Digitale skyer sårbare for feil og sabotasjeforsøk

Av Medvind Media/Context for NTNU/ Nokios-konferansen 2019

Avhengig av skymodell kan en enkelt person potensielt sett gjøre kritiske endringer helt på egenhånd. Vi er opptatt av å etablere god kontroll for å unngå feil eller bevisste forsøk på sabotasje.

D et sier Eirik Thormodsrud, leder for Cyber Security Advisory i Sopra Steria.
Han har mange års erfaring med skytjenester, erfaring med kravstilling, risikovurdering og sikker bruk av skytjenester, både som leverandør og kunde.

– Gode kontrollmekanismer gir muligheter for å avdekke feil og mangler, samt avdekke eventuelle angrep mot den digitale skyen. Mulighetene for å avsløre svakheter er ofte veldig gode i skyløsninger, men det forutsetter at de tas i bruk og følges opp.

Mange utfordringer

Gjennom kurset under årets Nokios-konferanse, vil Thormodsrud i tospann med
Arvid Grøtting, Chief Information Security Officer i Basefarm, prøve å belyse aktuelle problemstillinger som de ser rundt valg av leveranse- og skymodeller, og bruk av disse.

– Det er forskjellige utfordringer man må ta hensyn til avhengig av om man skal etablere sin egen private sky hos seg selv eller hos leverandør, full offentlig sky eller en hybridløsning. Når man i tillegg kobler inn de forskjellige skymodellene med alt fra infrastruktur (IaaS), til plattform (PaaS) og programvare (SaaS), så er valgmulighetene og de potensielle utfordringene mange.

Thormodsrud understreker at det er viktig å vite om utfordringene ved de forskjellige valgene man gjør, men også være seg bevisst mulighetene. Hver modell har problematiske sider og sine utfordringer, men også sine styrker og muligheter. Valg av modell må være basert på virksomhetens behov, både med hensyn til funksjonalitet og sikkerhet.

Behov vs risiki

– Vi vil gi tips til hvordan virksomhetene kan kartlegge behov på en god måte, koblet med gode vurderinger av risiko, slik at virksomheter kan identifisere tilstrekkelige tiltak, samt følge opp fortløpende.

Gjennom å se på den initielle kravspesifiseringen ovenfor, ønsker kurslederne å kunne dele tips til hvordan man tar i bruk skyløsningen som har blitt valgt. Hva må etableres, hvordan kan man kontrollere sikkerheten i leveransene, både ved oppsett og kontinuerlig ved bruk.

– Skytjenester har ofte en annen bruksmodell enn tradisjonell infrastruktur.
I tradisjonelle infrastrukturer er man ofte mer skjermet når man gjør endringer, ved at de ofte må utføres av flere personer. I det ligger et naturlig kontrollelement, fordi flere kan stille spørsmål ved endringer.

Det er i skytjenesters natur at de utvikles fortløpende av leverandørene. Leverandørene vil alltid videreutvikle løsningene for å få fortrinn foran konkurrenter.
Thormodsrud poengterer at brukere av skyløsninger har mindre grad av påvirkningskraft enn i tradisjonell infrastruktur. Til gjengjeld får brukerne tilgjengelig en stadig fornyet og som oftest forbedret funksjonalitet.

Dynamisk risikovurdering

– Men det skjer også at funksjonalitet avvikles fra enkelte skyleverandører. Dette gjør at vi som kunder må ha et mer aktivt forhold til hva vi bruker hos leverandørene. Når plattformen endrer seg kontinuerlig så får vi mindre problemer, men det krever at vi må følge med på hva som skjer. Ofte så kan den nye funksjonaliteten bidra til at vi kan håndtere risiki vi har identifisert tidligere. Gjennom å regelmessig oppdatere risikovurderinger, og vurdere hvilke tjenester som leveres i skyen, får vi et mer dynamisk forhold til identifisering og håndtering av risiko. I korte trekk så må vi vedlikeholde både IKT-leveransen og risikobildet vårt. Det gir nye muligheter, men krever og mer av oss både på kunde og leverandørsiden.

Thormodsrud og Grønning ønsker å få til et Nokios-kurs der det blir mye rom for dialog og deling av erfaringer.

– De fleste har nok noe i de digitale skyene i dag. Det er for oss spennende å lytte til erfaringene og utfordringene som deltakerne står overfor, avslutter Thormodsrud.

Thormodsrud og Grøtting leder kurs 5: Skyanskaffelser og informasjonssikkerhet.