Danske kommuner bruger store ressourcer på at sikre borgernes data. Alligevel kan der opstå sprækker i sikkerheden. Gladsaxe Kommune er bare én af de kommuner, som har øget sikkerheden for borgernes personfølsomme oplysninger.
Alvorlige GDPR-hændelser og datalæk i kommunerne er ikke kun grænseoverskridende for den enkelte borger, men også direkte skadelige for kommunernes image udadtil, mener Kim Helsted, teamleder for it-support og drift i Gladsaxe Kommune.
”Bare én GDPR-hændelse kan skade tilliden til os hos borgerne og i offentligheden. Derudover risikerer vi også at skulle betale store GDPR-bøder,” siger Kim Helsted.
PAM stopper hacker-trumfkort
Den københavnske forstadskommune arbejder løbende på at opgradere it-sikkerheden. Det nyeste sikkerhedstiltag sætter en effektiv stopper for hackernes trumfkort; misbrug af privilegerede rettigheder.
Løsningen på det, Kim Helsted kalder en ”reel udfordring”, er ’Privileged Access Management’ (PAM). En løsning baseret på Citrix og IBM teknologi.
”Vi ved fra tidligere sikkerhedsscanninger, at vores eksterne konsulenter kan udgøre en sikkerhedsrisiko for it-sikkerheden, fordi deres klienter ikke nødvendigvis er udstyret med de rigtige sikkerhedspatches,” siger Kim Helsted og fortsætter:
”Hvis bare én konsulent med privilegerede rettigheder logger ind på vores netværk med en inficeret enhed, kan det potentielt set give hackerne adgang til vores backup og til at kryptere så meget som muligt i hele organisationen på tværs af alle afdelinger.”
PAM-sikkerhedsteknologien sørger for, at passwords automatisk bliver nulstillet efter hver session. Det betyder, at både eksterne konsulenter og medarbejdere med domænerettigheder ikke kan videregive deres privilegerede rettigheder.
Atea hjælper med ’sikkerhedssluse’
Som et ekstra sikkerhedskomponent har digitaliseringsafdelingen i Gladsaxe Kommune – med hjælp fra Ateas it-konsulenter - implementeret en cloudbaseret Citrix-løsning på dertil hørende on prem-servere. Ifølge Kim Helsted, fungerer Citrix som en sikkerhedssluse mellem de privilegerede brugere og PAM.
For de eksterne konsulenter betyder det, at de i dag logger ind på en dedikeret hjemmeside med to-faktor godkendelse. Brugerne kan derfor ikke få direkte adgang til PAM via internettet. Derefter logger de ind på PAM, hvor konsulenterne vælger den server og de applikationer, de på forhånd har rettigheder til.
”På den måde kan vores leverandører netop ikke tilgå ting, de ikke har rettigheder til. Derudover bliver alle sessioner logget, så vi præcis ved, hvad den enkelte konsulent har foretaget sig. Alt i alt betyder det, at vi i dag kan passe bedre på borgernes data.”
Fordele for eksterne konsulenter
Det, der på papiret kunne lyde som en besværlig brugerrejse, har faktisk vist sig at være forbundet med en række fordele for kommunens eksterne konsulenter, afslører Kim Helsted.
Det faktum, at eksterne brugere med privilegerede rettigheder ikke logger direkte ind via deres egne VPN-klienter, gør, at leverandørerne ikke selv behøver at installere software som fx SQL Server Management Studio – det hele kører i PAM-løsningen.
”De bekymringer vi oprindeligt havde, inden vi implementerede PAM-løsningen i digitaliseringsafdelingen, er blevet gjort til skamme. Det er en utrolig nem og fleksibel sikkerhedsløsning, der på en række parametre øger it-sikkerheden og garderer os mod ransomware-angreb.”
For Kim Helsted bliver det næste, naturlige skridt i kommunens sikkerhedsrejse derfor at implementere PAM-løsningen i resten af organisationen hos Gladsaxe Kommune.
- Implementering af Citrix Cloud på dertil hørende on prem-servere
- Der er bl.a. anvendt Citrix MFA, Citrix Cloud, FXLogic, MS Windows 2019
- PAM-løsning baseret på IBM teknologi (Privileged Access Management) er efter en udbudsrunde leveret og implementeret af Ateas it-konsulenter
- Eksterne konsulenter tilgår deres nye PAM-løsning med sikker adgang til applikationer og servere
I samarbejde med...