Varken hackat eller malet - Säkra din BI

1. Patchar

Ett av de viktigaste säkerhetsverktygen vi har är patchar. Varje gång en ny patch släpps så lusläser hotaktörer förändringar sen föregående version och klurar på vilka sårbarheter som finns kvar i den gamla versionen. Därefter påbörjar de arbetet med att scanna internet efter sårbara versioner av olika programvaror. Detta görs för både operativsystem och installerade programvaror. För Windows släpps det uppdateringar andra tisdagen varje månad. Den brukar kallas för “patch tuesday”. Dagen efter när alla hotaktörer drar igång sina kampanjer kallas ibland för “exploit wednesday”. 

Därför är det viktigt att hålla både Qlik och sina servrar uppdaterade. Ju längre man väntar med att patcha desto klurigare är det att göra det för att “komma ikapp”. 

2. Rättigheter 

Något vi ofta ser är många konton med administratörsrättigheter som ligger kvar under lång tid som ibland även delas mellan olika personer. 

En säkrare väg framåt är att regelbundet gå igenom vilka konton som finns och om de fortfarande behöver sina behörigheter. Genom att dessutom ha personliga konton är det lätt att hålla reda på om en konsult eller intern användare fortfarande ska ha behörigheter. 

Från ett dataintegritetsperspektiv är det också viktigt att de konton som Qlik använder inte har för mycket rättigheter. Eftersom Qlik bara ska läsa in data och visa den, så behövs varken rättigheter för att skriva till databaser eller göra ändringar via API. Det är också bra att se över vilken data Qlik ska ha åtkomst till. Till exempel kan det vara så att Qlik används för att visa financiell data. Då behövs inte rättigheter för att läsa ut personaldata eftersom den inte används. Vi rekommenderar också att man delar upp de konton som läser ut data i ett konto per datakälla/datatyp så att inte ett konto har åtkomst till alla datakällor som används i plattformen. 

Sammanfattningsvis kan man ha tanken “minsta möjliga rättigheter” som en ledstjärna när man delar ut rättigheter både till användare och till Qlik själv. 

3. Exponering mot internet

En viktig fråga man bör ställa sig är: behöver verkligen vem som helst kunna nå Qlik? En väldigt lågt hängande frukt är att begränsa åtkomst till Qlik genom att bara tillåta att interna användare kan komma fram. Detta är alltså inte användarnamn/lösenord utan möjligheten att nå Qlik från första början. Om någon arbetar på distans kan den personen ansluta via en VPN.

Vår rekommendation är att inte ha sitt BI-verktyg helt öppet exponerat ut mot internet. Detta går även att uppnå i cloud-varianten av Qlik med vitlistning av IP. 

4. Säker autentisering 

Det går att få en väl fungerande integration med övriga organisationens IDP. Det gör att du kan logga in med ditt vanliga konto, får möjlighet till multifaktorautentisering och slipper hålla koll på ännu ett inlogg. Administrationsmässigt blir det även lättare att hålla koll på en uppsättning konton istället för att lägga till ännu en lista som är bara till för Qlik. 

Utöver det rekommenderar vi att ha ett giltigt SSL-certifikat. Det går att klicka sig förbi den varning som dyker om man saknar ett giltigt certifikat, men vi anser att det är fel att lära användarna att bortse från en varning som egentligen fyller ett säkerhetssyfte. 

5. Genvägar tummar ofta på säkerhet

Ibland känns det viktigt att få fram en ändring snabbt. Men försök att inte frångå era interna rutiner. Genvägar och tidspress blir ofta en kompromiss med säkerhet, och ju snabbare man gör något desto mindre tid har man på sig att tänka om det görs på ett säkert sätt. 

En annan vanlig fallgrop är att tänka “vi har BI i cloud, då då slipper vi tänka på IT-säkerhet”. I själva verket är det minst lika viktigt att tänka på säkerhet. Det enda man slipper är uppdateringar, serverunderhåll och de kostnader som där hör till. Cloud är outsourcing av drift, inte av säkerhet. Exempelvis blir inte hantering av konton och anslutningar till datakällor annorlunda för att man bor i molnet. 

6. Våga sätta press på din leverantör

Det är viktigare att din miljö och data är säker än att en konsult ska ha lätt att jobba. En utomstående konsult har ofta större behörigheter för att kunna lösa sin uppgift. Därför är externa konton extra viktiga att ha koll på och skydda. 

• Kräv att alla har personliga konton. 
• Kräv att samtliga användare ansluter via VPN och autentiserar sig med multifaktor. 
• Kräv att Qlik använder sig av säkra anslutningar när ny data läses in. 
• Ge inte ut onödigt mycket rättigheter till databaser även om konsulten säger att det blir lättare då. 
• Kräv att det finns rutiner för backup och uppdateringar. 
• Kräv att lösningar är långsiktiga - en tillfällig lösning blir lätt permanent.