I dag sad jeg og funderede lidt over dette, mens jeg selv ligger her med en forstuvet ankel. Når jeg møder ind i sundhedsvæsnet, så afleverer jeg en stor del af mine personlige data til en (data)behandler. Disse data benyttes blandt andet til at sikrer mig en god og veldokumenteret behandling. Når nu lægen logger på hjemmefra for at genlæse min journal via DoctorDoctor SaaS applikationen i aften, så må jeg have tiltro til, at dette foregår på en ordentlig og sikker måde.
Men hvad nu når dr. Nielsen forlader sin private PC for at tage en kop kaffe og en ostemad, og sønnike i mellemtiden vil spille Fortnite på maskinen. Sønnike vælger at han LIGE skal bruge en aimbot til at snyde sig til sejr i en kamp og går ind på en skummel hjemmeside og installerer aimbot-also-trojan.exe. Herefter taber han alligevel et par kampe og overlader maskinen til far, som er tilbage igen.
All your data are belong to us
Dr. Nielsen havde selvfølgelig logget pænt af inden han forlod pladsen. Han genoptager arbejdet og logger ind og åbner min journal igen. I mellemtiden ligger aimbot-also-trojan.exe fortsat og kører. Den opfanger keystrokes af login til journalsystemet, tager screenshots af min journal indeholdende bl.a. mit CPR nummer og andet brugbart materiale og sender alt dette til en server i Rusland.
Sikring af det usikre
Ovenstående tænkte eksempel kunne være undgået på flere måder. Fjernet muligheden for fjernlogin – ville nok ikke have gjort dr. Nielsens arbejde nemmere. Det havde muligvis også været umuligt pga. SaaS applikationens opbygning.
Man kunne også have begrænset dr. Nielsen til kun at kunne logge på fra bærbar udleveret af sygehuset. Men hvad nu, hvis den også blevet kompromitteret gennem en 0-dagssårbarhed. Eller hvad nu hvis man rent faktisk ville give dr. Nielsen friheden til at benytte sin egen maskine.
Hvis der var tale om en SaaS applikation, som ikke var under IT afdelingenskontrol, så har IT højest kontrol over idP (identity provideren). Når først dr. Nielsen ER logget ind, så er al kontrol ude af IT afdelingens hænder. Dr. Nielsens søn kan nu komme forbi og downloade min journal, eller printe den.
En brik i puslespillet
I disse dage sidder dr. Nielsen måske ikke og arbejder så meget hjemmefra. Han har travlt med at redde Corona patienter – og tak for det. Men hvad med os andre? Hvordan får vi sikker adgang til SaaS applikationer?
Min favorit løsning er en meget overset Citrix løsning: Citrix Secure Workspace Access.
Der er tale om en single sign-on portal til SaaS applikationer med fuld understøttelse af MFA.
Samtidig muliggør den beskyttelse mod keyloggers og screencaptures vha. avancerede drivers i OS.
Og ikke mindst er den context aware, så der kan f.eks. defineres hvordan og hvornår brugerne må interagere med applikationen, så man bedre kan beskytte mod data leaks. F.eks. kan copy paste, printing og downloading blokeres, eller der kan sættes et vandmærke ind, hvis man ikke decideret har blokeret for screenshots.
Ovenstående er selvfølgelig kun en lille brik i puslespillet, men det er en klar forbedring af sikkerheden i en BYOD og SaaS verden, som blot er accelereret under Corona.
Ønsker du at høre mere om mulighederne, så kontakt Unit IT.