Sikkerhet i begge ender
LEDER: Vi vet at vi må beskytte oss mot trusler utenfra, NSM setter fingeren på trusselen vi glemmer – den fra innsiden.
Særlig det siste året, har en rekke hendelser knyttet til sikkerhetsbrudd åpnet øynene på norske bedrifter. Universell tilgang til systemer og infrastruktur for ansatte og partnere i verdikjeden, fører med seg at virksomhetens sentralnervesystem også blir eksponert.
På utsiden truer ondsinnede hackere og organisert kriminalitet med å låse ned systemene eller tappe dem for sensitiv og bedriftsintern informasjon. Derfor sikrer vi oss så godt vi kan, og leier inn kompetanse som er dyr fordi det er knapphet på ressurser i bransjen.
Midt i det skumle farvannet finnes det en sikkerhetsbøye – datasentrene. De investerer enorme beløp på å etablere sikre miljøer i sin infrastruktur. Jo større de er, jo mer sikkerhet klarer de å bygge inn. Derfor føles det trygt å bruke dem. De har jo mye større kapasitet og kunnskap til å beskytte dataene enn noen norsk virksomhet vil ha alene.
Datasentrene kan investere og bygge kompetanse som matcher det moderne trusselbildet. Maskinvare, programvare, patcher, løsninger for overvåking, adgangskontroll, kort sagt alt skal være ypperste klasse og nyeste versjon. Derfor velger stadig flere datasentre, og vi føler oss tryggest hos de som er størst og investerer mest i sikkerhet.
I et nasjonalt perspektiv betyr det at stadig større verdier oppbevares på stadig færre steder. Vi blir mer sårbare. De største aktørene blir også mer attraktive angrepsmål.
NSM (Nasjonal Sikkerhetsmyndighet) setter fingeren på at faren for å miste data ikke bare kommer fra utsiden. Data kan forsvinne innover også, fra datasenteret. Der er vi i praksis uten kontroll eller påvirkningskraft. I dag slapp de en rapport som setter søkelyset på dette problemet. For selv om datasentrene er sikrere enn vår egen infrastruktur, betyr ikke det at all risiko er borte.
Truslene mot datasentrene kan komme fra flere steder. Det kontinuerlige våpenkappløpet i sikkerhetsbransjen krever kontinuerlig investeringsvilje. Den kan påvirkes av skiftende eierskap eller fall i lønnsomhet. Nasjonale interesser kan også spille inn, noe som også kan være en følge av eierskapsskifte i framtiden. Sist, men ikke minst, ville det ikke være første gang i historien dersom en eller flere fra innsiden åpnet dører for kriminelle. Sikkerheten blir aldri bedre enn det svakeste ledd.
Samfunnskritisk infrastruktur bør være sikret i begge ender – også innover. Vi må ha tilstrekkelig råderett og kontroll. Derfor er arbeidet NSM gjør omkring sikkerhet i offentlige skyløsninger så viktig. I takt med at stadig mer it-infrastruktur flyttes inn i skyen, både privat og offentlig, er det helt avgjørende at det etableres felles rammeverk og krav.