Tilbake til Artikler

Hvorfor privilegerte kontoer er den største sikkerhetstrusselen du ikke tenker på

FM Innsikt

Administratorkontoer og andre privilegerte tilganger er angriperes foretrukne mål. Vi forklarer hvorfor tradisjonell håndtering av disse kontoene ikke fungerer, og hvorfor vi har valgt CyberArk for Privileged Access Management.

20. nov. 2025

Skrevet av

Fredrik Standahl

CEO

Tilbake til Artikler

Hvorfor privilegerte kontoer er den største sikkerhetstrusselen du ikke tenker på

FM Innsikt

Administratorkontoer og andre privilegerte tilganger er angriperes foretrukne mål. Vi forklarer hvorfor tradisjonell håndtering av disse kontoene ikke fungerer, og hvorfor vi har valgt CyberArk for Privileged Access Management.

20. nov. 2025

Skrevet av

Fredrik Standahl

CEO

Tilbake til Artikler

Hvorfor privilegerte kontoer er den største sikkerhetstrusselen du ikke tenker på

FM Innsikt

Administratorkontoer og andre privilegerte tilganger er angriperes foretrukne mål. Vi forklarer hvorfor tradisjonell håndtering av disse kontoene ikke fungerer, og hvorfor vi har valgt CyberArk for Privileged Access Management.

20. nov. 2025

Skrevet av

Fredrik Standahl

CEO

Når en angriper kompromitterer en vanlig brukerkonto, er det vondt. Men når de kompromitterer en administratorkonto med tilgang til alle systemer, er det katastrofalt. I denne artikkelen deler vi hvorfor privilegerte kontoer er den største sikkerhetstrusselen de fleste ikke tenker nok på, hvordan moderne PAM (Privileged Access Management) faktisk fungerer, og hvorfor vi har valgt CyberArk som vår plattform.

Når en angriper kompromitterer en vanlig brukerkonto, er det vondt. Men når de kompromitterer en administratorkonto med tilgang til alle systemer, er det katastrofalt. I denne artikkelen deler vi hvorfor privilegerte kontoer er den største sikkerhetstrusselen de fleste ikke tenker nok på, hvordan moderne PAM (Privileged Access Management) faktisk fungerer, og hvorfor vi har valgt CyberArk som vår plattform.

For noen måneder siden ble vi kontaktet av et norsk produksjonsselskap som hadde oppdaget mistenkelig aktivitet i sine systemer. Noen hadde logget inn med en administratorkonto midt på natten og lastet ned store mengder data. IT-avdelingen påsto at ingen av dem hadde gjort det.

Da vi gikk gjennom deres håndtering av administratorkontoer, fant vi det som er skremmende vanlig:

  • Administratorpassordet til hoveddatabasen var "Admin2019!" og hadde ikke blitt endret på fem år

  • Samme passord var delt mellom fire personer i IT-avdelingen

  • Det lå lagret i et Word-dokument på en delt nettverksstasjon

  • Det fantes ingen logging av hvem som faktisk brukte kontoen

Angriperne hadde ikke brutt seg inn med avansert teknologi. De hadde ganske enkelt funnet dokumentet med passordene og logget inn som administratorer. Med full tilgang til alt.

Dette er realiteten i mange norske virksomheter. Privilegerte kontoer, de med nøklene til kongeriket, håndteres som en ettertanke.

Hva er egentlig en privilegert konto?

Før vi går videre, la oss klargjøre hva vi snakker om. En privilegert konto er ikke din daglige brukerkonto. Det er kontoer med utvidede tilganger:

Administratorkontoer: Kontoer som kan installere programvare, endre systemkonfigurasjoner, opprette nye brukere, få tilgang til alle filer.

Database-administratorer: Kontoer med full tilgang til databaser, inkludert all kundedata, finansdata, og annen sensitiv informasjon.

Skyinfrastruktur-administratorer: Kontoer i Azure, AWS, Google Cloud som kan spinne opp nye ressurser, endre sikkerhetskonfigurasjoner, slette hele miljøer.

Service-kontoer: Automatiserte kontoer som brukes av applikasjoner og skript for å kjøre oppgaver. Disse har ofte veldig brede tilganger og kjører døgnet rundt.

Nødbrytere: "Break-glass" kontoer som bare skal brukes i nødsituasjoner når alt annet feiler.

Disse kontoene har én ting felles: Hvis de kompromitteres, har angriperen full kontroll. De kan stjele data, slette systemer, installere bakdører, og dekke sporene sine.

Hvorfor tradisjonell håndtering ikke fungerer

Den tradisjonelle tilnærmingen til privilegerte kontoer er omtrent slik:

  1. Lag en administratorkonto

  2. Sett et passord (helst komplekst)

  3. Del passordet med de som trenger det (IT-avdeling, utviklere, leverandører)

  4. Lagre passordet et sted "sikkert" (Excel, Word, post-it lapp, passordverktøy)

  5. Endre passordet... noen gang... kanskje når noen slutter

Problemene med denne tilnærmingen er mange:

Delte passord kan ikke spores. Når fire personer kjenner samme administratorpassord, og noen bruker det, vet du ikke hvem. Var det legitim bruk eller et angrep? Var det IT-avdelingen eller en tidligere ansatt som fortsatt har passordet?

Passord blir sjelden endret. Å endre et delt administratorpassord er plagsomt. Du må informere alle som trenger det, oppdatere det overalt det er lagret, og håpe at ingen automatiserte skript slutter å fungere. Derfor blir det ikke gjort. Passord lever i årevis.

Ingen kontroll på hva som gjøres. Selv om du vet hvem som logget inn med administratorkontoen, vet du ikke hva de gjorde. Leste de noe de ikke skulle? Endret de kritiske konfigurasjoner? Opprettet de en bakdør? Uten detaljert logging er det umulig å vite.

Service-kontoer er en katastrofe. Automatiserte kontoer som brukes av applikasjoner har passord hardkodet i konfigurasjonfiler, skript, eller kode. Å endre disse passordene betyr at ting slutter å fungere, så det gjøres aldri.

Ingen kontroll ved oppsigelser. Når noen slutter, må alle delte passord i teorien endres. I praksis? Det skjer sjelden. Tidligere ansatte beholder tilgang i måneder, noen ganger år.

Dette er ikke sikkerhet. Dette er håp om at ingenting går galt.

Hvorfor vi har valgt CyberArk

CyberArk er den ledende plattformen for Privileged Access Management. Etter å ha jobbet med ulike PAM-løsninger over mange år, har vi landet på CyberArk fordi den løser de faktiske problemene, ikke bare de teoretiske.

Ett sted for alle privilegerte hemmeligheter

I stedet for at administratorpassord ligger spredt i Word-dokumenter, Excel-ark, passordverktøy, og folks hoder, samles alt i CyberArk sin sikre vault. Dette er ikke bare et passordverktøy, det er en hvelvet bank for all privilegert tilgang.

Når et administratorpassord lagres i CyberArk:

  • Det krypteres med banknivå-kryptering

  • Det kan bare hentes ut av autoriserte personer

  • Hver gang noen henter det, logges det hvem, når, og hvorfor

  • Passordet kan roteres automatisk uten at noen trenger å vite hva det faktisk er

Automatisk passordrotasjon

CyberArk kan automatisk endre administratorpassord etter en definert tidsplan (hver måned, hver uke, etter hver bruk). Dette skjer helt automatisk, uten manuelt arbeid.

Når en IT-medarbeider trenger administratortilgang:

  1. De ber CyberArk om tilgang til en spesifikk konto

  2. CyberArk sjekker om de har rettigheter (basert på rolle, godkjenninger, tidspunkt)

  3. Hvis godkjent, gir CyberArk midlertidig tilgang (f.eks. i to timer)

  4. Etter to timer trekkes tilgangen tilbake automatisk

  5. CyberArk roterer passordet

  6. Neste person som trenger tilgang får et nytt passord

Brukeren trenger ikke engang å vite hva passordet er. De får bare tilgang.

Full logging og opptak av sesjoner

Det mest kraftfulle med CyberArk er ikke bare at det kontrollerer tilgang, men at det logger og kan spille inn alt som gjøres med privilegert tilgang.

Når en administrator logger inn via CyberArk:

  • Hele sesjonen kan spilles inn (hvert tastetrykk, hver kommando, hvert skjermbilde)

  • Hvis noe går galt, kan du se nøyaktig hva som ble gjort

  • Hvis det er mistanke om misbruk, har du bevis

  • For compliance og audit har du full dokumentasjon

Dette er ikke bare sikkerhet, det er ansvarliggjøring.

Service-kontoer og applikasjoner

CyberArk løser også det vanskelige problemet med service-kontoer, kontoer som brukes av applikasjoner og automatiserte skript.

I stedet for å hardkode passord i konfigurasjonfiler:

  • Applikasjonen ber CyberArk om passordet når den trenger det

  • CyberArk gir passordet dynamisk

  • Passordet kan roteres uten at applikasjonen slutter å fungere

  • Ingen mennesker trenger å vite passordet

Dette betyr at service-kontoer endelig kan ha samme sikkerhetsnivå som brukerkontoer.

Granulær tilgangskontroll

CyberArk lar deg definere hvem som kan få tilgang til hva, når, og under hvilke betingelser:

  • Junior IT-medarbeider kan få tilgang til testservere, men ikke produksjonsservere

  • Produksjonstilgang krever godkjenning fra leder

  • Kritiske systemer krever godkjenning fra to personer (four-eyes principle)

  • Tilgang kun tillatt i arbeidstid (ingen nattlogging uten god grunn)

  • Tilgang fra utlandet kan blokkeres eller kreve ekstra godkjenning

Dette gir deg faktisk kontroll, ikke bare håp.

Integrering med resten av sikkerhetsarkitekturen

CyberArk snakker med resten av dine sikkerhetsverktøy:

  • Integrasjon med Azure AD / Entra ID for identitetshåndtering

  • Kobling til SIEM-systemer for sikkerhetsovervåkning

  • Varsler til CrowdStrike hvis privilegerte kontoer misbrukes

  • Dokumentasjon i Vanta for compliance

Dette gir helhetlig sikkerhet, ikke isolerte løsninger.

Slik jobber vi med kunder

Når vi implementerer CyberArk for en kunde, forstår vi at det ikke er en rask fix. Privileged Access Management krever både teknologi og kulturendring.

Fase 1: Kartlegging (Uke 1-2)

Vi begynner med å kartlegge alle privilegerte kontoer i organisasjonen:

  • Hvor mange administratorkontoer finnes?

  • Hvem har tilgang til dem?

  • Hvor er passordene lagret i dag?

  • Hvor mange service-kontoer finnes?

  • Hvilke kritiske systemer må beskyttes først?

Dette gir oss en prioritert liste. Vi starter alltid med de mest kritiske systemene først.

Fase 2: Implementering av vault (Uke 2-4)

Vi setter opp CyberArk sin vault og begynner å migrere de mest kritiske kontoene:

  • Administratorkontoer for domene-kontrollere

  • Database-administratorkontoer

  • Skyinfrastruktur-administratorer (Azure, AWS)

  • Kritiske service-kontoer

Passordene legges inn i vaulten, roteres umiddelbart, og gamle lagringssteder (Word-dokumenter, Excel-ark) slettes.

Fase 3: Tilgangspolicies og prosesser (Uke 4-8)

Vi definerer hvem som skal ha tilgang til hva:

  • Roller og ansvar dokumenteres

  • Godkjenningsflyter settes opp

  • Logging og overvåkning konfigureres

  • Prosedyrer for nødtilgang etableres

Dette er ikke bare teknisk arbeid, det er organisatorisk arbeid. Hvem skal kunne godkjenne produksjonstilgang? Hvor lang tid skal midlertidig tilgang vare? Hva skal logges?

Fase 4: Rulling ut til resten av organisasjonen (Måned 2-3)

Etter at de mest kritiske systemene er sikret, ruller vi ut CyberArk til resten:

  • Mindre kritiske administratorkontoer

  • Utviklermiljøer

  • Testmiljøer

  • Alle service-kontoer

Fase 5: Trening og kulturendring (Løpende)

Det viktigste arbeidet er å endre hvordan folk tenker om privilegert tilgang:

  • Fra "Jeg har alltid administratortilgang" til "Jeg ber om tilgang når jeg trenger det"

  • Fra "Jeg deler passordet med kollegaer" til "Hver person har sin egen identitet og logger"

  • Fra "Service-kontopassord kan aldri endres" til "CyberArk roterer dem automatisk"

Dette krever trening, kommunikasjon, og tålmodighet. Men det er verdt det.

NIS2 og regulatoriske krav

Nye NIS2-krav har spesifikke forventninger til håndtering av privilegerte kontoer. Virksomheter må kunne dokumentere:

  • Hvem har privilegert tilgang til kritiske systemer

  • Hvordan privilegert tilgang kontrolleres og overvåkes

  • At privilegert tilgang trekkes tilbake når den ikke lenger er nødvendig

  • At all bruk av privilegert tilgang logges

Uten et PAM-system som CyberArk er det nesten umulig å oppfylle disse kravene på en troverdig måte.

Hva dette betyr for deg som leder

Privileged Access Management handler ikke om å gjøre livet vanskelig for IT-avdelingen. Det handler om å beskytte det mest verdifulle dere har: tilgang til alle deres data og systemer.

Spørsmålene du bør stille internt:

  • Hvor mange personer kjenner administratorpassordene til våre kritiske systemer?

  • Når endret vi sist disse passordene?

  • Hvis en IT-medarbeider slutter i dag, hvor mange passord må vi endre?

  • Kan vi faktisk se hvem som har brukt administratorkontoer og hva de har gjort?

  • Hva skjer hvis en service-konto kompromitteres?

  • Kan vi dokumentere overfor revisor eller regulatorer hvordan vi håndterer privilegert tilgang?

Vi i FM CyberSecurity hjelper norske virksomheter med å implementere CyberArk for Privileged Access Management. Vi bygger ikke bare teknologien, vi bygger prosessene og kulturen som gjør at privilegert tilgang faktisk kontrolleres, ikke bare håpes på.

For i 2025 er privilegerte kontoer det angripere leter etter først. Og hvis du ikke beskytter dem bedre enn et Word-dokument på en delt disk, er det bare et spørsmål om tid.

Administratorkontoer og andre privilegerte tilganger er angriperes foretrukne mål. Vi forklarer hvorfor tradisjonell håndtering av disse kontoene ikke fungerer, og hvorfor vi har valgt CyberArk for Privileged Access Management.

Administratorkontoer og andre privilegerte tilganger er angriperes foretrukne mål. Vi forklarer hvorfor tradisjonell håndtering av disse kontoene ikke fungerer, og hvorfor vi har valgt CyberArk for Privileged Access Management.

Previous

Next Article

More Articles

Written by

Fredrik Standahl

21. nov. 2025

Når kunstig intelligens hacker nettsiden din før de kriminelle gjør det

Tradisjonell penetrasjonstesting tar uker og koster en formue. Aikido Attack bruker autonome AI-agenter til å kjøre pentest på timer i stedet for uker, med fulle audit-godkjente rapporter klare samme dag. Vi forklarer hvordan denne teknologien endrer penetrasjonstesting for alltid.

Written by

Fredrik Standahl

21. nov. 2025

Når kunstig intelligens hacker nettsiden din før de kriminelle gjør det

Tradisjonell penetrasjonstesting tar uker og koster en formue. Aikido Attack bruker autonome AI-agenter til å kjøre pentest på timer i stedet for uker, med fulle audit-godkjente rapporter klare samme dag. Vi forklarer hvordan denne teknologien endrer penetrasjonstesting for alltid.

Written by

Fredrik Standahl

21. nov. 2025

Når kunstig intelligens hacker nettsiden din før de kriminelle gjør det

Tradisjonell penetrasjonstesting tar uker og koster en formue. Aikido Attack bruker autonome AI-agenter til å kjøre pentest på timer i stedet for uker, med fulle audit-godkjente rapporter klare samme dag. Vi forklarer hvordan denne teknologien endrer penetrasjonstesting for alltid.

Written by

Fredrik Standahl

21. nov. 2025

Hvordan venture-backed startups sikrer sin investering og imponerer neste investor

Du har fått finansiering fra en venture capital-investor. Nå må du bevise at pengene er i trygge hender. Vi forklarer hvordan norske VC-backed startups bruker Aikido, CrowdStrike, og Vanta for å beskytte investeringen og bygge tillit til neste investeringsrunde.

Written by

Fredrik Standahl

21. nov. 2025

Hvordan venture-backed startups sikrer sin investering og imponerer neste investor

Du har fått finansiering fra en venture capital-investor. Nå må du bevise at pengene er i trygge hender. Vi forklarer hvordan norske VC-backed startups bruker Aikido, CrowdStrike, og Vanta for å beskytte investeringen og bygge tillit til neste investeringsrunde.

Written by

Fredrik Standahl

21. nov. 2025

Hvordan venture-backed startups sikrer sin investering og imponerer neste investor

Du har fått finansiering fra en venture capital-investor. Nå må du bevise at pengene er i trygge hender. Vi forklarer hvordan norske VC-backed startups bruker Aikido, CrowdStrike, og Vanta for å beskytte investeringen og bygge tillit til neste investeringsrunde.

Written by

Fredrik Standahl

21. nov. 2025

Hvordan vi hjelper startups og scaleups bygge sikkerhet fra dag én

Sikkerhet trenger ikke være dyrt eller komplisert for startups. Vi forklarer vår trefasede tilnærming som vokser med bedriften din: Start gratis med Aikido, legg til CrowdStrike og Vanta når dere vokser, og bli ISO 27001-sertifisert når kundene krever det.

Written by

Fredrik Standahl

21. nov. 2025

Hvordan vi hjelper startups og scaleups bygge sikkerhet fra dag én

Sikkerhet trenger ikke være dyrt eller komplisert for startups. Vi forklarer vår trefasede tilnærming som vokser med bedriften din: Start gratis med Aikido, legg til CrowdStrike og Vanta når dere vokser, og bli ISO 27001-sertifisert når kundene krever det.

Written by

Fredrik Standahl

21. nov. 2025

Hvordan vi hjelper startups og scaleups bygge sikkerhet fra dag én

Sikkerhet trenger ikke være dyrt eller komplisert for startups. Vi forklarer vår trefasede tilnærming som vokser med bedriften din: Start gratis med Aikido, legg til CrowdStrike og Vanta når dere vokser, og bli ISO 27001-sertifisert når kundene krever det.

Written by

Fredrik Standahl

20. nov. 2025

Hvorfor privilegerte kontoer er den største sikkerhetstrusselen du ikke tenker på

Administratorkontoer og andre privilegerte tilganger er angriperes foretrukne mål. Vi forklarer hvorfor tradisjonell håndtering av disse kontoene ikke fungerer, og hvorfor vi har valgt CyberArk for Privileged Access Management.

Written by

Fredrik Standahl

20. nov. 2025

Hvorfor privilegerte kontoer er den største sikkerhetstrusselen du ikke tenker på

Administratorkontoer og andre privilegerte tilganger er angriperes foretrukne mål. Vi forklarer hvorfor tradisjonell håndtering av disse kontoene ikke fungerer, og hvorfor vi har valgt CyberArk for Privileged Access Management.

Written by

Fredrik Standahl

20. nov. 2025

Hvorfor privilegerte kontoer er den største sikkerhetstrusselen du ikke tenker på

Administratorkontoer og andre privilegerte tilganger er angriperes foretrukne mål. Vi forklarer hvorfor tradisjonell håndtering av disse kontoene ikke fungerer, og hvorfor vi har valgt CyberArk for Privileged Access Management.