TL;DR: Når NSM peker på "vesentlige mangler i forebyggende sikkerhetsarbeid" hos norske virksomheter, er privilegerte kontoer en av de viktigste sårbarhetene. Denne guiden gir deg fire konkrete kriterier å evaluere når dere skal velge en løsning for håndtering av privilegerte sesjoner.
Hvorfor dette er kritisk akkurat nå
I 2026 er det ikke lenger nok å dele ut administratorrettigheter og håpe på det beste.
NSM er tydelige i Risiko 2026: De ser vesentlige mangler i sikkerhetsarbeidet hos norske virksomheter. Samtidig har digitalsikkerhetsloven trådt i kraft, som implementerer NIS2-direktivet i norsk rett. Kravene til hvem som har tilgang til hva, og hvordan det dokumenteres, har aldri vært strengere.
Privilegerte kontoer – domeneadmins, databasebrukere, eksterne konsulenters tilganger, servicekontoer – er angripernes høyest prioriterte mål. Får de tak i én slik konto, har de ofte tilgang til alt som betyr noe.
Det er her Privileged Session Management (PSM) kommer inn. Som en sentral del av en bredere PAM-strategi, gir riktig sesjonshåndtering deg kontroll på hvem som gjør hva, når, og med hvilke rettigheter – uten å bremse den daglige driften.
Spørsmålet er: hvordan velger man riktig verktøy?
Her er fire områder vi anbefaler norske virksomheter å vurdere nøye.
1. Granulær tilgangskontroll – og just-in-time
De fleste virksomheter har for mange stående privilegier. En konsulent som hjalp dere med en migrering i 2023 har kanskje fortsatt domeneadmin-rettigheter. En ansatt som byttet rolle har beholdt sine gamle tilganger "for sikkerhets skyld".
Dette er angrepsvektoren som rammer hardest når noen først kommer seg innenfor.
Et godt PSM-verktøy støtter just-in-time (JIT)-tilgang. Det betyr at en nettverkstekniker eller ekstern leverandør får akkurat de rettighetene de trenger, akkurat når de trenger dem – og bare så lenge oppgaven varer.
Konkret bør du evaluere:
- Kan rettigheter tildeles automatisk basert på en godkjenningsworkflow?
- Trekkes de tilbake automatisk når sesjonen avsluttes?
- Støttes rollebasert tilgangskontroll som kan konfigureres uten å skrive kode?
- Hvor enkelt er det å gi ekstern leverandør tilgang i 2 timer – og være sikker på at den faktisk forsvinner etterpå?
Hvis svaret er "vi må huske å fjerne det manuelt", har dere ikke en JIT-løsning. Dere har en huskeliste.
2. Sesjonsovervåking og opptak
Når noe går galt – enten på grunn av en feil, en intern hendelse eller et faktisk angrep – trenger dere å kunne svare på "hvem gjorde hva, når?" innen minutter.
Det er for sent å begynne å lete etter logger etter at hendelsen har skjedd.
Effektiv sesjonsovervåking gir dere både sanntidsinnsikt og full historikk. Tre funksjoner du bør se etter:
Videoopptak av skjermen. Visuell logging av hele sesjonen gir kontekst som rene tekstlogger ikke kan. Når en revisor eller hendelsesgranskning spør "hva så administratoren på da systemet krasjet?", har dere svaret.
Tastetrykk- og kommandologging. Spesielt viktig for Linux/Unix-miljøer hvor hele endringer skjer via terminal. Dere skal kunne søke i logger etter spesifikke kommandoer som ble kjørt – ikke bare se en video.
Aktiv avbrytning. Sikkerhetsteamet må kunne bryte en pågående sesjon umiddelbart hvis de oppdager mistenkelig aktivitet. Ikke "varsle og hape de svarer raskt" – men faktisk kunne stoppe sesjonen midt i en kommando.
For norske virksomheter under digitalsikkerhetsloven er logger over privilegerte sesjoner ikke valgfritt. De må være uforanderlige (immutable) og oppbevares i tilstrekkelig lang tid – minst 12 måneder er en god tommelfingerregel for sikkerhetslogger.
3. Sømløs integrasjon med eksisterende infrastruktur
Et PSM-verktøy som lever i isolasjon skaper mer arbeid enn det løser.
Vi har sett virksomheter kjøpe inn solide sikkerhetsløsninger som etter seks måneder fortsatt ikke er integrert med ITSM-plattformen, identity provider eller SIEM. Resultatet: administratorer logger på via PSM-verktøyet i de tilfellene de husker det, og ellers bruker de gamle tilganger fordi det går raskere.
Når dere evaluerer, sjekk integrasjon med:
- ITSM-plattform (som ManageEngine ServiceDesk Plus, Jira Service Management). Tilgang skal kunne knyttes til en ticket – "konsulenten fikk admin-rettigheter fordi ticket #12345 var godkjent."
- Identity og Access Management (Active Directory, Entra ID, Okta). Brukere skal autentiseres med deres eksisterende identitet, ikke en separat PSM-bruker.
- SIEM/logghåndtering (som ManageEngine Log360). Sesjonshendelser må korreleres med andre sikkerhetshendelser – en privilegert pålogging samtidig med uvanlig nettverkstrafikk er et annet signal enn hver av dem alene.
- MFA-løsning, helst med passnøkler eller andre phishing-resistente metoder.
Når disse plattformene snakker sammen, kan dere automatisere arbeidsflyter. Det sparer enormt mye tid – og mer kritisk: det gjør det praktisk umulig å omgå sikkerhetsrutinene.
4. Compliance og styring etter norsk regelverk
For norske virksomheter er digitalsikkerhetsloven, GDPR, sikkerhetsloven (for de som er omfattet), og ulike ISO-standarder (særlig 27001) en konkret del av hverdagen.
Verktøyet dere velger må gjøre revisjonsarbeidet enklere – ikke vanskeligere.
Konkret bør dere kunne, på under 10 minutter:
- Vise alle privilegerte påloggingen siste 30 dager
- Vise alle eksterne leverandørers aktivitet siste kvartal
- Dokumentere at en spesifikk konto kun ble brukt innenfor godkjent tidsrom
- Eksportere bevis for at MFA ble brukt ved alle privilegerte sesjoner
Hvis dette krever at en sysadmin sitter en hel dag og graver i logger, har dere et problem når NIS2-revisjonen banker på.
Forhåndsdefinerte rapporter for norske og europeiske compliance-rammeverk (digitalsikkerhetsloven, GDPR, ISO 27001, NIST CSF) sparer hundrevis av timer i året.
Å velge riktig leverandør og partner
Når dere evaluerer leverandører, se på helheten – ikke bare PSM-funksjonaliteten isolert.
Plattformer fra etablerte leverandører som ManageEngine tilbyr en helhetlig pakke hvor Privileged Session Management (Access Manager Plus) og Privileged Access Management (PAM360) er integrerte deler av både sikkerhetsarbeidet og den daglige IT-driften. Det gir lavere total cost of ownership, færre integrasjoner å vedlikeholde, og en konsistent opplevelse for administratorene.
Uansett om dere velger sky eller on-premise, bør målet være en løsning som ikke bare tetter sikkerhetshull – men som faktisk gjør hverdagen enklere for IT-sjefen og administratorene.
For mange virksomheter vi snakker med, er det her PAM-prosjekter har strandet før: verktøyet var teknisk solid, men så tungvint at brukerne fant veier rundt det. Da har dere brukt penger uten å løse problemet.
Vil dere ha hjelp til å vurdere riktig løsning?
Vi tilbyr en uforpliktende gjennomgang hvor vi kartlegger dagens privilegerte tilganger, identifiserer de største risikoene, og viser hvordan ManageEngine PAM360 og Access Manager Plus kan løse dem konkret i deres miljø.
Book et 30-minutters møte eller kontakt oss her.
