Tidligere medarbejdere kan have adgang til virksomhedens systemer

Mange virksomheder undervurderer, hvor alvorlige konsekvenser det har, hvis tidligere medarbejdere fortsat har adgang til virksomhedens systemer, cloud-tjenester og eksterne platforme. Små svagheder i den daglige adgangsstyring vokser hurtigt til store sikkerhedsrisici, hvor gamle logins kan bruges til at stjæle data, skade omdømmet eller udnyttes i hackerangreb.

Key takeaways

• Manglende systematisk offboarding betyder ofte, at tidligere medarbejdere stadig har aktiv adgang til følsomme systemer og data. Vi anbefaler faste rutiner, hvor HR og IT koordinerer, så alle konti lukkes samme dag, som en medarbejder stopper.
• Oversete adgangspunkter som cloud-tjenester, CRM-systemer og sociale medieprofiler udgør en betydelig sikkerhedsbrist. Vi hjælper med at kortlægge alle eksterne systemer, så ingen skygge-adgange står åbne i det skjulte.
• Delte og genbrugte adgangskoder, der lever videre efter fratrædelse, øger risikoen for misbrug og datalæk. Vi anbefaler unikke logins pr. medarbejder og gennemfører løbende skift af adgangskoder, så gamle kombinationer hurtigt mister værdi for angribere.
• Automatisering og faste procedurer for adgangshåndtering ved fratrædelse reducerer antallet af glemte brugerkonti markant. Vi sætter processer op, der knytter offboarding til jeres HR-system, så de rigtige adgange lukker automatisk og konsekvent.
• En central password manager giver overblik og sikrer, at adgang konsekvent tilbagekaldes, så tidligere medarbejdere ikke udgør en skjult risiko. Vi samler alle login-oplysninger ét sted, så ledelsen kan se, hvem der har adgang til hvad, og IT kan lukke adgange med få klik.

Hvorfor tidligere medarbejdere stadig kan tilgå virksomhedens systemer

Virksomheder overser ofte, hvor stort et sikkerhedshul der opstår, når gamle brugeradgange ikke bliver lukket ned. Når en medarbejder stopper, bør deres adgang til virksomhedens digitale værktøjer fjernes øjeblikkeligt, men sådan går det sjældent. Mange organisationer har ikke en fast procedure eller glemmer, hvilke platforme medarbejderen reelt har adgang til. Det efterlader systemerne åbne for tidligere medarbejdere.

Almindelige fejl i adgangshåndtering

Der opstår ofte oversete risici, fordi virksomheder ikke har styr på, hvor mange platforme der bruges i dagligdagen eller hvilke brugere der stadig er aktive. En typisk fejl er netop, at gamle logins til cloud-tjenester, mailsystemer, intranet eller specialsystemer ikke bliver slettet. Det kan give tidligere ansatte mulighed for at:

• Tilgå følsomme kundedata eller interne oplysninger
• Hente eller slette vigtig information fra mails og dokumentarkiver
• Skabe forstyrrelser eller skade virksomhedens omdømme
• Give andre uvedkommende adgang ved at dele brugernavn og kode

Undersøgelser viser, at op mod 25% af tidligere ansatte stadig har adgang til mindst ét følsomt system efter fratrædelse. Det betyder, at uvedkommende potentielt kan bryde virksomhedens sikkerhed uden, at man opdager det.

Sådan sikrer vi dine systemer bedre

Du bør tænke adgangsstyring ind som en del af den daglige drift, hvor én ansvarlig holder styr på brugere, roller og adgangsniveau. Vi anbefaler at:

• Føre en detaljeret oversigt over alle medarbejderes adgang til systemer
• Gennemgå og opdatere listen ved hver fratrædelse
• Bruge multifaktor-godkendelser, så selv glemte logins ikke kan udnyttes
• Implementere automatiserede processer, der fjerner adgang på fratrædelsesdagen

Regelmæssig intern kontrol afslører hurtigt, hvis gamle logins stadig er aktive. Hvis du er i tvivl om, hvor meget du selv kan gøre, kan du læse mere om IT sikkerhed i virksomheder og få konkrete råd til, hvordan du får bedre styr på processerne. Du kan også hente inspiration via vores webinar med 6 råd, der gør din virksomhed sværere at hacke. Dermed undgår du, at tidligere ansatte får adgang til det, de ikke længere skal have adgang til.

Typiske fejl i offboarding IT sikkerhed

Manglende fokus på strukturerede processer omkring offboarding skaber svagheder, virksomheder overser alt for ofte i en travl hverdag. Når medarbejdere stopper, har vi set, at gamle login, e-mailkonti eller adgang til følsomme programmer bliver hængende alt for længe. Det sker især, når offboarding er baseret på manuelle rutiner, der hurtigt overses eller springes over.

Manglende systematik og menneskelige fejl kan føre til kritiske sikkerhedsbrister

Her er nogle af de typiske oversete faldgruber, vi møder, når IT offboarding ikke håndteres konsekvent:

• Glemte brugerkonti i centrale systemer, så tidligere medarbejdere stadig kan logge ind og tilgå fortrolige data
• Ikke sløjfede e-mailadgange, hvilket giver mulighed for at modtage eller sende mails i virksomhedens navn
• Delte eller genbrugte adgangsoplysninger, der lever videre, selv efter medarbejderen er stoppet
• Manglende kontrol med tildelte adgangsrettigheder, der ikke bliver revideret løbende
• Ingen opfølgning på adgang til cloud-tjenester, eksterne apps og backup-systemer

Vi ved, at nogle tænker, det kan klares med et hurtigt skema eller en e-mail til IT, men den slags løsninger efterlader ofte huller. En tidligere kollega med fortsat adgang kan misbruge virksomhedens data, eller i værste fald slette vigtige oplysninger. Vores erfaringer stemmer overens med flere rapporteringer om datatab forårsaget af eks-medarbejdere, fordi mangelfuld afmelding har givet fri adgang til systemerne.

For at forebygge fejlene anbefaler vi at automatisere så mange af processerne som muligt, dokumentere alle trin og sikre, at der følges op på, om adgangene faktisk fjernes. Det er ikke kun IT-afdelingens ansvar – HR, ledelse og teamledere bør spille med, så vi sikrer et samlet overblik.

Oversete adgangspunkter og hvor virksomheden oftest svigter

De typiske svigt: Sky-tjenester og manglende adgangsstyring

Det største hul opstår, når tidligere medarbejdere fortsat har adgang til virksomhedens skybaserede tjenester. Systemer som Google Workspace, Microsoft 365 og eksterne apps kobles ofte til via personlige login. Her er det let at overse adgange under offboarding. Især manglende central adgangsstyring gør, at listen over aktive brugere ikke bliver opdateret. Vi ser tit, at små softwareløsninger eller værktøjer til markedsføring glider under radaren. Dermed har tidligere ansatte stadig nøglen til data, hvis virksomheden ikke systematisk lukker for adgange. Det kan give både datatab og misbrug, hvilket mange overser i dagligdagen.

Vi oplever desuden, at delte konti på sociale platforme eller CRM-løsninger aldrig skifter kodeord. Mange danskere bruger stadig simple eller genbrugte adgangskoder (kilde: Danmarks Statistik), og de bliver sjældent ændret, selv når en medarbejder fratræder. Det gør det uhyggeligt nemt for tidligere kolleger at logge ind, bevidst eller ubevidst, længe efter deres tid i virksomheden er slut. De mest glemte adgangspunkter er:

• Virksomhedens sociale medier, hvor en tidligere medarbejder stadig har admin-adgang
• CRM-systemer, hvor brugeradgangen ofte bliver glemt at slukke
• Tredjepartsplatforme såsom reklamesystemer, fil-deling og projektstyring

Selv hvis der er styr på de centrale it-systemer, halter det ofte med de eksterne tjenester, der ikke automatisk er koblet på virksomhedens adgangsstyring. Flere tips kan ses i vores sikkerhedsanbefalinger.

Praktiske råd for at undgå de skjulte adgange

Her får du konkrete råd der sikrer, at tidligere medarbejdere ikke får utilsigtet adgang til vigtige data:

• Gennemgå løbende alle tilmeldte brugere i eksterne apps og fjern straks dem, der ikke længere er ansat.
• Afskaf delte konti, og sørg for entydige login-oplysninger for alle medarbejdere.
• Indfør obligatorisk nulstilling af adgangskoder i det sekund nogen fratræder.
• Brug helst multifaktor-godkendelse på alle cloud-tjenester.
• Opret en checkliste til offboarding, der inkluderer sociale medier, CRM, cloud og andre tredjepartsplatforme.
• Lav løbende adgangsrevision i samarbejde mellem HR og IT, så ingen overses.
• Investér i central adgangsstyring for alle systemer, så kontrol bliver automatiseret og du har et samlet overblik.

Det kræver kun én overset adgang for at åbne døren for både hackerangreb og datalæk. Vi anbefaler, at du som leder eller it-ansvarlig tilmelder dig vores webinar om sikkerhed for at få flere råd. Overvej også at få overblik via guides om adgangskoncer, hvis du oplever kaos med adgangskoder.

Vi ser det som en investering i virksomhedens sikkerhed, når de usynlige risici i hverdagen bliver håndteret proaktivt.

konkrete eksempler på sikkerhedsbrud og konsekvenser

Vi ser ofte i praksis, hvordan små oversete punkter i fratrædelsesprocessen kan få store konsekvenser for både økonomi og tillid. Mange virksomheder oplever desværre, at tidligere medarbejdere utilsigtet eller bevidst bibeholder adgang til systemer, filer eller e-mail accounts og det udgør en tikkende bombe.

Sikkerhedsbrud i hverdagen og de reelle konsekvenser

Eksempler fra danske virksomheder viser, at risikoen er langt fra teoretisk. I 2021 blev det offentligt kendt, at en dansk virksomhed oplevede datatyveri, fordi en tidligere ansat havde adgang efter sin fratrædelse og valgte at sælge fortrolige informationer videre. Her kunne både økonomiske tab, udgifter til ekstern hjælp og ikke mindst tab af kundernes tillid spores direkte til manglende IT-sikkerhedsprocedurer.

Erfaringen fra sådanne sager peger på, at brud på datasikkerheden især har disse konsekvenser:

• Økonomiske tab, når data lækkes eller misbruges – både direkte via tyveri og indirekte gennem tabt forretning.
• Tab af kundernes tillid. Kunderne stiller spørgsmålstegn ved, om deres oplysninger er sikre nok.
• Juraansvar: GDPR stiller krav om, at kun relevante personer må tilgå personfølsomme data. Hvis uvedkommende får adgang, kan virksomheden blive mødt med store bøder og påbud.

Vi anbefaler, at man ligger ud med en grundig gennemgang af sin offboardingproces. Hav altid en plan for, hvilke IT-adgange der skal lukkes, og udfør løbende kontrol for at sikre, at ingen gamle konti sidder tilbage og udgør en risiko. Du kan læse flere gode råd i vores artikel om it-sikkerhed og ansattes adgang.

Det er tankevækkende, hvor mange brud der kunne have været forhindret, hvis offboarding var tænkt som en fast del af virksomhedens sikkerhedsstrategi. Vi oplever, at en uformel tilgang tit betyder, at IT-afdelingen ikke får besked om fratrædelser i tide, eller at det glemmes, hvor mange systemer en ansat egentlig har adgang til. Det er typisk her, vi ser de dyreste og mest skadelige fejl.

For virksomhedsledere og administratorer, som gerne vil dykke længere ned i det praktiske, anbefaler vi at følge med i cases og webinarer, der sætter fokus på at gøre din organisation sværere at ramme.

En proaktiv tilgang er dermed ikke bare anbefalet – den er nødvendig. Driftsikkerhed afhænger af, om vi formår at gøre op med de mentale blinde vinkler forbundet med offboarding. Det starter nu med kritisk fokus på, hvilke spor medarbejderne efterlader, og hvor mange åbne vinduer, vi egentlig har ud mod verden.

Sådan sikrer du løbende adgangsstyring medarbejdere

Skab klare procedurer for offboarding

Vi anbefaler at udarbejde præcise procedurer, så ingen tidligere medarbejdere beholder adgang til virksomhedens systemer. Alt for ofte ser vi gamle brugerprofiler ligge og rode på tværs af digitale platforme. Det giver risiko for sikkerhedsbrist, fordi gamle konti kan blive udnyttet i hackerangreb. Læg vægt på, at en god offboarding-proces altid dækker:

• E-mailkonti og adgang til kalendersystemer
• Adgang til cloud-tjenester som Dropbox, OneDrive eller Google Drive
• Brugere på VPN eller eksterne netværk
• Administratorrettigheder på både centrale systemer og niche-applikationer
• Fysiske adgangskort og nøgler

Inkludér disse trin i en checkliste. Sørg for, at leder og it-ansvarlig samarbejder om gennemgangen. Husk at det også gælder adgang til interne drev, eksterne værktøjer og sociale medieprofiler, hvor virksomheden står som ansvarlig.

Automatisér og gennemgå adgang med faste intervaller

Manuelle processer overser let detaljer. Derfor anbefaler vi at indføre automatiserede workflow, hvor adgang automatisk deaktiveres eller slettes, når en medarbejder fratræder. Mange moderne systemer tillader integration med HR-systemet, så it-afdelingen straks får besked ved stop eller ændringer.

For at sikre, at ingen gamle konti bliver glemt, bør du desuden jævnligt gennemgå alle brugerlister. Planlæg kvartalsmæssige eller halvårlige audits og sammenlign dem med HR-data. Det er en god ide at:

• Kontrollere at ingen brugere har unødvendige rettigheder
• Dokumentere hvem der må tilgå hvilket system
• Fjerne eller deaktivere konti, der ikke har været brugt i mere end 30 eller 60 dage
• Sætte krav om stærke adgangskoder og to-faktor-godkendelse

Hvis du vil styrke proceduren yderligere, kan du lade en ekstern partner evaluere adgangsstyringen. Mange skaber deres egen tilgang men overser samtidig kritiske detaljer i hverdagens travlhed.

En effektiv adgangsstyring minimerer risikoen for, at tidligere medarbejdere, ved en fejl eller i ond tro, kan gøre skade eller skaffe sig adgang til følsomme data.

Hvorfor en password manager er nøglen til sikkerheden

Kontrol over adgang starter med at holde styr på, hvem der har adgang til de enkelte systemer. Vi ser ofte, at tidligere medarbejdere stadig har aktive brugerkonti eller adgangskoder, fordi der ikke er et samlet overblik. En centralt styret password manager løser dette problem effektivt.

Fordelene ved en central password manager

En password manager bør være kernen i jeres sikkerhedsstrategi, især hvor flere medarbejdere har adgang til følsomme systemer. Her er de vigtigste fordele, vi anbefaler at udnytte:

• I kan lynhurtigt tilbagekalde eller ændre adgangsoplysninger, hvis en medarbejder stopper — uden at jeres øvrige drift bliver forstyrret.
• Med manageren får I et letlæseligt overblik over, hvem der har adgang til hvilke systemer, så der ikke opstår glemte “spøgelsesbrugere”.
• Stærke, unikke adgangskoder genereres automatisk, hvilket minimerer risikoen for, at tidligere ansatte kan gætte sig til eller genbruge kodeord.
• Adgangsregler og opdateringer kan håndhæves på tværs af alle brugerprofiler med få klik, så gamle koder ikke lever videre efter en fratrædelse.

Ved at implementere en password manager skaber man en sikkerhedskultur, hvor kontrollen ikke smuldrer, selv når medarbejdere forlader virksomheden. Vi anbefaler også at supplere denne indsats med opdateret viden.

Password managers bliver ofte undervurderet som et kontrolværktøj, men de forhindrer, at glemte og delte adgangskoder bliver en sikkerhedsrisiko. Ofte bliver adgang kun fjernet fra e-mailen men ikke fra eksterne systemer, kalender-apps eller cloudtjenester, og det er præcis her, styringsværktøjer gør en afgørende forskel.

Vi ser desværre alt for mange sager, hvor sikkerhedsbrud starter med gamle, usikrede konti, som aldrig blev lukket ned. Er I i tvivl om jeres virksomhed er sårbar overfor interne trusler eller vil I læse videre om IT-sikkerhed på alle niveauer, kan det betale sig at tage temperaturen jævnligt. Uanset hvor avanceret jeres systemer er, skal sikkerhed altid begynde med at sikre de mest oplagte adgangsveje.