Publisert 20. sep. 2020 kl. 18.41
Lesetid: 3 minutter
Artikkellengde er 651 ord
FALSK SIKKERHET: VPN er ikke er laget for den typen utstrakt jobbing utenfor kontoret som vi ser i dag, hevder Citrix-sjefen. Foto: Dreamstime
Næringslivets sikkerhetsråd utførte nylig en undersøkelse som viser at nærmere tre av ti offentlige virksomheter opplevde at IT-sikkerheten var blitt svekket i løpet av de første ukene med hjemmekontor under coronakrisen.
Jeg tror de faktiske tallene er enda høyere, og at mange lever i en falsk trygghet.
Knut Alnæs. Foto: Citrix
Pandemien har tvunget bedrifter til å endre måten de ansatte jobber på, og mye tyder på at mange vil gi de ansatte stor fleksibilitet også når krisen er over. Når så mange skal jobbe hjemmefra og ha tilgang til virksomhetens systemer, oppstår det helt nye sikkerhetsutfordringer.
Mange stoler fortsatt blindt på VPN, og tror de er sikre så lenge alle benytter dette
Sikkerhet var mye enklere før. Da jobbet stort alle det meste av tiden på innsiden av bedriftens brannmur, og hvis noen unntaksvis tok med seg laptopen til hjemmekontoret eller ut på reise, så løste VPN (Virtual Private Network) sikkerhetsutfordringene på en grei måte. Med VPN fikk man en sikker, kryptert forbindelse fra laptopen til innsiden av bedriftens brannmur – slik at de ansatte kunne jobbe som om de befant seg på bedriftens eget lokalnett.
Mange stoler fortsatt blindt på VPN, og tror de er sikre så lenge alle benytter dette. Ifølge en rapport fra 451 Research har økningen i bruk av hjemmekontor også ført til at bruken av VPN har skutt i været.
Realiteten er at VPN ikke er laget for den typen utstrakt jobbing utenfor kontoret som vi ser i dag. Vi jobber på en helt annen måte nå enn for ti eller tyve år siden, og vi aksesserer applikasjonene vi trenger i hverdagen på andre måter enn før. En stor andel av applikasjonene leveres i skyen som SaaS-applikasjoner («Software-as-a-Service»), og det er ikke lenger slik at enten er noe på utsiden av brannmuren, og usikkert – eller på innsiden, og sikkert.
En VPN-løsning lar deg ikke vite om PC-en de ansatte bruker fra hjemmekontoret er kompromittert eller ikke
Når mange jobber utenfor kontoret, er det lettere for noen med onde hensikter å få tilgang til informasjon – for eksempel ved å gjennom et velrettet phishing-angrep plante skadevare som logger tastetrykk eller overfører skjermbilder. En VPN-løsning lar deg ikke vite om PC-en de ansatte bruker fra hjemmekontoret er kompromittert eller ikke. Du tror du er trygg, men er det ikke.
VPN kan faktisk bety dårligere sikkerhet enn om man ikke bruker en sikkerhetsløsning i det hele tatt – i hvert fall om man ikke beskytter endepunktene skikkelig med andre løsninger. Med et stort antall ansatte som aksesserer bedriftens nettverk via VPN, eksponeres hele bedriftens interne nettverk for omverdenen. Hvis en angriper får kontroll over bare én brukers PC ved å plante skadevare på den, risikerer du at hele bedriftens nettverk blir kompromittert når brukeren kobler seg til nettverket via VPN.
Tilgang til ressurser gis altså basert på hvem du er, ikke hvilket nettverk du befinner deg på
Så hva bør du egentlig gjøre? Først og fremst må du sørge for at alle applikasjoner og alle data kan leveres på en sikker måte til brukerne, uansett hvor brukeren befinner seg og hvilken enhet vedkommende bruker. Her kommer det som på fagspråket kalles «zero trust» inn. I korte trekk innebærer det at du aldri skal stole på noen, enten det er en person eller en enhet i nettverket – for eksempel en PC eller mobiltelefon.
Zero trust betyr at du bør gi tilgang til kun det hver enkelt skal ha tilgang til, i stedet for å bare spørre etter brukernavn og passord – og så ukritisk åpne opp hele nettverket for brukeren. Tilgang til ressurser gis altså basert på hvem du er, ikke hvilket nettverk du befinner deg på.
Hybride arbeidsmodeller kommer til å bli standarden for mange virksomheter også etter at pandemien er over. 90-tallets VPN-løsninger ikke kan løse sikkerhetsutfordringene som følger med denne måten å jobbe på.
Knut Alnæs
Daglig leder for Citrix i Norge og Finland