Hem / Säkerhet & GDPR / VPN för distansarbete och adminpaneler

Säkerhet & GDPR

VPN för distansarbete och adminpaneler

Den här sidan handlar om ett smalt men vanligt läge: någon i teamet behöver logga in på en adminpanel, e-post eller FTP från ett nät ni inte kontrollerar. Här är vad en VPN faktiskt gör i det läget, och vad den inte gör.

Distansarbete och fjärrinloggning till webbverktyg är i dag vardag för många småföretag: någon rättar en text på café-wifi, laddar upp filer via FTP från ett hotellnät, eller loggar in på adminpanelen till hemsidan från ett delat kontorshotell. Det gemensamma i alla dessa situationer är att nätet mellan enheten och internet inte ägs eller kontrolleras av er själva, vilket gör det svårare att veta om trafiken går att avlyssna eller manipulera på vägen. En VPN (virtuellt privat nätverk) löser just den delen genom att kryptera trafiken mellan enheten och en VPN-server, så att innehållet i inloggningen inte går att läsa av någon annan på samma nät. Det är en konkret, avgränsad riskreduktion, inte ett generellt säkerhetspaket, och den här sidan håller sig medvetet till den avgränsningen. Sidan jämför alltså inte vilken konsument-VPN som är bäst för strömning eller allmän integritet på fritiden, och den handlar inte om ett universitets eller en skolas VPN för studenter – fokus här är företagets egen åtkomst till adminpaneler, e-post och FTP. Letar ni efter en bredare genomgång av VPN för företag finns en guide till VPN för småföretag på systersajten cronaweb.com.

Vad en VPN faktiskt skyddar

När en anställd ansluter till en adminpanel, ett FTP-konto eller e-post över ett öppet eller delat nät, är risken att någon annan på samma nät kan se eller manipulera trafiken innan den når fram till webbplatsens eller e-postleverantörens server. En VPN-tjänst som NordVPN krypterar anslutningen genom att leda trafiken via en egen VPN-server, vilket gör det svårare för någon på samma öppna nät att fånga upp inloggningsuppgifter eller filöverföringar i klartext. Nyttan är som störst i just de situationer där nätet inte går att lita på: flygplatser, kaféer, hotell och andra delade nät som teamet inte själva administrerar. Sitter alla i stället alltid på kontorets eller hemmets egna nät, med ett eget lösenord och en router ni kontrollerar, är den akuta risken mindre, men den kan snabbt bli aktuell igen så fort någon reser eller jobbar från ett nytt ställe.

Vad en VPN inte löser

Det är lika viktigt att vara tydlig med vad en VPN inte gör. Den skyddar själva anslutningen, inte det som skrivs in i slutet av den. Ett återanvänt eller läckt lösenord fungerar lika bra genom en krypterad VPN-tunnel som utan den, och en angripare som redan har kommit över inloggningsuppgifter behöver inte bry sig om att trafiken är krypterad på vägen dit. En VPN säger heller ingenting om huruvida webbplatsens eget skydd, till exempel uppdaterad programvara, en sårbar plugin eller loggning, faktiskt fungerar som det ska. CISA pekar på samma avgränsning: en VPN skyddar transporten, men behöver kombineras med tvåfaktor och kontrollerad behörighet för att inloggningen som sådan ska vara skyddad. Det är därför NCSC lyfter stark autentisering och kontrollerade behörigheter som en av de mest centrala säkerhetsåtgärderna för verksamheter, oavsett om anslutningen dessutom går via en VPN eller inte.

En VPN ersätter inte tvåfaktorsinloggning, en lösenordshanterare, testade säkerhetskopior eller webbplatsens egen säkerhet. Den är ett komplement som skyddar trafiken på vägen, inte de konton, lösenord eller system den ansluter till.

Risk, åtgärd och källa

Tabellen kopplar varje risk kring fjärrinloggning till en konkret åtgärd, vad ni kan visa att ni faktiskt gjort, och källan åtgärden vilar på.

RiskÅtgärdKontrollbevisKälla
Inloggning till adminpanel eller FTP sker via öppet wifiAktivera VPN innan anslutning till adminverktyg på nät ni inte kontrollerarDokumenterad rutin för när VPN ska användasNordVPN
Konton skyddas bara av lösenordAktivera tvåfaktorsinloggning på adminpaneler, e-post och domänkontonTvåfaktor påslaget per kontoNCSC
Höga behörigheter används av fler än nödvändigtBegränsa admin-åtkomst till de som faktiskt behöver den, och granska listan regelbundetAktuell behörighetslistaNCSC
Osäkert om autentiseringen är anpassad efter risknivånSe över inloggningsskyddet för system som hanterar personuppgifterGenomförd riskbedömningIMY
Ingen vet vem som kontaktas vid en pågående it-incidentHa kontaktvägen till CERT-SE dokumenterad i förvägNedskriven kontaktrutinCERT-SE

Praktisk rutin för små team

För ett litet team räcker det oftast med en enkel, skriven regel: VPN ska vara påslagen innan någon loggar in på adminpanelen, e-posten eller FTP-kontot från ett nät som inte är kontorets eller hemmets eget. Det är enklare att få rutinen att hålla om alla i teamet använder samma VPN-tjänst med samma grundinställningar, snarare än att var och en väljer sin egen lösning. Komplettera rutinen med att aktivera tvåfaktorsinloggning på samma konton, och samla lösenorden i en lösenordshanterare i stället för att de mejlas eller återanvänds mellan tjänster. Ingen av delarna är beroende av avancerad teknisk kompetens: det handlar om att bestämma en ordning, skriva ner den, och se till att den faktiskt följs när någon jobbar utanför kontoret.

Hur mycket som behövs utöver VPN beror på hur många personer och adminpaneler det handlar om. Ett litet team med en handfull konton klarar sig ofta med VPN plus tvåfaktor på varje konto, eventuellt kompletterat med en IP-begränsning i adminpanelen som bara släpper in kända nät. Växer teamet eller antalet paneler, eller om flera personer behöver olika behörighetsnivåer, kan det vara mer motiverat att gå vidare till enkel inloggning (SSO) och mer finkornig åtkomststyrning i stället för att alla delar samma VPN-anslutning. Det finns ingen exakt gräns för när steget är värt besväret, men resonemanget bör följa samma princip som IMY lyfter för autentisering: ju känsligare system och ju fler som har åtkomst, desto starkare skäl att lägga till fler kontrollerade lager i stället för att luta sig på en enda VPN-anslutning.

Om verksamheten redan hanterar personuppgifter i systemen som nås på distans, till exempel kunduppgifter i en adminpanel, är det värt att koppla ihop rutinen med det bredare dataskyddsarbetet snarare än att se den som en fristående teknisk fråga. Autentiseringen och åtkomstskyddet ska enligt IMY anpassas efter risken i behandlingen, vilket i praktiken betyder att ju känsligare uppgifter som går att nå via en fjärrinloggning, desto viktigare är det att flera skyddslager finns på plats samtidigt, inte bara ett.

När ni behöver extern hjälp

De flesta av rutinerna ovan går att sätta upp själv utan konsultstöd. Två lägen är dock värda att lyfta vidare: om ni misstänker att ett konto redan är komprometterat trots att VPN användes, eller om en pågående it-säkerhetsincident påverkar flera system samtidigt. CERT-SE ger stöd och kontaktvägar vid inträffade eller pågående it-relaterade störningar och säkerhetsincidenter, och är rätt instans att vända sig till när ni är osäkra på omfattningen av något som redan hänt, snarare än att försöka bedöma det på egen hand.

Vanliga frågor

Räcker en VPN för att jobbet ska vara säkert på distans?

Nej. En VPN krypterar trafiken mellan enheten och internet, vilket är värdefullt på öppet wifi, men den skyddar inte mot ett gissat lösenord, ett komprometterat konto eller en osäker webbplats. Den är ett komplement till tvåfaktor, lösenordshantering och backup, inte en ersättning.

När behöver ett litet team faktiskt en VPN?

Framför allt när någon loggar in på adminpaneler, e-post eller FTP från nät ni inte kontrollerar, till exempel café-wifi, hotellnät eller andra delade nätverk. Sitter teamet alltid på kontorets eller hemmets egna, lösenordsskyddade nät är behovet mindre akut, men riskbilden förändras så fort någon jobbar utanför den miljön.

Skyddar VPN mot att lösenord kapas eller läcker?

Inte i sig. VPN skyddar själva anslutningen, inte lösenordet som skrivs in i slutet av den. Ett läckt eller återanvänt lösenord fungerar lika bra över en krypterad anslutning som över en okrypterad. Det är därför tvåfaktor och en lösenordshanterare behövs som separata skyddslager.

Måste alla i teamet använda samma VPN-tjänst?

Det är enklast att administrera om alla på ett litet team använder samma tjänst, med samma inställningar för vilka enheter och nät den ska aktiveras på. Det gör det tydligare att kontrollera att rutinen faktiskt följs, jämfört med att var och en väljer olika lösningar.

Annonslänkar: Cronaweb kan få provision om du går vidare via länkarna på sidan.