Introduksjon

Som leder eller beslutningstager sitter du med ansvaret for virksomhetens risikobilde – ikke bare økonomisk, men også digitalt. Autentisering er en av de mest grunnleggende sikkerhetsmekanismene dere har. Likevel er det fortsatt her mange av de mest alvorlige angrepene lykkes. Denne teksten gir deg et konsist beslutningsgrunnlag for hvordan Flerfaktorautentisering (MFA) bør forstås, prioriteres og implementeres.

Kilde: Nasjonal sikkerhetsmyndighet (NSM)

Last ned temarapporten: Flerfaktorautentisering (PDF, 239KB)

Et strategisk sikkerhetstiltak

Flerfaktorautentisering (MFA) er ikke lenger et teknisk valg – det er et styringsgrep. Ved å kreve minst to uavhengige faktorer for innlogging, reduserer dere sannsynligheten for uautorisert tilgang betydelig.

Autentisering baserer seg på tre typer faktorer:

• Noe brukeren vet (passord, PIN)
• Noe brukeren har (mobil, kodebrikke)
• Noe brukeren er (biometri som fingeravtrykk)

Effekten oppstår når minst to av disse kombineres.

Realiteten: Ikke all MFA gir tilstrekkelig sikkerhet

Det er en vanlig misforståelse at all MFA gir god beskyttelse. Angripere har i dag effektive metoder for å omgå mange løsninger – særlig gjennom sosial manipulering (phishing).

Eksempler på svakheter:

• Engangskoder kan stjeles eller videreformidles
• Pushvarsler kan misbrukes ved å presse brukere til å godkjenne innlogginger
• IT-support kan manipuleres til å nullstille tilgang

Konsekvens: Hvis sikkerheten avhenger av at brukeren ikke lar seg lure, er løsningen i praksis sårbar.

Hva kjennetegner robuste løsninger?

Moderne og sikrere løsninger er designet for å være resistente mot sosial manipulering. Dette innebærer blant annet:

• Binding mellom autentisering og riktig tjeneste (hindrer “angriper-i-midten”)
• Kryptografisk signering i stedet for delte hemmeligheter
• Bruk av passnøkler (passwordless teknologi)

Dette representerer et skifte: fra menneskebasert sikkerhet til teknologisk innebygd sikkerhet.

Fire anbefalinger til ledelsen

1. Innfør MFA – men velg riktig nivå

Det holder ikke å “ha MFA”. Velg løsninger som tåler moderne angrepsmetoder. Prioriter passordløse eller phishing-motstandsdyktige alternativer der det er mulig.

2. Gjør MFA til et ledelsesforankret program

Innføring av MFA er et endringsprosjekt – ikke en IT-oppgradering.

Suksessfaktorer:

• • Forankring i toppledelsen
  • Tydelig eierskap
  • Risikovurdering og prioritering av kritiske systemer
  • Tilpasning til ulike brukergrupper

3. Unngå at svakheter undergraver sikkerheten

MFA kan omgås hvis:

• • eldre protokoller fortsatt er aktive
  • fallback-løsninger (som passord) er svake
  • systemer feiler “åpent” (fail-open)

I tillegg må dere:

• • sikre gjenopprettingsprosesser
  • kontrollere hvordan kontoer opprettes og aktiveres
  • etablere nødtilgang (“break-glass”) med strenge kontroller

4. Revider jevnlig

Trusselbildet utvikler seg raskt. Det som er sikkert i dag, er ikke nødvendigvis sikkert om ett år.

Derfor bør dere:

• • gjennomføre jevnlige kontroller
  • følge med på nye angrepsmetoder
  • justere løsninger basert på brukererfaring og teknologiutvikling

Strategisk implikasjon

MFA er en av de mest kostnadseffektive sikkerhetsinvesteringene dere kan gjøre – men kun dersom den implementeres riktig.

Feil implementert MFA kan gi en falsk trygghet. Riktig implementert MFA reduserer risiko dramatisk og styrker virksomhetens motstandskraft.

Kort oppsummert for beslutningstagere

• MFA er nødvendig – men ikke tilstrekkelig alene
• Velg løsninger som motstår sosial manipulering
• Forankre arbeidet i ledelsen, ikke bare IT
• Tenk helhet: teknologi, mennesker og prosesser
• Følg opp kontinuerlig – dette er ikke et engangstiltak