Ger public key infrastructure (PKI) din organisation en falsk känsla av trygghet?

Tror du att du har säkrat din organisation och fixat pålitlig datakryptering, stark autentisering och digital signering bara för att du satt upp en public key infrastructure (PKI) och utfärdar certifikat? ”Då har du tyvärr fel”, säger Daniel Hjort, affärsutvecklare på identitets- och säkerhetsföretaget Nexus Group.

Säkerhetsmetoden public key infrastructure (PKI) möjliggör betrodda elektroniska identiteter (eIDn) för människor, mjukvara och saker, vilket gör det möjligt att implementera stark autentisering, datakryptering och digital signering. De här säkerhetsmekanismerna används för att ge säker tillgång till fysiska och digitala resurser; säkra kommunikation mellan människor, mjukvara och saker; och möjliggöra digital signering av dokument och transaktioner.

”PKI är allmänt accepterat som den bästa metoden för att göra de här sakerna, och antalet organisationer som börjar använda PKI ökar snabbt. Och det är jättebra. Problemet är att alltför många tror att blotta existensen av en teknisk lösning baserad på PKI löser alla problem”, säger Daniel Hjort.

I en PKI utfärdas digitala certifikat till människor, mjukvara och saker för att säkerställa att deras identiteter är tillförlitliga. De här digitala certifikaten utfärdas med hjälp av en mjukvara för certifikatutfärdare (certificate authority, CA).

”Den mest använda CA-mjukvaran är Microsofts Active Directory Certificate Services (ADCS), och många organisationer köper dessutom ytterligare certifikat på gatan för att hantera bland annat webbservrar. Men en stor andel av organisationerna förstår inte vad de implementerar, hur de ska dokumentera det, och hur de ska hantera lösningen och certifikaten över tid”, säger Daniel Hjort.


Läs blogginlägget Nexus satsar stort på sin 20-årsfirande PKI-plattform Certificate Manager


Han jämför det med att du köper en eltandborste och fluortandkräm eftersom du vet att det är bra för tänderna – men utan att förstå hur du ska använda prylarna på rätt sätt.

”Du kan inte förvänta dig friska tänder om du bara borstar tänderna en gång i veckan, eller om du trycker för hårt, eller om du rengör tandborsten istället för tänderna med tandkrämen. Men många organisationer förväntar sig säker autentisering, datakryptering och digital signering, trots att de inte använder eller har byggt lösningen på rätt sätt”, säger Daniel Hjort.

Nya regler, främst EUs nya dataskyddsförordning (General Data Protection Regulation, GDPR), sätter ökad press på organisationer att ta kontroll över sin data och bygga in integritetsskydd i sin IT-infrastruktur.

”Det här stressar höga chefer. De läser på lite, inser att PKI är bästa tillgängliga metod, och bestämmer att deras organisation ska implementera den. Men – för att använda ännu en metafor – det är som att köpa en uppblåsbar livbåt, utan att inse att man måste ha en mekanism för att blåsa upp den. Blotta vetskapen om att organisationen använder PKI ger många en falsk känsla av trygghet”, säger Daniel Hjort.

Lösningen är att sätta upp en stabil och säkert utformad PKI, samt att införa rätt policys och processer för att hantera den, enligt Daniel Hjort.

”Exempelvis måste du se till att livscykelhantering av certifikaten sköts på rätt sätt, att notifieringar skickas innan certifikaten måste förnyas, att du kan hantera flera domäner i samma lösning, och så vidare. Du måste också kontrollera vem som har rätt att fatta vissa beslut, exempelvis vem som får utfärda nya certifikat, genom rätt åtskillnad mellan funktioner (separation of duties, SoD)”, säger Daniel Hjort.

 

IT-team brukar förstå grunderna när det gäller SoD inom teknikområdet, liksom principen om minimalt privilegium (principle of least privilege). Men IT-team har oftast inte kompetens att avgöra SoD inom verksamheten.

”Även om motstridiga åtkomsträttigheter orsakar problem så är det inte IT-teamets ansvar. Det är företagsledningens ansvar att se till att affärslogiken mappas mot informationsflödet och att SoD införs där det bör användas”, säger Daniel Hjort.

Det här åstadkoms bäst med hjälp av revisorer som har rätt utbildning och kompetens, och genom att använda mjukvara för identitets- och åtkomsthantering (identity and access management, IAM), enligt Daniel Hjort.

”Alla CA-mjukvaror utfärdar X.509-certifikat och ett X.509-certifikat är ett X.509-certifikat. Men förtroendet byggs inte av den här tekniken i sig. Implementerandet av kontrollerade och anpassade processer är vad som gör certifikaten pålitliga och ger PKI-lösningen förmåga att göra din organisation säkrare”, säger Daniel Hjort.

En IAM-mjukvara kan hjälpa dig upprätthålla enhetliga policys i hanteringen av identiteter, identitetsbärare och rättigheter. Den kan också ge dig centraliserad och korrekt information om vem som är i besittning av vilka fysiska eller digitala identitetsbärare och rättigheter.

”Dessutom ger en bra IAM-mjukvara dig kontroll över nyregistrering och bortplockning av anställda, studenter, besökare och underleverantörer, och effektiviserar processerna genom användarvänliga självbetjäningsgränssnitt. Det här gör även livet lättare för både administratörer och slutanvändare”, säger Daniel Hjort.


Läs blogginlägget Nexus är en av de första CA-leverantörerna som lanserar stöd för utgivningsprotokollet EST