Prosjektbeskrivelse for MFA-prosjektet

Bakgrunn og begrunnelse for prosjektet

Brukernavn og passord på̊ avveie er den sikkerhetshendelsen som forekommer oftest på̊ UiO, og det kan medføre brudd på̊ alle de tre prinsippene om konfidensialitet, integritet og tilgjengelighet. Når brukernavn og passord kommer på̊ avveie, kan en målrettet trusselaktør utrette stor skade for både den enkelte og for institusjonen. Det har vært hendelser hvor én del av UiO sin IT-infrastruktur har blitt benyttet, ved hjelp av brukernavn og passord på̊ avveie, for å angripe eller misbruke andre deler av infrastrukturen.

Flerfaktorautentisering (multifaktorautentisering - MFA), best kjent som tofaktorautentisering (2FA), er det viktigste tekniske tiltaket som hjelper med å begrense denne typen angrep. I praksis betyr det at sluttbruker i tillegg til å oppgi brukernavn og passord, også̊ må̊ oppgi en engangskode får i en tekstmelding, mobilapp eller lignende for å kunne logge på̊ gitte IT-tjenester. 

Det er også kommet henvendelser fra enheter og forskergrupperinger med et sterkt ønske om denne typen beskyttelse.

Viktigheten av å sikre vedvarende konfidensialitet, integritet og tilgjengelig viser seg i Datatilsynets varsel til Stortinget administrasjon i januar 2022 om at de utsteder administrasjonen et gebyr etter datainnbruddet i 2020. Datatilsynet fremhever i sitt varsel «at dersom tofaktorautentisering hadde blitt gjennomført på et tidligere tidspunkt, så ville sjansen for et vellykket angrep vært adskillig mindre».

Dette prosjektet er starten og en viktig forutsetning for flere prosjekter som er under planlegging. MFA er f.eks. en forutsetning for at UiO skal kunne ta i bruk Microsoft 365 til behandling og lagring av sensitive data (rødt). Prosjektet kan ses på som et første delprosjekt for innføring av MFA ved UiO, hvor hovedfokuset er på å:

  • få aktivert MFA mot MS 365 og dens tjenester,
  • få aktivert Modern Authentication for Exchange, slik at MFA kan brukes ved autentifisering mot UiOs e-post og kalendersystem
  • legge til rette for at Feide som autentiseringspunkt kan bruke MFA fra Azure AD
  • definere og produksjonssette et regelsett for Conditional Access som tas i bruk på driftede klientmaskiner ved UiO (MacOS og Windows). 

Universitetets IT-direktør har fremlagt behovet for dette sikkerhetsløftet for universitetsdirektøren i juni 2021, og prosjektet har forankring i UiOs øverste ledelse.

Mål og ønskede gevinster

Nivå Beskrivelse Suksesskriterier
Formål: Mål for UiO som dette prosjektet bidrar til oppfyllelsen av

Formålet er å sikre

  • konfidensialitet (å vite at det kun er de som skal ha tilgang til noe som har tilgang)
  • integritet (at ingenting har blitt endret uten at du er klar over det)
  • tilgjengelighet (sikre at viktige systemer er viktige for UiOs brukere)
  • At tjenester som bruker Feide som autentiseringspunkt, aktiverer Azure AD med MFA
  • At Exchange får MFA-støtte
  • Antallet brukere (ansatte, studenter og tilknyttede) som tar i bruk MFA
  • At arbeidsmengden til CERT i forbindelse med passord som kommer på avveie går ned 
Effektmål (langsiktige positive gevinster. Merk at disse kan være både «harde» og «myke»)

Effektmålet er todelt:

  • Etablere brukervennlig multifaktorautentisering ved UiO
  • Redusere antallet sikkerhetshendelser hvor brukernavn og passord har kommet på avveie
  • En innføring av MFA skal være minst mulig inngripende for brukerne
  • Det skal være lett å forstå for brukerne når MFA må/skal brukes
Resultatmål (de målene som prosjektet skal oppnå i prosjektets levetid; f.eks. målt i tid, kostnad og kvalitet) 
  • At multifaktorautentisering tilbys brukere av Microsoft 365
  • At multifaktorautentifisering etableres for driftsbrukere mot UiOs klientmaskiner 
  • At Feide kobles mot Azure AD
  • At det etableres MFA for alle tjenester i MS 365 og tjenester som bruker Azure AD som autentiseringsløsning.
  • At det etableres MFA for tjenester som bruker Feide som autentiseringspunkt, som tjenesteeier lett kan ta i bruk.
  • At det er lagt til rette for at MFA-løsningen kan brukes av andre on-prem og skytjenester ved UiO, som f.eks. SSH-påloggingsserver og for VPN.

Rammebetingelser

Gjeldende rammeverk for autentisering og uaviselighet i elektronisk kommunikasjon med og i offentlig sektor.

NSM anbefaler virksomheter å benytte multifaktorautentisering (MFA) alle steder det er mulig.

Prosjektets leveranser og avgrensninger

Leveranser

Leveranser Beskrivelser
MS 365

MFA skal skrus på for MS 365 og alle dens tjenester for UiOs brukere (ansatte, studenter, tilknyttede og gjester). UiO har månedlig ca. 15.000 aktive brukere på tjenestene Teams og OneDrive.

Av Crayon er prosjektet blitt anbefalt at MFA innføres med hjelp av teknologien Conditional Access (betinget tilgang). Dette fordi UiO har behov for fleksibilitet rundt autentisering og autorisering. 

Kjernen i Conditional Access er muligheten for granulert autentisering gjennom å kontrollere: 

  • Brukere – Rollebasert autentisering
  • Enheter – Klientmaskiner i driftsopplegg, patchenivå og udriftede enheter
  • Applikasjoner – Hvilke applikasjoner skal evt. ha en strengere autentisering?
  • Location – Autentisering fra UiOs fastnett og trådløst nett, hjemmekontor
  • Risk – Geografiske risikoområder, pågående angrepstrender

Prosjektet skal levere en første versjon av et regelsett som styrer når autentisering med brukernavn og passord er tilstrekkelig og når MFA kreves. Prosjektet vil i hovedsak levere MFA med mobil app (OATP), men noen brukere vil nok kreve at passord leveres på annen måte. Alternativet bør være SMS og UiO ikke tar i bruk FIDO/Yubikey.

Som en del av leveransen ønsker prosjektet å pilotere autentiseringsoppsettet.

Feide

Å koble sammen Feide med Azure AD, slik at Feide blir et autentiseringspunkt med MFA-støtte fra Azure AD.

Prosjektaktiviteten forutsetter at SIKT produksjonssetter sin løsning for MFA i Feide tidlig i år.

MFA-autentisering for sin tjeneste. Prosjektet trenger forslag til tjenester som er egnet for pilotering og produksjonssetting først. 

For at prosjektet skal kunne gjøre denne aktiviteten er det avhengig av at det gjøres noe utviklingsarbeid i Cerebrum, slik at et MFA-attributt kan settes på alle brukerkontoer i LDAP.

Prosjektet vil pilotere Feide som autentiseringspunkt med Azure AD med MFA-støtte for administratorer i mailinglisttjenesten Sympa, hvor medlemskap på listen anses som en 'Særlig kategori av personopplysninger'.
Modern Authentication for Exchange

Prosjektet skal aktivere Modern Authentication for UiOs MS 365-tenant, slik at denne autentiseringsmetoden tas i bruk for alle brukere på UiO (med eller uten MFA og Conditional Access). 

Aktivering av Modern Authentication for Exchange bør gjøres som et eget delprosjekt, etter at flertallet av UiOs brukere har tatt i bruk MFA. Denne aktiveringen vil også kreve kommunikasjon mot alle UiOs brukere gjennom flere kanaler, slik at vi ikke risikerer at mange blir avskåret fra å motta og sende e-post.

Som en del av leveransen skal prosjektet levere ny konfigurasjon for støttede e-post og kalenderapplikasjoner på maskiner som er en del av UiOs driftsopplegg, samt utarbeide brukerdokumentasjon for manuelt oppsett private maskiner.

Dette vil ha følgende betydning:

  • Skrus på samtidig for samtlige brukere på UiO (ansatte, studenter og tilknyttede) – en kan ikke aktivere funksjonaliteten for enkelte brukergrupper (roller)
  • Den e-post og kalenderapplikasjonen som sluttbruker benytter seg av, må ha støtte for Modern Authentication. De aller fleste klienter i sin nyeste versjon har det per i dag, men for sluttbrukere på UiO vil det sikkert være enkelte som ikke lenger kan benytte sin foretrukne klient.
  • Alle sluttbrukeres e-post og kalenderapplikasjoner må konfigureres / settes opp på nytt
  • Stort press på brukerstøtte, samtidig som brukere i påvente av hjelp med konfigurering kan henvises til å bruke OWA
  • Når Modern Authentication er aktivert, kan en for bestemte brukergrupper/roller aktivere MFA eller gjøre det for alle.

Utvidelse av prosjektet

IT-direktørmøtet vedtok 23. august på anbefaling fra IT-sikkerhetssjef (prosjekteier) følgende utvidelse av prosjektet.

  • Brukere av UiOs RDP-gateway skal autentisere seg mot Azure AD og med tofaktor. 
  • Mattermost skal bruke Feide til autentisering (Bruk arbeid- eller skolekonto).
  • Se på tekniske muligheter for å sikre UiOs IMAP-servere.

Avgrensninger

Ved innføringen av Feide som autentiseringspunkt med MFA-støtte, begrenser prosjektet seg til å informere om de nye mulighetene for autentisering som prosjektet har implementert.

  • Prosjektet skal ikke se på MFA for tjenester som ikke kan bruke Feide eller Azure AD til autentisering.
  • Prosjektet ser ikke på autentisering mot tjenester som UiO drifter for UH-sektoren.

Vurdering av usikkerhet i prosjektet: Trusler og muligheter 

Prosjektet ser det slik at Azure AD i et 3-5 års perspektiv er en god autentiseringsløsning for UiO. En Exit-strategi om det skulle bli nødvendig, vil være å bygge på åpne standarder som SAML og OAUTH 2.0.

Trusler

Interne og eksterne forhold som påvirker prosjektets leveranser:

  • Prosjektet er stort og komplekst. Ved å gjennomføre implementeringen av multifaktorautentisering som flere delprosjekter, tas kompleksiteten ned i det enkelte delprosjekt.
  • De som drifter og vedlikeholder Cerebrum er involvert i mange store prosjekter og antas å ha lite tid til å utvikle funksjonalitet for MFA i Cerebrum som Feide kan benytte seg av.
  • Ansatte og studenter som ikke ønsker å ta i bruk MFA. 
  • Aktivering av MFA må i minst mulig grad påvirke ansatte og studenters produktivitet.
  • Multifaktorautentisering vil kreve at ansatte og studenter installerer MFA-app på sine private telefoner, evt. at UiO kjøper inn billige telefoner med abonnementer som kun kan motta samtaler og SMS, hvor autentiseringskode sendes ut som SMS. For studenter på private datamaskiner kan en evt. åpne for MFA-Add-On til nettleser eller at MFA applikasjon installeres på maskinen. FIDO-nøkler bør ikke vurderes grunnet administrasjonskostnader.
  • Ansatte og studenter nås ikke med informasjon fra prosjektet eller de overser at de må aktivere MFA. 
  • Bør det skrus på geografisk begrensning fra hvor en kan aktivere MFA? Utgangspunktet er at det er skrudd på for Norden, men siden UiO har forskere over store deler av verden blir spørsmålet om et slikt krav vil skape problemer?
  • Integrasjon mellom Workspace One og AAD krever en Workspace One-modul som kun er aktivert som SaaS only. Denne benyttes ikke per i dag. Uten denne vil Conditional Access for Mac og mobile enheter antakelig ikke fungere, eller i beste fall kun med redusert funksjonalitet.

Gevinster

  • Sikkerhetsgevinster

  • Moderne autentiseringsmetoder

  • Single sign-On for bedre arbeidsflyt for UiOs ansatte og studenter

Valg av alternativ og nytte/kost-vurdering

Alternative løsninger har ikke blitt vurdert, da MFA for MS 365 er en innebygget funksjonalitet i skytjenesten og aktivering av Feide som autentiseringspunkt med Azure AD er et implementeringsprosjekt, hvor løsningen er utviklet av SIKT.

MFA er i tråd med anbefalinger fra myndighetene.

Gevinster For hvem, og hvordan fremkommer gevinsten? Forutsetninger for at gevinsten skal kunne realiseres
Tilgjengelighet

Brukerne

Flere tjenester kan gjøres tilgjengelig for brukere med Conditional Access. Dette vil få betydning i vår nye hverdag hvor brukere jobber uavhengig av lokasjon og at utstyret er eiet av UiO.

Økt oppetid på tjenester grunnet færre tilfeller hvor brukernavn og passord kommer på avveie.

At prosjektet klarer å få MFA aktivert for alle brukere ved UiO.

At tjenesteeiere som bruker Feide til autentisering aktiverer Azure AD-autentisering (med MFA).

At tjenesteeiere som bruker andre autentiseringsløsninger enn Feide og Azure AD, tar en av disse nye autentiseringsløsningene i bruk i stedet for dagens løsning.
Redusert arbeidsmengde

IT-sikkerhet

Brukernavn og passord på̊ avveie er den sikkerhetshendelsen som forekommer oftest på̊ UiO. 

I snitt de siste fem årene har UiO-CERT håndtert i overkant av 100 saker per ar der brukernavn og passord til UiO-brukerkontoer har kommet på̊ avveie og blitt misbrukt. Dette antallet stiger. Per 1. juni 2021 var vi kjent med 90 tilfeller.

Ved å etablere MFA for MS 365 oppnås en bedre sikkerhet, da UiO per i dag har bedre systemer for å detektere angrep på on-prem tjenester enn for skytjenester.
Multifaktorautentisering implementeres på flertallet av UiOs tjenester og for flest mulig brukere (dvs. både ansatte, studenter og tilknyttede).
Teknisk gjeld

UiO

Prosjektet legger til rette for at det kan settes MFA foran gamle systemer, som i varierende grad er i bruk, som fremdeles står på̊. Disse systemene er gjerne satt opp uten at USIT eller Lokal IT har vært involvert, og som ikke følger UiOs gjeldende driftsregime.

UiO-CERT får stadige henvendelser fra eksterne sikkerhetsforskere som påpeker sårbarheter i systemer på UiO-nett.
Lagt til rette for multifaktorautentisering implementeres på gamle systemer som ikke kan skrus av / legges ned.

Grov tidsplan og milepæler

Aktivitet Tidsrom Deltakere
Etablere prosjektet (prosjektbeskrivelse, deltakere og workshops med UiB, Crayon og Microsoft) – Få prosjektet vedtatt av IT-dir. Nov 2021 - Jan 2022 Prosjekteier, prosjektleder og IT-sikkerhet
Kompetanseoppbygging av prosjektdeltakere Des 2021 – Jan 2022 MS 365-forvaltere og enkelte fra brukerstøtte om hvilke oppgaver de er tenkt å løse

MS 365 – Etablere MFA mot UiOs tenant. 

Lisensgjennomgang – Alle med A1-lisens gis i stedet EMS-lisens.

Pilotere flerfaktorautentisering med UiOs IT-organisasjon. 
Feb 2022 Prosjektleder, IT-sikkerhet og prosjektdeltakere
Definere og implementere hvilke Conditional Access-oppsettet for Windows (autopilot) og Mac på UiO.  Feb 2022  Prosjektleder, IT-sikkerhet, prosjektdeltakere, administratorer av UiOs MS365-tenant og INT

Beslutningssak fremmes for IT-dir:

  • Om at MFA for MS 365 skal innføres for alle på UiO, evt. for hvilke brukergrupper.
  • Aktivere Conditional Access-oppsettet med noe av funksjonaliteten i report-only mode (for MacOS-brukere kan det komme et krav om godkjenning av sertifikat)
Produksjonsetting i henhold til vedtak.
Mars 2022 Prosjekteier
Conditional Access prodsettes slik at prosjektet kan høste erfaringer og avdekke evt. problemer med regelsettet. Mars 2022 Prosjektdeltakere fra GDW og GM3, samt IT-sikkerhet
Aktivere Modern Authentication for Exchange 2019 2. halvdel april og mai - aktivering etter IT-konf. Prosjektgruppen og Seksjon for klientdrift.

Integrere Azure AD som MFA-backend for Feide

   

Organisering, roller og ansvar

Hvem Rolle Deltakelse
Lars Oftedal, IT-dir Programeier -
Anders Vinger, seksjonsleder klientdrift Programleder -
Espen Grøndahl, IT-sikkerhetssjef Prosjekteier -
Frank Paul Silye, teamleder Mac og mobile enheter Prosjektleder 50%
Ståle Askerød Johansen, IT-sikkerhetsmedarbeider Prosjektdeltaker 30%
Ernesto Antonio Gonzalez Benitez, senioringeniør, GDW Prosjektdeltaker 30%
Johan Engvall, overingeniør, GDW Prosjektdeltaker 30%
Kim Isaksen, senioringeniør, GM3 Prosjektdeltaker 30%
Gustav Øgar Meisal, overingeniør, SDS Prosjektdeltaker 30%

Prosjektet vil ellers trekke på nødvendige ressurser hos USIT ved behov:

  • Kommunikasjon og opplæringsplan
  • UX – vurdere de enkelte løsningenes brukervennlighet
  • IT-sikkerhet og IT-juristene
  • INT – Koble autentiseringspunktet Feide mot Azure AD for MFA
  • Nettdrift for oppgradert radius-server (Eduroam og Jamf connect)
  • Postmaster-gruppen i forbindelse med arbeid rundt Exchange og Sympa
  • AD-ansvarlig for maskinsertifikater
  • Det er et mulig ressursbehov for innleide konsulenter i forbindelse med Modern Authentication for Exchange on-prem.

Interessenter / målgrupper

Oversikt over interessenter og målgrupper ved UiO:

  • IT-sikkerhet
  • De som forvalter systemet
  • De som skal supportere systemet
  • Prosjektet er en viktig forutsetning for et evt. prosjekt rundt Unified labeling

Budsjett

Prosjektet med dens planlagte aktiviteter har stipulert arbeidsinnsatsen til prosjektleder og -deltakere til 1 årsverk.

Kostnader ved innføring av Modern Authentication for Exchange er ikke vurdert og inkludert. Det kan være at det kan være behov for konsulenthjelp for denne aktiviteten.

Publisert 15. feb. 2022 11:17 - Sist endret 31. aug. 2022 13:49