information herom.
Fakta om relevante standarder
Hvad er føderation af identitet?
”Føderation af identitet” er stærkt forsimplet overskriften for den relativt komplekse proces, der foregår, når en bruger skal tilgå en applikation og det fundament, som denne hviler på.
Føderation består af et sæt af protokoller ovenpå https (internettets transportmekanisme). Disse protokoller beskriver alt fra, hvorledes brugerens identitet bekræftes til, hvorledes applikationernes roller beskrives.
Hvad er NSIS?
NSIS (National Standard for Identiteters Sikringsniveauer) er den danske implementering af den fælles-europæiske identitetsstandard eIDAS (electronic IDentification, Authentication and trust Services). Denne standard beskriver hvorledes både håndteringen af brugerne, deres adgang og applikationerne foretages.
Artikelserie: NSIS-compliance – Hvorfor NSIS og hvordan overholder I NSIS-standarden
Som en del af temarækken ”Stay safe, start smart” dykker Globeteams konsulent Bjarne B. Dollerup ned i NSIS-standarden. Hvad betyder den nye standard, hvilke krav skal overholdes, hvad er vigtigt at have med i jeres overvejelser, og hvordan kommer I videre og sikkert i mål med NSIS-opgaven.
I de kommende uger kan du læse følgende artikler om NSIS, sikkerhed og compliance:
