Det er ikke så kjekt å bli tatt på sengen i en revisjon. Forestill deg sjokket når du får en avviksrapport fordi noen som sluttet for flere måneder siden, fortsatt har administratortilgang. Dette er et problem som bør ligge høyt oppe på agendaen for enhver organisasjon i disse dager.
Sovende kontoer er mer enn bare en irritasjon; de er en alvorlig trussel mot cybersikkerheten. Det er litt som å låse ytterdøren, men uten å ha kontroll på hvem som fortsatt har reservenøkkel.
Heldigvis finnes det enklere måter å både oppdage og fjerne disse «spøkelsene» fra systemene dine. La oss se nærmere på hvordan.
Spøkelseskontoer er brukerprofiler som henger igjen i systemet ditt lenge etter at medarbeideren har sluttet eller byttet stilling.
De oppstår ofte fordi HR har glemt å registrere en oppsigelse eller at et viktig de-provisionerings-trinn ble utelatt. Et eksempel er en tidligere økonomisjef som beholder tilgang til lønnssystemer i månedsvis etter at vedkommende har sluttet, rett og slett fordi IT-avdelingen aldri ble informert.
Zombiekontoer er en litt annen historie. En zombiekonto tilhører en som fortsatt jobber hos dere, men som ikke lenger bruker kontoen og har glemt den.
Tenk deg en administrator som flytter til en annen avdeling, og etterlater en gammel, inaktiv konto med full systemtilgang og utvidede rettigheter. Ingen har brukt den på flere måneder, men den er heller ikke blitt deaktivert. Disse kan bli flagget i en revisjon – eller, enda verre, de kan bli en perfekt bakdør for hackere som ønsker å stjele data.
En utvikler som opprettet en testkonto under en produktlansering, ga den full admin-tilgang for å få fortgang i arbeidet, og så glemte å slette den, er et annet klassisk eksempel. Måneder senere ligger den fortsatt der med vidåpne tillatelser, og er et lett bytte for alle med uærlige hensikter.
Både spøkelses- og zombiekontoer utgjør en alvorlig cybersikkerhetsrisiko. Hvis ondsinnede aktører får tilgang, kan det fort koste organisasjonen dyrt.
En av de mest effektive måtene å håndtere dette problemet på er med en IAM-løsning (Identity and Access Management) som forhindrer uautorisert tilgang og inkluderer funksjoner for å finne og stenge spøkelseskontoer.
Før vi graver dypere i IAM-løsninger, la oss se på hvordan inaktive kontoer kan skade organisasjonen din om de ikke blir håndtert.
Fordi spøkelseskontoer ikke brukes daglig, kan en hacker få tilgang til systemet ditt uten at noen alarmer utløses.
Hvis kontoen teknisk sett er "aktiv", men ikke overvåkes, vil mistenkelig aktivitet ikke bli flagget, og angriperne kan snuse rundt i dager, uker, måneder eller til og med år uten å bli oppdaget.
I januar 2024 opplevde for eksempel Microsoft et alvorlig internt sikkerhetsbrudd. Angriperne brøt seg ikke inn i et live-system, men fikk i stedet tilgang gjennom en glemt administratorkonto som ikke var i produksjon, og som ble brukt til testing. Kontoen hadde et svakt passord og ingen multifaktorautentisering (MFA), noe som gjorde den til et enkelt mål.
Zombiekontoen ga inntrengere tilgang til sensitive interne e-poster og data fra Microsofts cybersikkerhets- og juridiske team. En flau og kostbar tabbe som enkelt kunne vært unngått dersom kontoen hadde blitt oppdaget og fjernet tidligere.
Gamle kontoer for vikarer og konsulenter blir ofte oversett i tilgangsrevisjoner eller ved typisk IAM-tilsyn. De glemmes rett og slett under offboarding, noe som gjør dem til et lett bytte for hackere.
Det australske teleselskapet Tangerine opplevde for eksempel et stort dataangrep i 2024, hvor personopplysningene til 232 000 kunder ble lekket. Det viste seg at angrepet kom fra en enkelt leverandørpålogging, koblet til en gammel kundedatabase. Kontoen var ikke deaktivert, og dataene var ikke tilstrekkelig sikret, noe som gjorde det enkelt for hackerne å bryte seg inn.
Spøkelses- og zombiekontoer er ille nok når én person har tilgang, men hva om flere har det? Det er ikke uvanlig at folk deler pålogging til for eksempel administrasjons- eller markedsføringsverktøy innad i en avdeling, selv om det strider mot retningslinjene.
Hvis noen gjenbruker et delt passord utenfor organisasjonen, eller om det kommer på avveie, kan en hacker få tilgang til systemet og skape store problemer.
En spøkelseskonto som har tilgang til brukerdata, kan føre til at du havner i trøbbel med datatilsynet på grunn av personvernregler som for eksempel GDPR i Europa og HIPAA i USA. Selv om kontoen ikke blir hacket, kan du bli straffet dersom det viser seg at reglene ikke har blitt fulgt.
Hvis kontoen noen gang knyttes til et alvorlig datainnbrudd eller det påvises alvorlig uaktsomhet, kan du ende opp med bøter i millionklassen. Alvorlige brudd på GDPR-regelverket kan medføre bøter på opptil 20 millioner euro eller 4 % av den globale årsomsetningen, avhengig av hva som er høyest.
I 2020 ble British Airways ilagt en bot på nesten 20 millioner pund av den britiske ICO (opprinnelig foreslått til 183 millioner pund) etter at et datainnbrudd avslørte hundretusener av kundeopplysninger.
Selv om det ikke direkte handler om spøkelseskontoer, oppstår «tilgangskryp» når medarbeidere gradvis får flere og flere tillatelser over tid. Kanskje hjelper de et annet team og får midlertidig tilgang til et verktøy som aldri blir tilbakekalt når prosjektet er ferdig. Multipliser dette med en hel organisasjon, og du har plutselig hundrevis av mennesker med mer tilgang enn de trenger. Dette gjør organisasjonen til et større mål for hackere.
Verizons rapport om undersøkelser av datainnbrudd i 2025 avslørte at det har vært en økning på 34 % i antall dataangrep som utnytter interne sårbarheter de siste årene.
En måte å bekjempe denne økende risikoen på, er å gjennomføre regelmessige tilgangsvurderinger. En tilgangsvurdering er en enkel sjekk av hvem som har tilgang til hva. Med noen måneders mellomrom stiller du deg spørsmål som: «Trenger Per fortsatt tilgang til denne filen, dette systemet, dette verktøyet eller dette datasettet?». Hvis svaret er nei, fjernes tilgangen.
Det høres kanskje grunnleggende ut, men det er overraskende hvor mange organisasjoner som utsetter eller hopper over disse gjennomgangene. Noen ganger skyldes det mangel på ressurser og tid, men i noen tilfeller handler det også om manglende bevissthet.
Uten hyppige tilgangsgjennomganger ender du opp med spøkelseskontoer og utdaterte tillatelser. Disse bør være en sentral del av sikkerhetshygienen, like viktig som programvareoppdateringer og antivirus.
Mange organisasjoner gjennomfører fortsatt tilgangsvurderinger manuelt. Dette innebærer ofte å grave gjennom logger og sende e-poster til ledere for godkjenning. Det er en treg og feilutsatt prosess som ofte blir nedprioritert.
Heldigvis finnes det en mye enklere måte å holde kontroll på tilgangsstyringen, ved hjelp av IAM-verktøy som automatiserer mye av det tunge arbeidet.
Moderne IAM-verktøy kan skanne systemene og HR-dataene dine i bakgrunnen for å flagge sovende eller mistenkelige kontoer. Systemet varsler deg når noe ser mistenkelig ut – for eksempel en gammel administratorkonto som ikke har vært i bruk på flere måneder, men som fortsatt har full tilgang.
IAM-verktøy kan konfigureres til å kjøre automatiske tilgangsgjennomganger hver måned, hvert kvartal eller når det passer teamet ditt. Verktøyet sjekker hvem som har tilgang til hva, og samler deretter resultatene i en enkel oversikt. Rapporten sendes direkte til IT- og HR-avdelingen, som kan gjennomgå og godkjenne den. Du får alt på ett sted, presentert på en ren og oversiktlig måte.
Noen IAM-plattformer, som Identums eADM, går et skritt videre. De kobles direkte til HR-systemet ditt, for eksempel Visma, Unit4 eller Simployer, og trekker tilbake tilgangen umiddelbart når noen slutter eller bytter rolle.
IAM-verktøy gjør onboarding enklere. Når noen begynner, får de akkurat den tilgangen de trenger, og når de slutter, fjernes disse tillatelsene automatisk. Det er raskt, ryddig og mye mindre risikabelt enn å stole på e-postkjeder eller manuelle sjekklister.
Hvis noen har en lisens de ikke har brukt på et halvt år, er sjansen stor for at de ikke trenger den lenger. Noen IAM-verktøy sporer hvor ofte programvare faktisk brukes, noe som betyr at du kan oppdage ubrukte lisenser og kutte kostnader.
IAM-plattformer bruker ofte enkle, skjemabaserte arbeidsflyter for endringer i tilgangsstatus. En leder fyller ut en forespørsel, for eksempel "Per trenger tilgang til verktøy X", og systemet håndterer resten.
Hver innlogging, hver tilgangsendring og hvem som utførte endringen, kan logges i systemet, slik at du får et fullstendig revisjonsspor. Hvis det noen gang skulle skje et sikkerhetsbrudd eller en samsvarskontroll, har du all den informasjonen du trenger lett tilgjengelig.