Når Datatilsynet modtager anmeldelser af sikkerhedsbrud, der skyldes hacking, er (en af) årsagerne til bruddet ofte, at hackerne har fået uautoriseret adgang via kompromitterede loginoplysninger, hvor den kompromitterede bruger har administrative rettigheder til enten netværk, systemer, databaser, servere eller cloud-tjenester, som brugeren ikke nødvendigvis har behov for. For at minimere risikoen for, at en kompromitteret konto med for mange administrative rettigheder udnyttes af en ondsindet aktør, kan man som organisation vælge at implementere Just-in-Time (JIT) Access.
JIT er en sikkerhedsstrategi, der bygger på princippet om ”mindst mulige privilegier” (POLP), som understøtter organisationer i tildelingen af adgange, så brugerne kun får privilegeret adgang til f.eks. konti og ressourcer, når de har brug for det. JIT reducerer derved angrebsfladen ved kun at give medarbejdere adgang til specifikke ressourcer i en begrænset periode, når det er nødvendigt, hvilket begrænser eksponeringen af kritiske systemer og data overfor både interne og eksterne trusler.
Et eksempel på, hvordan JIT kan implementeres i en organisation, kan være:
- En bruger (menneskelig eller ikke-menneskelig) anmoder om privilegeret adgang til en server, virtuel maskine eller netværksenhed
- Anmodningen verificeres mod en forhåndsgodkendelsespolitik eller gennemgås af en administrator, der kan godkende eller afvise anmodningen om (kortvarig) adgang
- Godkendelsesprocessen kan automatiseres for at gøre det lettere for slutbrugere og driftsteam
- Når godkendelsen gives, får brugeren den nødvendige adgang for at kunne udføre den specifikke opgave
- Adgangen kan tildeles i alt fra få minutter til flere måneder, afhængig af opgaven og organisationens politikker
- Når opgaven er fuldført, logger brugeren af, og adgangen bliver tilbagekaldt eller slettet, indtil den er nødvendig igen
Du kan i øvrigt læse mere om administration af adgangsrettigheder i Datatilsynets foranstaltningskatalog her og her.