Det pleide å være en tid hvor risikovillige organisasjoner sterkt kunne begrense bedriftsbrukernes evne til å gjøre kostbare feil. Med begrenset teknisk kunnskap, strenge tillatelser og mangel på medvind, var det verste en bedriftsbruker kunne gjøre å laste ned skadelig programvare eller falle for en phishing-kampanje. De dagene er nå borte.
Nå for tiden, hver større programvare-som-en-tjeneste (SaaS)-plattform kommer med med funksjoner for automatisering og applikasjonsbygging som er designet for og markedsført direkte til forretningsbrukere. SaaS-plattformer som Microsoft 365, Salesforce og ServiceNow bygges inn plattformer uten kode/lavkode inn i deres eksisterende tilbud, og legger dem direkte i hendene på bedriftsbrukere uten å spørre om bedriftens godkjenning. Funksjoner som en gang kun var tilgjengelige for IT- og utviklingsteamene, er nå tilgjengelig i hele organisasjonen.
Power Platform, Microsofts lavkodeplattform, er innebygd i Office 365 og er et godt eksempel på grunn av Microsofts sterke fotfeste i bedriften og hastigheten den blir tatt i bruk av bedriftsbrukere. Kanskje uten å være klar over det, legger bedrifter makt på utviklernivå i hendene på flere mennesker enn noen gang før, med langt mindre sikkerhet eller teknisk kunnskap. Hva kan gå galt?
Ganske mye, faktisk. La oss undersøke noen få virkelige eksempler fra min erfaring. Informasjonen er anonymisert, og virksomhetsspesifikke prosesser er utelatt.
Situasjon 1: Ny leverandør? Bare gjør det
Kundeserviceteamet i et multinasjonalt detaljhandelselskap ønsket å berike kundedataene sine med forbrukerinnsikt. Spesielt håpet de å finne mer informasjon om nye kunder, slik at de kunne betjene dem bedre, selv under det første kjøpet. Kundeserviceteamet bestemte seg for en leverandør de ville jobbe med. Leverandøren krevde at data ble sendt til dem for berikelse, som deretter ville bli trukket tilbake av tjenestene deres.
Normalt sett er det her IT kommer inn i bildet. IT må bygge en slags integrasjon for å få data til og fra leverandøren. IT-sikkerhetsteamet må selvsagt også være involvert for å sikre at denne leverandøren kan stole på kundedata og godkjenne kjøpet. Innkjøp og juridisk ville også ha tatt en sentral rolle. I dette tilfellet gikk det imidlertid i en annen retning.
Dette bestemte kundeserviceteamet var Microsoft Power Platform-eksperter. I stedet for å vente på ressurser eller godkjenning, gikk de bare videre og bygde integrasjonen selv: samle inn kundedata fra SQL-servere i produksjon, videresende alt til en FTP-server levert av leverandøren, og hente beriket data tilbake fra FTP-serveren til produksjonsdatabasen. Hele prosessen ble automatisk utført hver gang en ny kunde ble lagt til databasen. Alt dette ble gjort gjennom dra-og-slipp-grensesnitt, hostet på Office 365, og ved å bruke deres personlige kontoer. Lisensen ble betalt ut av lommen, noe som holdt innkjøp utenfor løkken.
Se for deg CISOs overraskelse da de fant en haug med forretningsautomatiseringer som flyttet kundedata til en hardkodet IP-adresse på AWS. Som en Azure-kunde, hevet dette et gigantisk rødt flagg. Videre ble dataene sendt og mottatt med en usikker FTP-tilkobling, noe som skaper en sikkerhets- og samsvarsrisiko. Da sikkerhetsteamet fant dette gjennom et dedikert sikkerhetsverktøy, hadde data flyttet inn og ut av organisasjonen i nesten ett år.
Situasjon 2: Ohh, er det galt å samle inn kredittkort?
HR-teamet hos en stor IT-leverandør forberedte seg på en «Give Away»-kampanje én gang i året, der ansatte oppfordres til å donere til sin favoritt veldedige organisasjon, der selskapet melder seg inn ved å matche hver dollar donert av ansatte. Årets kampanje var en stor suksess, så forventningene var gjennom taket. For å drive kampanjen og lindre manuelle prosesser, brukte en kreativ HR-ansatt Microsofts Power Platform til å lage en app som forenklet hele prosessen. For å registrere seg, logger en ansatt på søknaden med bedriftskontoen sin, sender inn donasjonsbeløpet, velger en veldedig organisasjon og oppgir kredittkortinformasjonen for betaling.
Kampanjen ble en stor suksess, med rekordstor deltakelse fra ansatte og lite manuelt arbeid som kreves av HR-ansatte. Av en eller annen grunn var sikkerhetsteamet imidlertid ikke fornøyd med hvordan ting ble. Mens han registrerte seg for kampanjen, innså en ansatt fra sikkerhetsteamet at det ble samlet inn kredittkort i en app som ikke så ut som den burde gjøre det. Etter undersøkelser fant de ut at disse kredittkortdetaljene faktisk ble håndtert på feil måte. Kredittkortdetaljer ble lagret i standard Power Platform-miljøet, noe som betyr at de var tilgjengelige for hele Azure AD-leietakeren, inkludert alle ansatte, leverandører og kontraktører. Videre ble de lagret som enkle tekststrengfelt.
Heldigvis ble databehandlingsbruddet oppdaget av sikkerhetsteamet før ondsinnede aktører – eller overholdelsesrevisorer – oppdaget det. Databasen ble ryddet opp, og applikasjonen ble lappet for å håndtere finansiell informasjon på riktig måte i henhold til forskriften.
Situasjon 3: Hvorfor kan jeg ikke bare bruke Gmail?
Som bruker er det ingen som liker kontroller for forebygging av datatap. Selv når det er nødvendig, introduserer de irriterende friksjon i den daglige driften. Som et resultat har brukere alltid prøvd å omgå dem. En evig dragkamp mellom kreative forretningsbrukere og sikkerhetsteamet er bedriftens e-post. Synkronisering av bedrifts-e-post til en personlig e-postkonto eller bedriftskalender til en personlig kalender: Sikkerhetsteam har en løsning for det. De setter nemlig e-postsikkerhet og DLP-løsninger på plass for å blokkere videresending av e-post og sikre datastyring. Dette løser problemet, ikke sant?
Vel nei. Et gjentatt funn på tvers av store bedrifter og små bedrifter finner ut at brukere lager automatiseringer som omgår e-postkontroller for å videresende bedriftens e-post og kalender til deres personlige kontoer. I stedet for å videresende e-poster, kopierer og limer de inn data fra en tjeneste til en annen. Ved å logge på hver tjeneste med en egen identitet og automatisere kopier-lim-prosessen uten kode, omgår forretningsbrukere sikkerhetskontrollene med letthet – og uten enkel måte for sikkerhetsteam å finne ut av.
Power Platform-fellesskapet har til og med utviklet seg maler som enhver Office 365-bruker kan hente og bruke.
Med stor makt kommer stort ansvar
Bekreftelse av bedriftsbrukere er flott. Forretningslinjer bør ikke vente på IT eller kjempe om utviklingsressurser. Vi kan imidlertid ikke bare gi bedriftsbrukere kraft på utviklernivå uten veiledning eller rekkverk og forvente at alt vil ordne seg.
Sikkerhetsteam må utdanne forretningsbrukere og gjøre dem oppmerksomme på deres nye ansvar som applikasjonsutviklere, selv om disse applikasjonene ble bygget med «ingen kode». Sikkerhetsteam bør også sette rekkverk og overvåking på plass for å sikre at når forretningsbrukere gjør en feil, som vi alle gjør, vil det ikke snøballe inn i fullstendige datalekkasjer eller revisjonshendelser.
