Mänsklig godkännandekontroll

Assisted Login

Omvandla alltid-på-anslutningar till åtkomst på begäran

Assisted Login är ett human-in-the-loop (HITL)-system för åtkomstgodkännande som transformerar hur organisationer hanterar privilegierad och tredjepartssåtkomst. Istället för alltid påslagna VPN-anslutningar eller stående åtkomst för leverantörer, kräver Assisted Login godkännande i realtid från en utsedd person innan åtkomst beviljas. Tänk på det som en digital nyckelbrytare — åtkomst sker endast när någon uttryckligen vrider om nyckeln.

🔑

Konceptet Digital nyckelväxling

Precis som fysiska nyckelbrytare i kontrollrum kräver att en människa fysiskt vrider om en nyckel innan kritiska system aktiveras, kräver Assisted Login att en människa uttryckligen godkänner innan nätverksåtkomst beviljas. Denna mänskliga verifiering i loopen eliminerar risken för automatiserade attacker som utnyttjar stående åtkomst.

Så fungerar åtkomstgodkännande

👤
1. Åtkomstbegäran Användare eller leverantör försöker logga in
📱
2. Mänskligt godkännande Utsedd godkännare meddelas omedelbart
3. Åtkomst beviljas Ett tryck för godkännande, fullständig granskningslogg

Åtkomstkontroll för tredjepartsleverantörer

Problemet med alltid-på-åtkomst för leverantörer

Tredjepartsleverantörer, MSP:er och entreprenörer får ofta permanenta VPN-inloggningsuppgifter för underhåll och support. Dessa alltid-på-anslutningar skapar en konstant attackyta — om leverantörens inloggningsuppgifter komprometteras genom nätfiske, credential stuffing eller leveranskedjeattacker, får angripare samma ihållande åtkomst som leverantören hade. Assisted Login tar bort behovet av ständiga privilegierade åtkomsträttigheter.

Ingen ständig åtkomst Leverantörers VPN-konton existerar men har ingen åtkomst förrän din personal uttryckligen godkänner en session. Noll attackyta när den inte används.
Endast på begäran Leverantörer ansluter endast när det behövs, endast när det är godkänt. Åtkomst är tidsbegränsad och knuten till specifika underhållsfönster.
Fullständig ansvarsskyldighet Varje leverantörssession har en namngiven intern godkännare. Ditt team äger beslutsloggen. Fullständig granskningslogg för regelefterlevnad.

Användningsområden för mänsklig godkännandekontroll

🔧

MSP- och leverantörsåtkomst

Externa IT-leverantörer, mjukvaruleverantörer som utför underhåll eller molntjänstintegrationer. Ditt driftteam godkänner varje session. Inga fler VPN-tunnlar för leverantörer dygnet runt.

🏭

Delade arbetsstationer

Fabriksgolv, laboratorier eller kiosker där flera anställda delar datorer. Arbetsledare godkänner åtkomst för teammedlemmar utan att dela lösenord.

🎧

Helpdesk och IT-support

Supportpersonal behöver tillfällig åtkomst för att lösa ärenden. Den tilldelade teknikern begär åtkomst, ärendeägaren eller chefen godkänner — med fullständig granskningslogg för ändringshantering.

🚨

Break-glass-åtkomst

Nödsituationer där normal autentisering inte är möjlig. Förhandsgodkända godkännare kan bevilja omedelbar åtkomst samtidigt som säkerhetskontroller och regelefterlevnad upprätthålls.

🏥

Vård och skiftarbete

Sjuksköterskor och läkare som kommer åt patientsystem. Avdelningschefer eller ansvariga läkare godkänner åtkomst för sitt team under skiftet. HIPAA-kompatibla åtkomstkontroller.

🏛️

Kritisk infrastruktur

OT/ICS-miljöer som kräver dubbel auktorisering. Kontrollrumsoperatörer måste godkänna fjärråtkomst för underhåll. Den digitala motsvarigheten till en fysisk nyckelväxling.

Varför mänsklig godkännandekontroll är viktig

Problemet med ständig åtkomst

Traditionella VPN- och fjärråtkomstlösningar erbjuder alltid-på-anslutningar. När inloggningsuppgifter har tilldelats är anslutningen tillgänglig dygnet runt — oavsett om den behövs eller inte. Detta skapar en permanent attackyta som hotaktörer kan utnyttja genom stulna inloggningsuppgifter, nätfiske eller kompromettering av leveranskedjan.

Lösningen med HITL

Mänsklig godkännandekontroll säkerställer att en verklig person medvetet beslutar att bevilja åtkomst när den behövs. Även om inloggningsuppgifter stjäls kan angripare inte få åtkomst utan att även kompromettera godkännaren. Detta lägger till ett lager som automatiserade attacker inte kan kringgå.

Byggt på din katalogtjänst

Active Directory-grupper

Definiera vem som kan begära och vem som kan godkänna baserat på befintligt AD-gruppmedlemskap. Ingen ny katalogschema krävs.

Azure AD / Entra ID

Fungerar med hybrid- och molnförstamiljöer. Validera godkännares medlemskap mot Entra ID-grupper för moderna identitetsarkitekturer.

Dynamisk matchning

Matcha begärande användare med godkännare efter gruppprefix eller nyckelordsmönster. Team-Alpha-Användare godkänns automatiskt av Team-Alpha-Godkännare.

Godkännandemetoder

📱
Mideye+ Push Omedelbar push-notifikation till godkännarens telefon
🔗
Magisk länk som reservalternativ SMS-länk om godkännaren inte har aktiverat Mideye+

Säkerhet och regelefterlevnad

  • Fullständig granskningslogg — Varje begäran och godkännande loggas med tidsstämplar, användar-ID:n, godkännar-ID och IP-adresser. Stödjer SOC 2-, ISO 27001- och regulatoriska revisionskrav.
  • Realtidsvalidering — Godkännarens identitet verifieras mot katalogen vid godkännandetillfället. Återkallade konton kan inte godkänna.
  • Sessionstimeout — Konfigurerbar giltighetstid för godkännande per profil. Åtkomsten upphör automatiskt.
  • Utmaningsfrågor — Valfria ytterligare uppmaningar före godkännande (ärende-ID, orsakskod, underhållsfönster-ID)
  • Inga delade hemligheter — Varje godkännande är en unik, icke-återspelbar autentiseringshändelse. Inga nödlösenord att hantera eller rotera.

Assisted Login vs. traditionell PAM

Traditionella Privileged Access Management (PAM)-lösningar fokuserar på att hantera och rotera autentiseringsuppgifter. Assisted Login kompletterar PAM genom att lägga till mänsklig godkännande vid tillfället för åtkomst — oavsett om autentiseringsuppgifterna hanteras i ett valv. Detta ger djupförsvar: även om PAM-uppgifter komprometteras, kvarstår säkerhetskontrollen med mänsklig godkännare.

Stöd för regelefterlevnad

Assisted Login implementerar "fyrögonprincipen" (tvåpersonersregeln) som krävs av flera regelverk för regelefterlevnad.

🔒 ISO/IEC 27001:2022 — Bilaga A 5.3

Krav: Segregering av arbetsuppgifter för att förhindra att en enskild person kan initiera, godkänna, utföra och dölja en handling. Syftet är att minska risken för bedrägeri, fel och kringgående av informationssäkerhetskontroller. Särskilt viktigt för:

  • Initiering, godkännande och genomförande av förändringar.
  • Begäran, godkännande och implementering av åtkomsträttigheter.
  • Utveckling, implementering och granskning av kod.
  • Administration av produktionssystem och applikationer.

Så här hanterar Mideye detta:

Assisted Login framtvingar segregering genom att kräva två olika användare (begärare och godkännare) för privilegierad åtkomst. Systemet förhindrar att samma användare fyller båda rollerna och säkerställer fullständig revisionsspårning av vem som begärde, vem som godkände, när och i vilket syfte.

ISO 27001:2022 Bilaga A 5.3 Guide →

🏦 DORA RTS Artikel 21 — Privilegerad åtkomsthantering

Krav:

  • Segregering av arbetsuppgifter för att förhindra obefogad åtkomst till kritisk data och undvika kombinationer av åtkomsträttigheter som kan kringgå kontroller.
  • Tilldelning av privilegierad åtkomst enbart på behov-till-användning-basis eller ad hoc.
  • Tydlig ansvarsfördelning för att undvika intressekonflikter, i enlighet med tre-försvarslinjers-modellen eller annan intern riskhanteringsmodell.
  • Segmentering och separation av ICT-system och nätverk baserat på kritikalitet och riskprofil.
  • Spårbarhet och ansvarighet genom begränsad användning av generiska konton och fullständig loggning av åtgärder.

Så här hanterar Mideye detta:

  • Behov-till-användning-basis: Tidsbegränsade åtkomstfönster tvingar fram tillfällig åtkomst, i enlighet med need-to-use och least privilege-principerna.
  • Segregering: Godkännare av åtkomstbegäran måste alltid vara en annan person än begäranställaren.
  • Övervakning: Fullständig revisionsspårning av vem som begärde, vem som godkände, när, och i vilket syfte åtkomsten beviljades.
  • Automatiserad privilegierad åtkomsthantering där möjligt, för att säkerställa snabb återkallelse och uppdatering av rättigheter.
  • Fysisk åtkomstkontroll med loggning och identifiering av auktoriserad personal, anpassat efter kritikalitet och riskprofil.

DORA RTS om IKT-riskhantering →

🇪🇺 NIS2-direktivet — Åtkomstkontrollspolicyer

Krav (artikel 21, punkt 2(i)):

  • Åtkomstkontrollspolicyer och tillgångshantering.
  • Hantera risker för obehörig åtkomst och säkerställa spårbarhet för åtgärder utförda av användare.
  • Implementera principen om minst privilegierad åtkomst.
  • Hantering av intressekonflikter vid behov.

Så här hanterar Mideye detta:

Policybaserade godkännandearbetsflöden definierar vilka godkännare som kan auktorisera åtkomst till vilka resurser, med konfigurerbara tidsbegränsningar och flernivågodkännanden. Systemet säkerställer att åtkomst endas beviljas på behovsbaserad grund och att alla åtgärder är fullt spårbara.

NIS2-direktivet på EUR-Lex →

Obs: Mideye tillhandahåller de tekniska kontrollerna för segregering av arbetsuppgifter och hantering av privilegierad åtkomst. För att uppnå full ISO 27001-certifiering, NIS2- eller DORA-efterlevnad krävs omfattande organisatoriska program. Se vår regelefterlevnadsnav för fullständiga mappningar av ramverk eller kontakta ditt compliance-team.

Implementera mänsklig åtkomstkontroll i loopen

Assisted Login ingår i Mideye Server 6.x. Kontakta oss för att diskutera dina krav på åtkomstgodkännande, leverantörshantering eller säkerhet i leveranskedjan.

Kontakta sälj