IT-sikkerhet

Beskytt dine skytjenester

Mobilitet er en av de heteste trendene akkurat nå. Takket være smarttelefoner og andre bærbare enheter kan du arbeide stort sett hvor og når du vil. For brukerne betyr dette større fleksibilitet, samtidig som bedriften vinner på økt produktivitet.

Etterspørselen etter skybaserte sikkerhetsløsninger øker eksplosivt, ifølge Gartner. Spesielt er veksten stor for produkter innen e-postsikkerhet og løsninger for identifisering og tilgang via nettskyen.

En av de største IT-trendene de siste årene har vært å kjøpe IT-infrastruktur i form av skytjenester i stedet for å eie en selv.

Hva er så sikkerhetsrisikoene? Vi ba Per Hellqvist, sikkerhetsekspert hos Symantec, fortelle om de største fallgruvene for den vanligste typen skytjenester – programvare som en tjeneste (Software as a Service). Dette omfatter blant annet e-posttjenester som Hotmail og Gmail og lagringstjenester som Box og Dropbox.

– En vanlig glipp er å unnlate å kontrollere hvordan informasjonen beskyttes under selve overføringen mellom brukeren og tjenesten. Blir informasjonen sendt kryptert eller i klartekst? Hvis den sendes i klartekst, kan i prinsippet hvem som helst få tilgang til den, sier Per Hellqvist.

Ofte brukes en nettleser til å få tilgang til skytjenesten, og da er det lett å kontrollere dette. Hvis forbindelsen er kryptert, står det «https» i stedet for «http» på adresselinjen. Mange skytjenester har også apper for mobil og nettbrett som dataene synkroniseres med, og her er det umulig å se hvordan overføringen pågår.

– Du kan sjekke det ved å «sniffe» trafikken på nettverket, men hvor mange gjør det? Dette er noe som overrasker meg. Apputviklerne må bli tydeligere på hvordan kundenes informasjon beskyttes. I dag må du kontakte produsenten og spørre, sier Per Hellqvist.

Når medarbeiderne skal ha tilgang til bedriftsinformasjon i en mobilapp eller på en bærbar PC, bør enheten beskyttes med passord.

En teknisk løsning er å anskaffe et system for administrasjon av mobilenheter, der IT-avdelingen har fjernoversikt over alle enhetene og kan kontrollere at PIN-kodelåsen er aktivert på telefonen.

– Mobiltelefonen har vi jo med oss overalt, til og med på puben. Likevel er det mange som ikke har PIN-kodelås på den, kommenterer Per Hellqvist.

Et annet spørsmål, som ble aktualisert gjennom Snowdens avsløringer om USAs omfattende overvåkingsprogram, er i hvilket land dataene lagres, og hvor sikkerhetskopier og eventuelle speilservere finnes. Saken kompliseres ytterligere av at enkelte skytjenester selv benytter seg av skytjenester, for eksempel for lagring. Her er det all grunn til å være forsiktig, mener Per Hellqvist.

– Overfører du materiale til andre land, øker risikoen for avlytting underveis. De fleste etterretningstjenester har mer eller mindre uttalte mål om industrispionasje for å fremme sitt eget lands interesser. Dette gjelder blant annet innen patent og forskning, sier han.

Fra et juridisk perspektiv er det dessuten forbudt å sende personopplysninger til land utenfor EU.

Det er imidlertid mulig å benytte skytjenester fra selskaper i USA så fremt de har sluttet seg til Safe Harbour, et selvsertifiseringsprogram som er utarbeidet av EU i samarbeid med det amerikanske handelsdepartementet.

All informasjon er selvsagt ikke topphemmelig, og det ville være både dyrt og komplisert å behandle den som sådan. Det første steget er derfor å klassifisere informasjonen. Hvilken informasjon er spesielt viktig, og hvordan skal den håndteres? Hvilke trusler finnes, og hvilken risiko er akseptabel? Hva kan plasseres internt og eksternt? Hva sier loven om hvordan informasjon skal behandles, og hva sier bedriftens egen policy?

– Noen typer informasjon bør kanskje ikke forlate huset i det hele tatt, mens andre kan sendes som vanlig e-post, sier Per Hellqvist.

Hvordan skal så brukerne kunne vite hva som gjelder?

Per Hellqvist er enig i at det kan være komplisert, spesielt fordi klassifiseringer ofte endres over tid. I mindre bedrifter holder det normalt å gi brukerne opplæring. I større organisasjoner, derimot, kan det lønne seg å anskaffe et DLP-system, Data Loss Prevention, som plasseres i nettverket og hindrer at informasjon spres på feil måte.

– Vi vet at ansatte som oftest ikke gjør feil med vilje, men på grunn av ubetenksomhet, og de har gode intensjoner. Jeg kan for eksempel sende en sensitiv fil til min Gmail eller legge den i min private Dropbox for å jobbe videre med den om kvelden når barna har lagt seg, sier Per Hellqvist.

En annen og mer indirekte risiko ved skytjenester er at medarbeiderne anskaffer dem på egen hånd uten å tenke på sikkerheten.

– Her er det viktig å be alle være åpne om hvilke skytjenester de bruker, slik at IT kan tilby sikre alternativer. Men om IT ikke kommer med alternativer, er løpet kjørt. Mennesker har et sterkt behov for å effektivisere arbeidet sitt, fortsetter Per Hellqvist.

Avslutningsvis slår han et slag for at sikkerhet ikke skal anses som et problem eller en kostnad, men som et middel for å kunne jobbe mer mobilt.

– Du reiser ikke på ferie hvis du ikke kan låse ytterdøren. Og du tar ikke med deg sensitive data ut av huset hvis du ikke kan beskytte dem, sier Per Hellqvist. 

TIPS FOR SIKRERE SKYTJENESTER

  1. Avtalekontroll
    Les avtalen, og still spørsmål til leverandøren. Hvor og hvordan lagres informasjonen? Hvordan blir den overført mellom brukeren og tjenesten? Benytter skyleverandøren selv skytjenester, for eksempel for drift og lagring?
  2. Virusbeskyttelse
    Installer beskyttelse mot virus, selv om du bruker Mac. Som oftest brukes skytjenester via nettleseren, der det er enkelt å plassere trojanere som snapper opp brukernavn og passord.
  3. Oppgradering
    Bruk alltid den nyeste versjonen av nettleseren for å redusere risikoen for virus.
  4. Tofaktors Autentisering
    For sensitiv informasjon holder det ikke med vanlig innlogging, det vil si brukernavn og passord. Sats i stedet på tofaktors autentisering, lik kodegeneratoren fra en bank, med en ny kode hvert 30. sekund.

VIL DU VITE MER OM RISIKO OG SÅRBARHETSANALYSER FOR SKYTJENESTER?

EUs byrå for nettverks- og informasjonssikkerhet, ENISA, har utarbeidet veiledningen «Cloud Computing, Information Assurance Framework», som inneholder grunnleggende spørsmål en organisasjon kan stille skyleverandøren for å forsikre seg om at informasjonen er beskyttet på best mulig måte. En annen organisasjon som arbeider med dette, er Cloud Security Alliance.
Les mer: www.enisa.europa.eu

Tekst: Hanna Larsson
Illustrasjoner: Nils-Petter Ekwall

Sist oppdatert: 1 juli 2022

Tagger