Skysikkerheten må tas på alvor, også av ledelsen

Dette debattinnlegget ble første gang publisert på Computerworld 31.05.2021 - les innlegget her.

Norstat peker på en digitalisering i rekordfart og økende bekymring blant næringslivsledere. Vi deler den samme oppfatningen og mener ledelse og styret har et ansvar for å være kontinuerlig bevisst på cybersikkerheten og se det digitale trusselbildet opp mot virksomhetens sårbarheter, også når data flyttes i skyen. Først da oppnås et tilstrekkelig sikkerhetsnivå, risiko reduseres, og skade ved et eventuelt angrep eller sikkerhetsbrudd begrenses.

Stadig flere virksomheter ser verdien av etablerte og innovative skytjenester fremfor å utvikle og drifte IT-systemer basert på tradisjonelle driftsmodeller. COVID-19 har helt klart bidratt til at migrering til skyen er blitt en prioritet for flere, og mange har tilsynelatende dårlig tid.

Men er offentlige og private virksomheter klar over kompleksiteten knyttet til behandling av informasjon i skyen, og har de den nødvendige oversikten over hvilke risikoer og sårbarheter en migrering innebærer? Stoler vi blindt på leverandørene?

Sikkerheten i skyen er ledelsens ansvar

Skytjenester effektiviserer, reduserer kostnader, og gir virksomheten og brukerne fordeler som fleksibilitet, skalerbarhet og smidighet. Til tross for alle fordelene er det også risiko forbundet med å flytte alle data til skyen - med økende datamengde og initiativer innen digital transformasjon, følger en økning i antall cyberangrep målrettet mot skytjenester og -lagring.

Tilliten til skyleverandøren opparbeides underveis i anskaffelsesprosessen, og til syvende og sist stoler virksomheten godt nok på leverandøren til å «åpne opp» og gi tredjeparten nødvendig tilgang til data og applikasjoner. Ansvaret for denne «digitale due-dilligence»-prosessen hviler på kjøper. Da er det alarmerende at ikke flere virksomheter uttrykker bekymring for sikkerheten i skyen.

Selv om skytjenesteleverandørene er profesjonelle og i mange tilfeller sertifiserte er det fortsatt opp til virksomheten å forsikre seg om at sikkerhetsmekanismene er gode nok, og veie disse opp mot virksomhetens egne krav til sikkerhet, planlagt bruk av tjenesten, og risikovurderinger i forhold til bruk og lagring av data.

Det høres kanskje enkelt ut, men skysikkerhet og samsvar inkluderer alt et sikkerhetsteam er ansvarlig for i dag, bare i skyen. Alle de tradisjonelle sikkerhetsdomenene gjenstår, men risiko, roller og ansvar, og implementering av kontroller, endres, ofte dramatisk [Cloud Security Alliance, 2021]

Hva bør virksomheten tenke på i forbindelse med en migrering?

Det kan diskuteres hvorvidt det er noe hold i myten om at det er sikrere å lagre data i egne datasentre enn i skyen. Men, når Gartner oppjusterer sine prognoser og spår et byks i offentlige nettskyer og en estimerer at over halvparten av alle forretningsdata lagres i skyen, så er det god grunn til å anta at flere og flere fester sin lit til skytjenester.

Hvordan bør virksomheten sikre data som behandles og/eller flyttes i skyen?

To viktige utfordringer med skymodellen må adresseres før en tar fatt på en migrering – har virksomheten god nok oversikt over hvilke verdier som skal til skyen, og hvordan ivaretas sikkerheten for disse?

Som i ethvert styringssystem for sikkerhet handler mye om å ta kontroll på risikobildet og få oversikt over hvor virksomheten er (mest) sårbar. Det kan være krevende å navigere i denne jungelen av risiko og sårbarheter, spesielt når en setter ut prosesser og kontroller til tredjepartsleverandører (som også kan være internasjonale uten tilknytning lokalt).

Med kunnskap følger kontroll

For å ta kontroll trengs kunnskap. Ikke bare om egne systemer, prosesser, og datastrømmer, men kunnskap om selve prosessen nødvendig for å migrere til skyen. Sistnevnte kan være både kompleks og tidkrevende dersom en ikke vet hvor en skal begynne eller biter over for mye.

Ansvarlige for sikkerheten ved migrering til skyen bør som et minimum ha kunnskap og ferdigheter nødvendig for å støtte virksomheten i effektiv planlegging, implementering, administrering, overvåking og vedlikehold av et skysikkerhetsprogram.

Ved å følge beste praksis i form av etablerte og anerkjente rammeverk vil de ansvarlige få solide retningslinjer til prosessen og få inngående kunnskap om grunnleggende prinsipper ved skytjenester, konsepter og prinsipper for behandling og lagring av data i skyen, risikostyring, hendelseshåndtering og sikkerhetstesting spesifikt for skyen. Virksomhetens sikkerhetsstrategi for skyen bør dekke alle disse elementene, også for verdikjeden.

Et godt skytjenestesikkerhetsprogram involverer hele verdikjeden

Kontroll med verdikjeden er essensielt i en god sikkerhetsstrategi, også når data flyttes ut i skyen. Integrering av løsninger og systemer fra verdikjeden i en og samme skyløsning kan være kostnadsbesparende og mer effektivt for de involverte, men sikkerheten på dataene er avgjørende.

Hvem har tilgang til dataene lagret i skyen? Hvilke sikkerhetsmekanismer har de andre leddene i verdikjeden implementert? Gjennomføres sikkerhetskopiering, hvor lagres denne og hvem har tilgang? Hvilke rutiner for sårbarhetsskanning og risikovurdering har de andre leddene i verdikjeden på plass, og hvordan ivaretas disse?

Selv om omfanget av ansvaret for sikkerhet og samsvar ikke endres ved en migrering til skyen, vil fordelingen av ansvar på de ulike rollene i en skymodell skille seg ut. Skytjenester og -lagring er til syvende og sist modeller der vidt ulike (og internasjonale) aktører deler på ansvaret for å implementere og administrere informasjonssikkerheten.

Det er derfor viktig at virksomheten har god oversikt over verdikjeden og sikkerhetsansvaret i denne og at sikkerhetsstrategien tar høyde for fragmenteringen av risiko og ansvar.

Våre råd til god skysikkerhet

Migrering til skyen er for mange et naturlig og nødvendig valg, og i de aller fleste tilfeller også riktig for virksomheten. Men, dersom en ikke tar sikkerheten i skyen på alvor og adresserer denne tidlig i prosessen kan virksomheten stå overfor alvorlige sikkerhetsbrudd utenfor virksomhetens kontroll. Våre råd er derfor:

• Bygg intern kompetanse rundt skysikkerhet eller bruk ekstern bistand…
• Still riktige krav til sikkerhet i anskaffelsesprosessen....
• Ha gode rutiner for oppfølging av skyleverandørene....
• Involver skyleverandørene i virksomhetens beredskapsarbeid....