1. Kun at stole på adgangskoder er "ude"
Hvis du i 2023 kun beskytter dine it-ressourcer med adgangskoder, uden yderligere sikring med multi-faktor autentificering og andre tiltag, har du sovet i timen. Men frygt ej; hvis der er et problem her, som du kæmper med at komme igennem, er det fuldt ud muligt at bede om hjælp til at løse det.
Husk! Det er altid bedre at have et problem, der er kendt og som der arbejdes på at løse, end at have et problem, som du ignorerer, indtil du ikke kan gøre det mere.
2. Adgangskodefri godkendelse er fuldt ud gennemførligt
Adgangskoder som en sikkerhedsmekanisme er, som vi allerede har diskuteret, potentielt udfordrende. Det, vi har set det seneste år, og som vil modnes yderligere i 2023, er, at det er praktisk muligt at kunne autentificere almindelige slutbrugere på en sikker og brugervenlig måde uden overhovedet at skulle bruge adgangskoder.
Der er stadig behov for at planlægge både udrulning og drift godt, og brugerne skal have tilstrækkelig træning, information og opfølgning, men teknologier og interfaces på de involverede systemer er nu blevet så gode, at tærsklen for adgangskodefri autentificering er fuldt overskuelig.
→ Læs mere om 5 fordele ved at logge ind uden adgangskode
3. Autentifikationsnøgler er på vej
Autentifikationsnøgler (engelsk: passkeys) har været diskuteret i et stykke tid allerede, men nu er store aktører som Google, Microsoft og Apple for alvor begyndt at lægge vægt og kræfter bag at få det brugt.
At komme i dybden med, hvad autentifikationsnøgler er, og hvorfor de vil gøre en stor forskel for, hvordan brugergodkendelse fungerer, er mere end nok materiale til at dække en separat artikel, men de vigtigste fordele er:
- Brugere behøver ikke længere at huske eller tage sig af adgangskoder. Farvel gule post-it sedler!
- Tjenester vil ikke længere gemme adgangskoder; hvis der er indbrud på tjenesten, hvor tyvene får fat i brugerdata, vil de ikke kunne bruge dem til at logge ind som bruger senere, og heller ikke tage dem med til andre tjenester, da brugeren ikke har en adgangskode der bruges på tværs af tjenester
4. Zero Trust er hovedreglen
Der er masser af eksempler på, at tyve har fået lilletåen indenfor i computersystemerne, og derefter møjsommeligt taget skridt for skridt indad for at opbygge privilegier, og gradvist har fået mere og mere adgang til privilegerede systemer og data.
Nye systemer skal designes for at fjerne disse muligheder bedst muligt, og eksisterende systemer skal opdateres for at fjerne de risici, der måtte være i dag.
5. On- og off-boarding kan udføres uden fysisk tilstedeværelse
En central del af onboarding-processer har ofte været, at nye brugere skal møde op fysisk, så man kan være helt sikker på, at personen er den, de siger, de er, gerne ledsaget af et pas eller andet fysisk ID. Så vil brugeren have fået udleveret et ark med brugernavn og adgangskode for adgang til brugerkontoen og andre ting, som brugeren måtte have brug for under opstarten.
I kølvandet på pandemien har fjernarbejde set et voldsomt opsving, og flere og flere organisationer åbner op for, at man ikke behøver at være fysisk til stede for at kunne udføre et tilfredsstillende arbejde.
At koble identitetsverifikationstjenester ind i onboarding-processen, for eksempel BankID i Norge eller MitID og NemID i Danmark, betyder, at dele af de processer, der tidligere skulle udføres ansigt-til-ansigt, kan udføres virtuelt.
6. CIAM er seriøst et fokusområde
Mange organisationer er godt i gang med at tackle IAM rettet mod medarbejdere og andre, der er defineret som interne, altså "enterprise IAM". De er begyndt at se sikkerheds- og effektivitetsgevinster.
Vi kan ikke med sikkerhed sige, om det er disse erfaringer, der nu for alvor gør at de er begyndt at se, hvordan lignende gevinster kan opnås hos kundebrugere, men der er ingen tvivl om, at der er meget mere pres omkring Customer Identity and Access Management (CIAM) nu end for et år eller to siden. Et pres, der vil stige i 2023.
7. Mere brug og effekt af AI og maskinlæring
Ligesom maskinlæring og kunstig intelligens er i vinden på andre områder, vil IAM også bruge denne teknologi til at understøtte systemer og processer. Dette er i første omgang knyttet til opdagelse og håndtering af sikkerhedshændelser, hvilket vi f.eks. allerede nu ser med Oktas ThreatInsight. På længere sigt er der mange forskellige dele af IAM, som vil kunne høste fordele af dette.
8. Cloud-native PAM
Privileged Access Management (PAM) har for mange handlet om serveradgang og Windows domæneadmin. Efterhånden som infrastrukturen og serviceporteføljen udvikler sig for de fleste organisationer, vokser behovet for PAM også. Den skal på en holistisk måde håndtere alt fra Windows/Linux, Azure/Amazon/Google, Kubernetes og containere og alt den slags.
Derudover forventer vi, at organisationer ønsker at øge størrelsen af "PAM-paraplyen" til at dække større brugergrupper og mere adgang, også til datasæt for at opnå PAM-nytte flere steder, end hvad der traditionelt har været målgrupper for PAM.
9. Love, krav og regler
Som følge af mange års historie med sikkerhedshændelser, tab af data og "kreative" løsninger omkring persondata, er der flere og flere love, krav og regler, der påvirker organisationers behov og krav til IAM-systemer og de processer, de skal understøtte.
Mange organisationer er i øjeblikket ved at etablere cyberforsikring, og i deres arbejde og opfølgning er der meget, der skal dokumenteres og implementeres af tiltag.
Det samme kan siges om certificeringer, der vil dække serviceområder, hvor IAM indgår. IAM-systemer vil således ikke kun kunne levere sikkerhed og effektivitet i forskellige sammenhænge, men også kunne dokumentere det på en god og regelmæssig basis.
Derudover er problemerne omkring Schrems II langt fra løst, hvilket vil påvirke næsten alle diskussioner om norsk/europæisk brug af amerikanske og amerikansk ejede cloud-tjenester.
10. Konsolidering af IAM-markedet
I de senere år har vi set en stigende tendens til, at de store aktører på IAM-markedet opkøber eller fusionerer med andre aktører, for at øge deres markedsandel eller erhverve kapaciteter, som de tidligere har været svage i. Det gælder både for leverandørerne på markedet (jf. Oktas opkøb af Auth0) og dem, der arbejder med at levere og implementere disse systemer. Der er ingen grund til at tro, at dette er noget, der vil forsvinde i 2023 og fremover.