Skysikkerheten må tas på alvor, også av ledelsen
KOMMENTAR: Ifølge Norstat er kun en av tre norske virksomheter bekymret for sikkerheten i skyen. Det tallet burde vært høyere, for flere og flere flytter sin virksomhetskritiske informasjon til skyen.
Så hvilke konsekvenser får dette for konfidensialiteten, integriteten og tilgjengeligheten til dataene, og hvordan bør virksomhetene tilnærme seg sikkerhet i skyen?
Norstat peker på en digitalisering i rekordfart og økende bekymring blant næringslivsledere. Vi deler den samme oppfatningen og mener ledelse og styret har et ansvar for å være kontinuerlig bevisst på cybersikkerheten og se det digitale trusselbildet opp mot virksomhetens sårbarheter, også når data flyttes i skyen. Først da oppnås et tilstrekkelig sikkerhetsnivå, risiko reduseres, og skade ved et eventuelt angrep eller sikkerhetsbrudd begrenses.
Stadig flere virksomheter ser verdien av etablerte og innovative skytjenester fremfor å utvikle og drifte it-systemer basert på tradisjonelle driftsmodeller. Covid-19 har helt klart bidratt til at migrering til skyen er blitt en prioritet for flere, og mange har tilsynelatende dårlig tid.
Men er offentlige og private virksomheter klar over kompleksiteten knyttet til behandling av informasjon i skyen, og har de den nødvendige oversikten over hvilke risikoer og sårbarheter en migrering innebærer? Stoler vi blindt på leverandørene?
Ledelsens ansvar
Skytjenester effektiviserer, reduserer kostnader, og gir virksomheten og brukerne fordeler som fleksibilitet, skalerbarhet og smidighet. Til tross for alle fordelene er det også risiko forbundet med å flytte alle data til skyen - med økende datamengde og initiativer innen digital transformasjon, følger en økning i antall cyberangrep målrettet mot skytjenester og -lagring.
Tilliten til skyleverandøren opparbeides underveis i anskaffelsesprosessen, og til syvende og sist stoler virksomheten godt nok på leverandøren til å «åpne opp» og gi tredjeparten nødvendig tilgang til data og applikasjoner. Ansvaret for denne «digitale due-dilligence»-prosessen hviler på kjøper. Da er det alarmerende at ikke flere virksomheter uttrykker bekymring for sikkerheten i skyen.
Selv om skytjenesteleverandørene er profesjonelle og i mange tilfeller sertifiserte er det fortsatt opp til virksomheten å forsikre seg om at sikkerhetsmekanismene er gode nok, og veie disse opp mot virksomhetens egne krav til sikkerhet, planlagt bruk av tjenesten, og risikovurderinger i forhold til bruk og lagring av data.
Det kan diskuteres hvorvidt det er noe hold i myten om at det er sikrere å lagre data i egne datasentre enn i skyen. Men, når Gartner oppjusterer sine prognoser og spår et byks i offentlige nettskyer og en estimerer at over halvparten av alle forretningsdata lagres i skyen, så er det god grunn til å anta at flere og flere fester sin lit til skytjenester.
Det er to viktige utfordringer med skymodellen som må adresseres før en tar fatt på en migrering – har virksomheten god nok oversikt over hvilke verdier som skal til skyen, og hvordan ivaretas sikkerheten for disse?
Som i ethvert styringssystem for sikkerhet handler mye om å ta kontroll på risikobildet og få oversikt over hvor virksomheten er (mest) sårbar. Det kan være krevende å navigere i denne jungelen av risiko og sårbarheter, spesielt når en setter ut prosesser og kontroller til tredjepartsleverandører (som også kan være internasjonale uten tilknytning lokalt).
Med kunnskap følger kontroll
For å ta kontroll trengs kunnskap. Ikke bare om egne systemer, prosesser, og datastrømmer, men kunnskap om selve prosessen nødvendig for å migrere til skyen. Sistnevnte kan være både kompleks og tidkrevende dersom en ikke vet hvor en skal begynne eller biter over for mye. Ansvarlige for sikkerheten ved migrering til skyen bør som et minimum ha kunnskap og ferdigheter nødvendig for å støtte virksomheten i effektiv planlegging, implementering, administrering, overvåking og vedlikehold av et skysikkerhetsprogram.
Ved å følge beste praksis i form av etablerte og anerkjente rammeverk vil de ansvarlige få solide retningslinjer til prosessen og få inngående kunnskap om grunnleggende prinsipper ved skytjenester, konsepter og prinsipper for behandling og lagring av data i skyen, risikostyring, hendelseshåndtering og sikkerhetstesting spesifikt for skyen. Virksomhetens sikkerhetsstrategi for skyen bør dekke alle disse elementene, også for verdikjeden.
Kontroll med verdikjeden er essensielt i en god sikkerhetsstrategi, også når data flyttes ut i skyen. Integrering av løsninger og systemer fra verdikjeden i en og samme skyløsning kan være kostnadsbesparende og mer effektivt for de involverte, men sikkerheten på dataene er avgjørende.
Selv om omfanget av ansvaret for sikkerhet og samsvar ikke endres ved en migrering til skyen, vil fordelingen av ansvar på de ulike rollene i en skymodell skille seg ut. Skytjenester og -lagring er til syvende og sist modeller der vidt ulike (og internasjonale) aktører deler på ansvaret for å implementere og administrere informasjonssikkerheten. Det er derfor viktig at virksomheten har god oversikt over verdikjeden og sikkerhetsansvaret i denne og at sikkerhetsstrategien tar høyde for fragmenteringen av risiko og ansvar.
Våre råd til god skysikkerhet
Migrering til skyen er for mange et naturlig og nødvendig valg, og i de aller fleste tilfeller også riktig for virksomheten. Men, dersom en ikke tar sikkerheten i skyen på alvor og adresserer denne tidlig i prosessen kan virksomheten stå overfor alvorlige sikkerhetsbrudd utenfor virksomhetens kontroll. Våre råd er derfor:
1. Bygg intern kompetanse rundt skysikkerhet eller bruk ekstern bistand.
2. Still riktige krav til sikkerhet i anskaffelsesprosessen.
3. Ha gode rutiner for oppfølging av skyleverandørene.
4. Involver skyleverandørene i virksomhetens beredskapsarbeid.
Mark Stegelmann og Berit Bekkevold, Watchcom Security Group