15+ års erfaring som konsulent og IT-arkitekt i den private & offentlige sektor og i konsulentbranchen.
Peter Hauge Jensen, Forretnings- og IT-arkitekt
15+ års erfaring som leder, projektleder, konsulent og IT-arkitekt i den offentlige sektor og i konsulentbranchen.
Mange IT-arkitekter oplever, at det er svært at levere gode og holdbare løsninger. Organisationerne er pressede, og ledelsen har behov for hurtige resultater og handlekraft og leverandørerne tilbyder quick fixes.
Det gør, at løsningerne ofte bliver valgt lidt for hurtigt, hvilket øger den tekniske gæld og på lang sigt gør tingene værre.
I vores seneste blogindlæg skrev vi om, hvordan datakvalitet defineres, og at god datakvalitet skabes ved kilden. I dette indlæg tager vi emnet op med en konkret case. I mange blogindlæg, præsentationer og undervisning tages der udgangspunkt i et bredt udsnit af produktionsdata, når data og datakvalitet skal beskrives. Vi vil i denne case særligt se på identitetsdata, da vores erfaring er, at mange IT-sikkerhedsprojekter udfordres af manglende forståelse af, hvor vigtig identitetsstyring er for at lykkes med implementering af eksempelvis IGA (Identity, Governance and Administration, PAM (Privileged Access Management) og MFA (Multi Factor Authentication).
Identitetsstyring
Hvorfor er det relevant at tale om identiteter, når vi har styr på brugerne? Og hvad er forskellene?
For de fleste uden for IT er der ingen forskel på en bruger og en digital identitet, men der er en væsentlig forskel, når vi taler IT-sikkerhed. Ifølge Referencearkitektur for brugerstyring version 1.1 er en identitet knyttet til en entitet, der kan være en person, en organisation, et apparat eller en applikation. En entitet kan have flere digitale identiteter med tilhørende identifikationsmidler.
En bruger er den rolle, som entiteten anvender, når en service eller et it-system skal anvendes. Brugeren anvendes til at definere de rettigheder, entiteten har i anvendelsen af den pågældende service eller it-system. Den digitale identitet er en digital repræsentation af en entitet i rollen som bruger ved hjælp af et sæt attributter.
I praksis anvender brugeren et identifikationsmiddel til at bevise sin tilknytning til den digitale identitet, så brugeren kan autoriseres.
Et identitetsmiddel bruges til autentifikation, hvorefter brugeren kan få adgang svarende til sine autorisationer. Vi kan bruge en flyrejse som et eksempel på dette. Enhver kan købe sig en flybillet og bruge boardingkortet til retten til en plads og adgang til flyet. Udstedelsen af boardingkortet er autorisation af brugeren (passageren). I princippet kan alle bruge boardingkortet til at komme om bord, hvis passageren ikke autentificerer sig undervejs i processen og dermed dokumenterer, at den identitet, der er angivet på boardingkortet, svarer til den person, som står med boardingkortet i hånden. Dette kan ske ved at bruge legitim dokumentation eksempelvis i form af et pas eller biometri.
Hvis autentifikationsmekanismen skal være troværdig, skal processen for udstedelse af det digitale identifikationsmiddel være pålidelig og bredt anerkendt. Dette forholder NSIS-standarden sig til. Heri er angivet krav til processen Identity Proofing. I et IT-system har en bruger et user-id og et password, som gør brugeren i stand til at tilgå systemet og foretage prædefinerede handlinger. Og her opstår sikkerhedsproblemet. Hvis en hacker skaffer sig adgang til user-id og password, er der åbnet for systemet. For at højne sikkerheden kan der derfor være behov for at kunne verificere identiteten på brugeren med større sikkerhed, inden denne logger på systemet.
Så jo mere kritisk adgangen til og brugen af et system er, jo mere betyder de bagvedliggende processer til registrering og udstedelse af identifikationsmidler, samt autentifikation af identiteter og kvaliteten i data (de digitale identiteter) og tilhørende lifecycle management af disse data. Det kan derfor klart anbefales at se på Digitaliseringsstyrelsens arbejde med National Standard for Identiteters Sikringsniveauer (NSIS) og lade sig inspirere til egne processer.
Kategorier af brugere
Mange organisationer administrerer tre hovedkategorier af brugere:
- Ansatte
- Eksternt tilknyttede
- Kunder/borgere
Alle tre hovedkategorier kan efterfølgende deles op i subkategorier. Eksempelvis kan der være erhvervs- og privatkunder. De eksternt tilknyttede kan være konsulenter, frivillige, underleverandører mv.
For de fleste organisationer vil der være systemadgange for alle tre hovedkategorier, men processerne for udstedelse/administration af identitetsmidler, autorisation og autentifikation kan være meget forskellige. For en privat virksomhed (f.eks. inden for online handel) kan kundeoprettelsen være styret af kunden selv, mens det for myndigheder er særligt kritisk, at det er den rette person, der kommunikeres med, hvilket kræver et højere sikringsniveau ved udstedelse af identifikationsmidlet.
En privat virksomhed med nethandel ved reelt ikke, hvem virksomhedens kunder er. Kunden kan oprette sig uden valid identifikation og er reelt set ”blot” en bruger, der har adgang til at foretage et køb. Det samme på Facebook, Instagram mv. Flere danske websites er begyndt at anvende NemID som autentifikationsmetode, fordi der i den digitale verden reelt mangler mulighed for at verificere en brugers sande identitet. Det skal dog nævnes, at der som følge af øget vægt på privacy (i høj grad drevet af GDPR) også ses en modsatrettet tendens, idet virksomheder kan se en konkurrencefordel i at sige, at de ikke ønsker at kende en brugers fulde identitet - enten slet ikke eller kun i en periode.
En stor dansk virksomhed skriver således udtrykkeligt på deres hjemmeside, at de ikke opbevarer personlige data i en form, der tillader identifikation af de registrerede i en længere periode end det er nødvendigt for at opfylde de formål, som dataene er indsamlet til.
Med hensyn til den identitetsbaserede tilgang står Danmark i en unik position, fordi der er indført en national procedure for fysisk identifikation koblet til et nationalt digitalt identifikationsmiddel (NemID). På internationalt plan er udfordringen med digitale identiteter, at der ikke er fælles valide og troværdige standarder for at koble den fysiske person med den digitale identitet.
Udfordringer med identitetsdata
Identiteter oprettes i mange organisationer på ad hoc-basis i forskellige IT-miljøer drevet af konkrete og reelle forretningsbehov - f.eks. for hurtig adgang til medarbejdere, samarbejdspartnere, vikarer, konsulenter m.v. Men ofte er processerne for administration af identitetsmidler og brugerkonti ikke standardiserede og forankrede i en stærk governance. Det vil medføre dubletter, dvs. forskellige digitale repræsentationer af den samme person. Som tiden går, sander identitetsdata til. Dette er en tikkende bombe: Brugerkonti bliver ikke slettet, når de skal slettes, adgangsrettigheder bliver ikke vedligeholdt, persondata bliver over tid inkonsistente på tværs af systemkomplekser, og der opsamles ikke dokumentation af, hvem der godkendte hvad, hvornår og på hvilket grundlag. Når der sker forretningsmæssige ændringer, afspejles ændringerne ikke rettidigt og præcist i virksomhedens identitetsdata. Problemet forværres af manglende standardisering af identitetsdata på tværs af systemporteføljer. Data mangler kvalitet.
For identitetsdata har en række regulativer, både nationale og globale, skubbet til problemstillingen og tvunget virksomhederne til at handle, særligt i samfundskritiske virksomheder. Mange virksomheder bruger underleverandører til at udføre forskellige driftsmæssige opgaver, hvor underleverandørens medarbejdere har adgang til virksomhedens kritiske IT-systemer. Her fremgår underleverandørerne ofte som brugere, men ikke som digitale identiteter styret af virksomheden. Dvs. virksomheden har ikke kontrol over og måske heller ikke kendskab til processerne hos underleverandøren i forhold til identitetsstyring. Her tvinger regulativerne virksomhederne til, sammen med underleverandørerne at se identitetsstyring i et helhedsperspektiv og ikke kun isoleret til et enkelt system eller IT-miljø.
Uden arkitektens analytiske og kommunikative bidrag er der risiko for, at en usikker eller mangelfuld forståelse af problemet fører til, at virksomheden falder i en af to grøfter: Enten ignoreres problemet helt, hvilket gør det langt sværere at løse på et senere tidspunkt, eller også forsøger man sig med et dramatisk quick-fix i form af en lynhurtig anskaffelse af bekostelig software, der på meget kort tid skal afhjælpe problemet - godt hjulpet på vej af både en utålmodig ledelse, der kræver resultater, og energiske sælgere, der stiller urealistiske fordele i udsigt. Man kommer til at udskrive medicinen, inden diagnosen er stillet, og derfor er der risiko for, at investeringen ikke fører til løsning af de reelle problemer. Heldigvis er der dog andre muligheder, og det er her, arkitekten for alvor kommer ind i billedet.
Identitetsdata & datakvalitet
I sidste blogindlæg beskrev vi nogle af forudsætningerne og midlerne til at opnå høj datakvalitet - og hvad der gælder for datakvalitet generelt, gælder også for datakvalitet af identitetsdata. Vi introducerede kort til begrebs- og informationsmodeller og til forretningens processer, regler og beslutninger.
En virksomhed, der beskriver, driver og udvikler sin forretning ved konsekvent og korrekt brug af disse elementer fra værktøjskassen vil opnå en modenhed, der vil give virksomheden langt bedre forudsætninger for at lykkes med at få styr på identitetsdata og de tilhørende sikkerhedsprocesser. Med høj modenhed menes i denne sammenhæng, at virksomheden har et tilstrækkeligt dokumentationsniveau. Dertil kommer en ensartet og konsekvent anvendelse i hele virksomheden af begreber og informationsmodeller samt en udbredt og fælles forståelse og dokumentation af virksomhedens forretningsprocesser inkl. de dertil hørende forretningsregler og forretningsbeslutninger.
Under overskriften identitetsstyring kan der gemme sig et utal af udfordringer - som måske skal løses ved at beskrive og fastlægge de rette processer i BPMN, de rette forretningsbeslutninger i DMN eller den rette datastruktur i UML. Det kan også være, at den bedste vej for projektet vil være at starte med at kortlægge de nuværende processer for ansættelse af medarbejdere, tilknytning af eksterne (eks. konsulenter), og hvordan kunder oprettes i systemerne. Dertil kommer et applikations- eller systemlandskab, der også viser lifecycle management for digitale identiteter. Disse aktiviteter vil tilsammen danne et billede af den nuværende datakvalitet, processerne og systemunderstøttelsen, og derved hvilke udfordringer organisationen står overfor. Der kan defineres en målarkitektur og igangsættes initiativer til forbedring af datakvalitet, processer og systemmæssig understøttelse. Fristelsen til at købe et IT-system uden at have forstået sine reelle problemer er stor. Men kompleksiteten i problemstillingen er større, og det kræver et ordentligt vidensgrundlag at stille den rette ”diagnose” og udskrive den rette medicin.