Datatilsynet har publicerat en ny vägledning om åtkomsträttigheter. Syftet är att hjälpa företag och andra organisationer att arbeta aktivt med rättighetshantering.
Hantering av användaråtkomst är enligt Datatilsynet en mycket grundläggande del av informationssäkerheten. Om man har problem med åtkomsträttigheter ökar risken för en lång rad personuppgiftsincidenter, från obehöriga inlägg av anställda till missbruk av tidigare anställda till riktade hacker- och ransomware-attacker utifrån.
Vid denna typ av angrepp kan den skada som angreppet orsakar ofta begränsas om användarnas rättigheter hanteras väl, eftersom detta minimerar möjligheterna till missbruk. Även vid användning av automatiseringsteknik som RPA (Robotic Process Automation) kan det finnas mycket goda skäl att säkerställa att robotanvändare inte har bredare åtkomst än nödvändigt.
I vägledningen används begreppet rättighetshantering som ett övergripande begrepp som omfattar hantering av vem som har tillgång till organisationens it-system och lokaler, samt vad enskilda användare kan använda sin tillgång till. Vägledningen syftar till att belysa de verkliga hot som är kända från Datatilsynets egna fall och från nyhetsmedia.
Den nya vägledningen hänvisar i stor utsträckning till den nyligen publicerade åtgärdskatalogen.