Bra behörighetssystem kan vara en utmaning. Enklast är om man inte behöver någon åtkomstkontroll alls eller att den begränsas till en viss grupp där alla har samma behörighet. Ofta är det mer komplicerat. Åtkomst kan behöva styras på både rad- och kolumnnivå, och i vissa fall med mycket komplexa regelverk.
Vanligast är kanske kontroll på radnivå, man får till exempel se den egna avdelningens siffror, men inte andra avdelningar. I andra fall kan olika uppgifter om ett objekt ha olika åtkomstregler. Det är vanligt för uppgifter om anställda. Namn, epostsadress och närmaste chef är ofta mindre känsliga uppgifter. Lön och sjukfrånvaro är mer känsligt. I många fall kan det vara fördelaktigt att hålla uppgifter av olika känslighet i separata tabeller och i vissa fall i separata databaser.
Mer komplicerade regelverk kan finnas. Man kan ha access till uppgifter om den egna avdelningens projekt, men också projekt hos andra avdelningar där man själv deltagit. Ju mer komplexa regelverken är desto svårare är de att utforma och underhålla.
Aggregerad information
Regler för aggregerad information och detaljer kan också skilja sig åt. Ekonomisk information på avdelningsnivå är ofta mindre känslig, men det ackumulerade koncernresultatet kan vara omgärdat av stränga lagkrav, så att inte kurspåverkande information kan läcka ut.
I andra fall kan det vara tvärtom. Medellön för en större grupp kan vara mindre känslig, men enskilda personers löner är strikt hemliga. Här finns fallgropar. Om jag ingår i en grupp med två personer och jag känner till medellönen, kan jag lätt räkna ut vad den andra personen tjänar. Finns informationen aggregerad på olika håll kan man ibland vaska fram informationen på detaljnivå, även i stora grupper. Man kan använda metoder som liknar sättet att lösa en sudoku.
Anonymisering
Anonymisering används ibland för att kunna presentera data utan att röja känsliga personuppgifter. Men anonymisering är svårt, ibland nära omöjligt, särskilt om man har stora datamängd. En teleoperatör lämnade ut anonymiserade positionsdata från mobiltelefoner. Men metoden var inte säker. En person som dagligen färdades mellan sin bostad och arbetsplats gick lätt att identifiera. Besökte personen regelbundet en hälsoklinik, kunde man misstänka sjukdom.
Andra aspekter
Inom polis, banker och sjukvård får man inte söka på information som man inte har legitima skäl att kolla upp. Men det är ofta tekniskt svårt att på förhand avgöra vad som är legitimt, vilka patienter man kommer behandla eller vilka personer som kan vara intressanta för en brottsutredning. Ofta får man förlita sig på loggning av sökningar och i efterhand följa upp vid misstanke om överträdelse.
Det är vanligt att åtkomstkontroll läggs i applikationen. Men tillkommer nya verktyg för att komma åt informationen, har de kanske inte samma kontroll. Det kan leda till att man kan få olika åtkomst till informationen beroende vilket verktyg som används. Det är därför önskvärt att placera åtkomstkontrollen på en så låg nivå som möjligt, helst i databasen, men det kan vara tekniskt svårt, databasen har kanske inte information om vem användaren är.
Bra behörighetssystem är svåra att skapa. Det är dessutom inte ovanligt att de är för restriktiva, så att användarna inte får tillgång till den information de behöver, även om de har legitima skäl att komma åt den. Ofta beror det på att man inte har separerat känslig och mindre känslig information tillräckligt. I andra fall kan användarna komma åt viss information, men behörighetssystemet är så krångligt att använda, att nyttjarna inte orkar bemöda sig att ta sig igenom alla kontroller för att få access till data.
Genom åren har jag och mina kollegor skapat många olika behörighetssystem. Kraven kan variera stort, men som alltid finns fördelar med att välja den enklaste lösningen som löser uppgiften tillräckligt väl.
Är du intresserad av att veta mer om Agero, lämna dina kontaktuppgifter så hör vi av oss!
