Auktorisation – Vad får du göra?

IAM
PER ÖLMUNGER & TOBIAS HJORT
24.11.2022

I vårt förra blogginlägg gick vi genom autentisering och hur vi åstadkommer det på bästa sätt. När vi vet vem du är så kan vi släppa in dig… Eller? Kan vi det? Efter autentisering  kommer nästa steg, auktorisation. Auktorisation innebär att ta reda på vad du får göra och begränsa din åtkomst utifrån det. I detta blogginlägg ska vi guida dig hur detta kan göras och vad man behöver tänka på.

Hur bestämmer vi åtkomst?

Det normala är att enbart de som måste ha tillgång ska få det. Men hur vet vi vilka som ska ha tillgång till vad? Precis som vi beskrev i blogginlägget om autentisering måste en informationssäkerhetsanalys genomföras för varje system som vi vill skydda. Genom en sådan analys kan vi bestämma vilka som ska få tillgång till en viss information eller system och vad de får göra.

Det är många faktorer som avgör: Hur har du identifierat dig? Vilken roll har du och vilka är dina arbetsuppgifter? Vad använder du för enhet för att ansluta? Är det din arbetsdator eller din privata? Varifrån ansluter du? Sitter du på ett café eller sitter du på hemmakontoret? Hur brukar du göra?

Det är många frågor, som vi får koppla till tillitsnivåer. Beroende på vilka svar som frågorna ger kanske din åtkomst förändras. Ansluter du mot ett visst system från t.ex. ett offentligt nätverk så kanske du inte får ansluta. Om du bara har autentiserat dig med lösenord så kanske du behöver autentisera dig igen, med en starkare metod, för att få åtkomst till information eller ett system.

Autentisering

För att verkligen kunna bestämma vad du får göra så måste vi först och främst veta vem du är. Desto säkrare vi är på att du verkligen är du så kan vi anpassa dina rättigheter därefter. Som vi tog upp i förra artikeln så finns det många olika sätt att göra detta och varje sätt har sin egen nivå av tillit. Exempelvis är lösenord en svagare autentisering än e-legitimation.

System med en hög tillitsnivå kräver en starkare identifieringsmetod. Vi kan tillåta dig att logga in med en lägre men då anpassar vi dina rättigheter. Kanske får du bara läsa, eller så får du bara läsa viss information. Vill du göra något annat så är det stopp. Eller så kan vi be dig att använda en starkare autentiseringsmetod för att få göra det du vill göra.

Din identitet är väldigt viktig. Utifrån din identitet kan vi bestämma vad du får göra. Desto säkrare vi är på att du är den du är desto mer kan vi tillåta dig att göra – upp till en viss gräns förstås. Nästa steg är att bestämma t.ex. vad du har rätt att göra utifrån dina arbetsuppgifter.

Roll och arbetsuppgifter

Roll och arbetsuppgifter är nästa steg att utvärdera för att tillåta åtkomst. Roll och arbetsuppgifter är det vi oftast kopplar till ”Least privilege”-principen. Detta innebär att du inte ska ha högre behörighet än vad som krävs för t.ex. dina arbetsuppgifter. Du behöver t.ex. inte vara administratör med rätt att göra ”vad som helst” i ett system när du egentligen bara behöver läsa eller ändra vissa uppgifter.

Det är också vanligt att du har flera olika roller. Inom en kommun t.ex. kan du både vara anställd och vårdnadshavare. Som anställd har du åtkomst baserad på bland annat dina arbetsuppgifter men som vårdnadshavare har du en helt annan åtkomst. Som vårdnadshavare får du kanske enbart tillgång till ditt barns schema och annan information från skolan. Men, agerar du som anställd har du andra rättigheter. Som anställd ska du t.ex. inte kunna rapportera frånvaro för ditt barn. Så det är viktigt att separera olika roller.

Enhet och plats

Det är inte bara din identitet som avgör hur hög åtkomst du kan få. Varifrån du ansluter och vilken enhet du använder kan också avgöra åtkomsten. Sitter du vid din arbetsdator på din organisations interna nätverk så kan det anses vara betydligt säkrare än om du använder en privat dator på ett privat hemmanätverk. Så länge du sitter i din organisations nätverk och använder din arbetsdator så har organisationen möjlighet att kontrollera hur informationen flödar.

Sitter du på ett publikt nätverk har organisationen ingen kontroll. Kanske tar sig någon in i din dator via det publika nätverket? Du kanske använder en lånedator och sparar ner information lokalt på den datorn? Dessutom är det betydligt säkrare att identifiera att du verkligen är du om du sitter på en känd enhet på ett känt, säkert nätverk. Det tar oss in på riskhantering genom rutiner och vanor.

Rutiner och vanor

Hur brukar du ansluta mot de resurser du brukar använda? Största delen av tiden sitter du kanske på kontoret med din ordinarie arbetsdator, men nästa dag sitter du på ett annat nätverk och en annan dator. Det höjer ett varningens finger. Är det verkligen du? Vi kan då be dig att legitimera dig med en starkare metod och sedan tillåta åtkomsten.

Att styra åtkomst genom rutiner och vanor är vanligt. Genom att läsa av hur du brukar ansluta och varifrån kan man snabbt stoppa vissa misstänkta anslutningar. Antag att du loggar in på din arbetsdator på kontoret i Kiruna på morgonen. Vid lunch, samma dag, så försöker någon, som utger sig för att vara du, logga in från en okänd dator i Hong Kong. Detta försök kan vi neka direkt då det är högst osannolikt att du har lyckats ta dig till Hong Kong på bara några timmar.

Genom att läsa av mönster kan vi bygga olika säkerhetsnivåer. Mönster vi känner igen såsom t.ex. dator, nätverk och klockslag, men även vilka system du brukar ansluta till, kan ge oss information hur du brukar arbeta. Allt som bryter detta mönster kan varna och tvinga fram ytterligare åtgärder för att styrka din identitet eller att din behörighet minskas alternativt nekas helt.

Koka soppa… på många spikar och skruvar

Så hur avgör vi om du får åtkomst till ett visst system? Återigen är det informationsklassningen för just det system du ansluter mot som avgör. Ju känsligare system desto stramare regler.

Först och främst är det din identitet som är viktig. När vi vet vem du är, vet vi din roll och dina arbetsuppgifter. De avgör vilka system som du har tillgång till. Utöver det så kan vi lägga till ytterligare skal av säkerhet. Informationsklassningen hjälper oss att skapa dessa ytterligare skal. Desto osäkrare vi är och desto känsligare system desto fler lager av säkerhet och begränsning av vad du får göra i ett system.

Dels handlar det om att rätt person ska ha rätt behörighet. Vem får göra vad i ett system? Dessutom handlar det om spridning av information. Hur stor kontroll över den information som du inhämtar när du ansluter mot ett system har vi? Kan vi vara säkra på att den inte kommer på villovägar?

Många frågor ska besvaras. När vi har svaren på frågorna kan vi göra en sammantagen bedömning av säkerhetsnivå och tillhörande auktoriseringsnivå.

Läs fler av våra blogginlägg

Fler inlägg