Forbered dig på NIS2: Derfor er identitetssikkerhed en afgørende faktor

NIS2-direktivet indfører strengere krav til cybersikkerhed for virksomheder, der opererer i EU, og direktivet har specifikt fokus på adgangskontrolspolitikker. En bredt funderet tilgang til identitetssikkerhed, vil hjælpe din organisation med at leve op til NIS2-kravene.  

NIS2 – en forkortelse for Net og Informationssikkerhed version 2 – trådte i kraft i januar 2023, og vil få betydelige konsekvenser for virksomheder, der opererer i EU. Direktivet udvider anvendelsesområdet for det oprindelige NIS-direktiv og indfører strengere krav til virksomheder med hensyn til cybersikkerhed og rapportering af hændelser. Målet er at sikre et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af alle EU-medlemslande. 

Et område, som NIS2 fokuserer på, er adgangsstyring. Adgangsstyring er afgørende for at beskytte netværk og systemer mod cyberangreb, da disciplinen sikrer, at kun autoriserede brugere har adgang til følsomme oplysninger og ressourcer.  

Adgangsstyring er afgørende for NIS2 

Artikel 5 i NIS2-direktivet beskriver de sikkerhedskrav, som udbydere af digitale tjenester skal overholde, og den indeholder netop specifikke bestemmelser vedrørende adgangsstyring. 

Direktivet fastslår, at udbydere af digitale tjenester skal træffe passende tekniske og organisatoriske foranstaltninger til at håndtere de risici, der er forbundet med sikkerheden i deres net- og informationssystemer, herunder foranstaltninger til at sikre håndteringen af adgange og brugeridentiteter. 

Disse foranstaltninger bør omfatte, at adgangsrettigheder udelukkende gives til autoriserede personer, og at risikoen for databrud begrænses ved regelmæssigt at gennemgå og teste adgangsrettigheder og adgangstilladelser. Det indebærer også vigtigheden af at være i stand til at opdage – og ikke mindst i stand til at reagere på – sikkerhedshændelser og brud på adgangsrettigheder. 

Identitetssikkerhed er nøglen 

At implementere adgangsstyringspolitikker og -kontroller er dog ikke nok i sig selv. Der skal mere til, og det bedste du kan gøre for at forberede dig på NIS2 er at implementere et framework for identitetssikkerhed i organisationen.  

Det betyder, at der skal implementeres et holistisk blik på brugeridentiteter på tværs af organisationen – og, at der skal implementeres foranstaltninger til at beskytte brugeridentiteterne mod cybertrusler. 

Og hvorfor er det? 

Fordi netop det bl.a. beskytter organisationen mod insidertrusler og dermed mod cyberangreb. 

En af de største trusler mod organisationer kommer fra såkaldte insidere. Definitionen på en insider er, at vedkommende har adgang til organisationens følsomme systemer og data, og kan dermed dække over både interne medarbejdere og tredjepartsleverandører. Det gør organisationen sårbar overfor insideres menneskelige fejl, men insidere er i lige så høj grad et populært mål for cyberkriminelle. 

I løbet af de sidste år er insidertruslen kun blev været. Ifølge Ponemon Institute’s 2022 Cost of Insider Threats Global Report, er antallet af sikkerhedsepisoder, der involverede insidere næsten fordoblet siden 2020. 

Identitetssikkerhed som fundament for sikkerhedsstrategien hjælper med at beskytte organisationen mod insidertrusler gennem adgangskontrol, overvågning af brugeraktivitet og registrering af usædvanlig adfærd.  

Netop det er afgørende for at mindske risikoen for cyberangreb. 

Hvordan implementerer du identitetssikkerhed i praksis? 

At implementere identitetssikkerhed i organisationens sikkerhedsstrategi kræver teknisk ekspertise, men handler i lige så høj grad om at kende forretningen. I praksis kan du følge nedenstående trin: 

1. Identificer og klassificer organisationens brugeridentiteter: Identificer alle brugeridentiteter i organisationen og klassificer dem efter deres niveau af adgang og følsomhed. Det vil gøre det langt nemmere at gennemskue og forstå, hvem der har adgang til, hvilke ressourcer og hvilke data og i sidste ende nemmere at sikre, at adgangskontrollerne er i overensstemmelse med organisationens behov. 
2. Implementer passende adgangskontroller: Implementer passende adgangskontroller baseret på organisationens identiteter, deres adgangsniveau og følsomheden af de ressourcer, de har adgang til. Det sikrer, at kun de rigtige mennesker har adgang til de rigtige data. Disse adgangskontroller kan omfatte Multi-Factor Authentication og adgangskodepolitikker. 
3. Overvåg brugeraktiviteten: Overvåg brugeraktiviteten på tværs af systemerne for at registrere unormal adfærd, som kan indikere et sikkerhedsbrud eller en insidertrussel. 
4. Træn medarbejderne: Uddan og træn løbende medarbejderne i at navigere sikkert i systemerne, herunder hvordan man identificerer og undgår phishing-angreb og hvordan man opbevarer adgangskoder sikkert. 
5. Implementer Identity and Access Management: Implementer en Identity and Access Management-platform for at centralisere administrationen af brugeridentiteter og adgangskontroller på tværs af organisationen – og ikke mindst for at automatisere 75 procent af ovenstående trin. 

På denne måde vil din organisation være markant bedre rustet til både at imødegå insidertrusler og beskytte mod cyberangreb samtidig med, at organisationen overholder kravene i NIS2-direktivet.