1. Å basere seg kun på passord er «ut»
Dersom du i 2023 beskytter IT-ressursene dine kun med passord, uten å sikre ytterligere med multifaktorautentisering og andre tiltak, har du sovet i timen. Men frykt ikke; dersom det er en verkebyll her som du sliter med å få hull på, er det fullt mulig å spørre om hjelp til å løse det.
Husk! Det er alltid bedre å ha et problem på overtid som blir løst, enn å ha et problem som man ignorerer til man ikke lenger kan gjøre det.
2. Passordfri autentisering er fullt gjennomførbart
Passord som sikkerhetsmekanisme er som vi har vært inne på allerede, potensielt utfordrende. Det vi har sett det siste året og som vil modnes ytterligere i 2023, er at det er praktisk mulig å kunne autentisere vanlige sluttbrukere på en sikker og brukervennlig måte uten å måtte bruke passord i det hele tatt.
Det er fortsatt behov for å planlegge både utrulling og drift godt, og brukerne må få tilstrekkelig opplæring, informasjon og oppfølging, men teknologier og grensesnitt på systemene som er involvert er nå blitt såpass bra at terskelen for passordfri autentisering er fullt overkommelig.
→ Les om 5 fordeler med pålogging uten passord
3. Autentiseringsnøkler er på vei
Autentiseringsnøkler (engelsk: passkeys) har vært diskutert en god stund allerede, men nå har store aktører som Google, Microsoft og Apple virkelig begynt å legge tyngde og innsats bak å få det tatt i bruk.
Å gå i dybden på hva autentiseringsnøkler er og hvorfor de vil gjøre en stor forskjell for hvordan brukerautentisering fungerer, er mer enn nok materiale til å dekke en egen artikkel, men de viktigste fordelene er:
- Brukere vil ikke lenger trenger å huske eller ta vare på passord. Farvel gule post-it-lapper!
- Tjenester vil ikke lagre passord lenger; dersom det skjer et innbrudd hos tjenesten hvor tyver får med seg brukerdata, vil de ikke kunne bruke det til å logge seg inn som brukeren senere, ei heller ta med seg til andre tjenester siden brukeren ikke vil ha et passord som brukes på tvers av tjenester.
4. Zero Trust er hovedregelen
Det er nok av eksempler hvor tyver har fått lilletåen innenfor datasystemene, og deretter møysommelig tatt steg for steg innover for å bygge opp privilegier, og gradvis fått mer og mer tilgang til privilegerte systemer og data.
Nye systemer må designes for å fjerne disse mulighetene så godt vi kan, og eksisterende systemer må oppdateres for å fjerne de mulighetene som eventuelt finnes per i dag.
5. On- og offboarding kan gjennomføres uten fysisk tilstedeværelse
En sentral del av onboardingsprosesser har gjerne vært at nye brukere må møte opp fysisk for at man skal kunne være helt trygg på at vedkommende er den man sier man er, gjerne akkompagnert av pass eller annen fysisk ID. Så har man gjerne fått overlevert et ark med brukernavn og passord for tilgang til brukerkonto og eventuelt annet man måtte trenge i oppstarten.
I kjølvannet av pandemien, så har fjernarbeid fått en voldsom oppsving og stadig flere organisasjoner åpner opp for at man ikke trenger å være fysisk tilstede for å kunne gjøre en tilfredsstillende jobb.
Det å knytte identitetsverifiserende tjenester inn i onboardingsprosessen, for eksempel BankID i Norge eller MitID og NemID i Danmark, gjør at man virtuelt kan utføre deler av prosessene som tidligere måtte gjøres ansikt-til-ansikt.
6. CIAM er for alvor et satsingsområde
Mange organisasjoner er godt i gang med å ta tak i IAM rettet mot ansatte og andre som blir definert som interne, det vil si «enterprise IAM». De har begynt å se sikkerhetsmessige- og effektiviseringsgevinster.
Om det er disse erfaringene som gjør at de nå for alvor har begynt å se hvordan man kan oppnå lignende gevinster også overfor kundebrukere kan vi ikke si for sikkert, men det er ingen tvil om at det er mye mer trykk rundt Customer Identity and Access Management (CIAM) nå enn for et år eller to år siden. Et trykk som vil øke på utover i 2023.
7. Mer bruk og effekt av AI og maskinlæring
Akkurat slik maskinlæring og AI er i vinden på andre områder, vil også IAM benytte denne teknologien til å understøtte systemer og prosesser. I første omgang er dette knyttet til det å oppdage og håndtere sikkerhetshendelser, slik vi f.eks. allerede ser med Oktas ThreatInsight. På sikt er det mange ulike deler av IAM som vil kunne høste fordeler av dette.
8. Cloud-native PAM
Privileged Access Management (PAM) har for mange handlet om serveraksess og Windows domeneadmin. Slik infrastruktur- og tjenesteporteføljen utvikler seg for de fleste organisasjoner, utvikler også behovet for PAM seg. Det vil måtte forholde seg på en helhetlig måte til alt av Windows/Linux, Azure/Amazon/Google, Kubernetes og containere og alt desslike.
I tillegg forventer vi at organisasjoner vil ønske å øke størrelsen på «PAM-paraplyen» til å dekke større brukergrupper og flere tilganger, også til datasett for å oppnå PAM-nytteverdi flere steder enn det som tradisjonelt har vært målgrupper for PAM.
9. Lover, krav og reguleringer
Som følge av mange års historikk med sikkerhetshendelser, tap av data og «kreative» løsninger rundt persondata, kommer det stadig flere lover, krav og reguleringer som påvirker organisasjoners behov og krav til IAM-systemer og prosessene de skal understøtte.
Mange organisasjoner etablerer for tiden cyberforsikringer, og i arbeidet og oppfølgingen av de er det mye som skal dokumenteres og implementeres av tiltak.
Det samme kan sies om sertifiseringer som skal dekke tjenesteområder hvor IAM inngår. IAM-systemer vil dermed ikke bare kunne levere sikkerhet og effektivitet i ulike sammenhenger, men også være i stand til å dokumentere det på en god og jevnlig basis.
I tillegg er problematikken rundt Schrems II langt fra løst, noe som vil påvirke nær sagt alle diskusjoner rundt norsk/europeisk bruk av amerikanske og amerikansk-eide skytjenester.
10. Konsolidering av IAM-markedet
De siste årene har vi sett en tiltagende tendens til at de store aktørene i IAM-markedet har kjøpt opp eller slått seg sammen med andre aktører, for å øke sin markedsandel eller tilegne seg kapabiliteter som de har vært svake på tidligere. Dette gjelder både blant leverandørene som finnes på markedet (jamfør Oktas oppkjøp av Auth0) og de som jobber med å levere og implementere disse systemene. Det er ingen grunn til å tro at dette er noe som vil dabbe av i 2023 og videre fremover.