Falkenbergs Safeguardlösning: Skyddar priviligerade konton med superkraft

Batman är en vanlig människa tills han klär ut sig till fladdermus. Då får han superkrafter som en administratör.

Torbjörn Larsson och Ingvar Johansson lånar Batmans förvandling när de berättar om hur Falkenberg har säkrat sina konton med högst behörighet.

När hoten och cyberattackerna blir vanligare är det allt viktigare att skydda kommunens privilegierade konton från intrång utifrån. Men vilka inkräktarna kommer att vara och vilken information som eftertraktas är det ingen som vet i förväg. En lösning är att linda in användarna i bomull, menar Torbjörn Larsson, It-chef i Falkenbergs kommun.

– Vi vet ju att de som attackerar användarna egentligen vill komma åt admins konton. Därför vill vi kunna stoppa dem redan i dörren, säger han.

När Torbjörn Larsson pratar om kommunens nya Safeguardlösning på KommIts konferens i Västerås har han säljteknikern Ingvar Johansson från One Identity vid sin sida. Tillsammans berättar de om hur de har lyckats höja kommunens säkerhetsnivå genom att bygga murar runt de konton som har högst behörighet.

– Genom vår nya lösning, i kombination med vår identitetsplattform, har vi uppnått en Just In Time-åtkomst. Det betyder att våra admin inte har fler rättigheter än andra användare förrän de ska in och göra sitt jobb, säger Ingvar Johansson.

Privat session

Med hjälp av en powerpoint förklarar Torbjörn och Ingvar hur det numera går till.

Alla som behöver åtkomst till en server, och har rätt behörighet, inleder med att beställa en privat session på PAM-plattformen. För att kunna logga in måste personen bland annat motivera behovet av åtkomst och hur lång tid som arbetet beräknas ta. När begäran har godkänts aktiveras kontot under den valda tiden och admin kan köra sin session. När hen loggar ut, eller tiden runnit är slut, stängs kontot ner automatiskt. Då återgår också ”Batman” till att vara en vanlig person.

– Behöver administratören tillgång till samma konto igen under dagen upprepas proceduren, säger Torbjörn Larsson.

Varje gång någon lämnar ett privilegierat konto förstörs lösenordet och kan inte användas på nytt. Ett nytt lösenord skapas, som ingen känner till. Alla sessioner spelas dessutom in för att kunna identifiera vem som har besökt ett konto och exakt vad som har utförts. Systemet kan till och med analysera användarnas beteendemönster med hjälp av AI-teknik.

– Om en tekniker till exempel har ett speciellt sätt att slå på tangentbordet eller någon särskild musrörelse känns det igen av systemet. Alla detaljer spelas in för att hitta den berömda nålen i höstacken ifall någon har gjort något dumt, säger Torbjörn Larsson.

När KommIts deltagare uppmuntras att ställa frågor efter presentationen, vänds blickarna mot Torbjörn Larsson.

Är det du som är den svagaste länken i det här?

– Ja, det kan man väl säga eftersom jag har i uppdrag att administrera systemet. Men jag litar också på mina tekniker. Det finns ett huvudlösenord till själva PAM-lösningen som är inlåst i två olika kassaskåp, säger han.

LOTTA ENGELBREKTSON


in