Hopp til innhold
Tjeneste, prosjekt, navn...

Kontakt oss

10 ting du (kanskje) ikke visste om skysikkerhet

«Skyen» kan virke skremmende fordi mange opplever mindre kontroll og stor usikkerhet knyttet til hvilken sikkerhet man selv er ansvarlig for. Sikkerhetsbehov kan ivaretas ved bruk av skytjenester, men dette forutsetter god kunnskap om skysikkerhet. Her er ti områder som mange overser.

Av: Martin Kjellevand, sikkerhetskonsulent i Webstep

1. Du er ansvarlig for sikkerhetsovervåking

Mange tror at dette er skyleverandørens ansvar. Det er kun delvis sant. Ved bruk av skytjenester er du som kunde i stor grad ansvarlig for sikkerhetsovervåking av egen bruk av tjenesten. Det er kun du som vet hvilke medarbeidere som skal ha lov til å gjøre hva. Dette gjelder også ved bruk av SaaS-tjenester.

2. Krav som følge av Schrems II-dommen kan være relevante selv om skytjenesten driftes i Norge eller Europa

Kravene gjelder også dersom skyleverandøren din er en databehandler underlagt tredjelands lovgivning, som ikke beskytter personvernet tilstrekkelig. Det betyr for eksempel at du må tenke på Schrems II-dommen selv om du behandler personopplysninger i Microsoft sine datasentre i Europa.

3. Skytjenester kan kreve utvidede tilgangsrettigheter i eksisterende systemer

Mange skytjenester må integreres med eksisterende systemer. Noen skytjenester trenger utvidede rettigheter som gir tilgang til verdifulle data. Dette gjelder for eksempel dersom den integreres med en identitetstjeneste eller et HR-system. Det finnes flere tiltak som kan innføres for å redusere risikoen for at skytjenesten misbruker tilgangsrettighetene sine. Vær oppmerksom på at skytjenester kan kreve tilgangsrettigheter de egentlig ikke har behov for.

4. Skyleverandørenes standardavtaler tilfredsstiller kanskje ikke sikkerhetsbehovene dine

Mange skyleverandører tilbyr kun standardavtaler. Slike avtaler kan inneholde svake vilkår knyttet til sikkerhet. Dette kan gjøre at du som kunde for eksempel ikke får nødvendig innsyn i skyleverandørens tjenesteleveranse, eller varsling ved endringer i tjenesten. Skyleverandører med standardavtaler kan være villige til å gjøre tilpasninger.

5. Du kan være ansvarlig for sikkerhetskopiering

Ofte er ansvaret delt slik at skyleverandøren tar sikkerhetskopi av programvare, mens kunden må ta kopi av dataen sin som ligger i tjenesten. I mange skytjenester kan det til og med være vanskelig å ta kopi av data. Enten på grunn av mangelfull eller manglende funksjonalitet for sikkerhetskopiering.

6. Selv om sikkerheten i skytjenesten er god, kan skyleverandøren mangle “orden i eget hus”

Lav modenhet på informasjonssikkerhet hos skyleverandøren kan i stor grad påvirke tjenesteleveransen. Her synder tilbydere av frittstående SaaS-tjenester oftere enn andre. Et eksempel på dette var da selskapet Code Spaces gikk konkurs. Et eksternt angrep førte til at alle systemer og data til selskapet gikk tapt grunnet manglende lokal sikkerhetskopi.

7. Skytjenester kan tilpasses med spesialisert tilgangskontroll

Dette gjelder også SaaS-tjenester. Mange tror at sikkerheten i skytjenester er den samme for alle kunder, men flere skytjenester tillater at det defineres begrensninger for hvilke brukere som kan kontakte tjenesten. Dette kan for eksempel gjøres gjennom restriksjoner for IP-adresser og identitetsløsninger.

8. Sikkerhetskompetanse er spesielt viktig i skyen

Menneskelige feil er den vanligste kilden til sikkerhetsbrudd. Derfor er sikkerhetskompetanse og -kultur viktig. Skyen er fortsatt ukjent for mange, og dessuten i rask utvikling. Det gir ifølge Gartner langt større rom for sikkerhetsfeil forårsaket av mennesker.

9. Bruk av skytjenester gir nye muligheter for økt beskyttelse

Mange tror fortsatt at «skyen» bare er noen andre sine servere, men den er mye mer enn det. De store skyleverandørene (f.eks. Microsoft, Amazon og Google) tilbyr avansert sikkerhetsfunksjonalitet for blant annet tilgangsstyring og monitorering som kan øke sikkerheten din.

10. “Markedsplassen for skytjenester” kan hjelpe deg med å anskaffe sikre skytjenester

Dersom du er en oppdragsgiver fra offentlig sektor som skal investere i skyteknologi, så er dette en nyttig markedsplass hvor du kan møte tilbydere av skytjenester. Markedsplassen skal blant annet gjøre det enklere å anskaffe sikre og lovlige skytjenester. Foreløpig er markedsplassen i betaversjon og inneholder stort sett veiledning, men på sikt skal den også tilby avtaler og gi oversikt over markedet for skytjenester.

På vei mot en tryggere skyhverdag

Punktene over illustrerer at skysikkerhet er både komplisert og utfordrende. Listen er ikke uttømmende, og det finnes andre sikkerhetsaspekter som må hensyntas når skytjenester skal utvikles og tas i bruk. Husker du likevel på disse ti, ofte glemte områdene, er du et skritt nærmere en tryggere hverdag i skyen.


Innlegget ble først publisert i Computerworld, 25. november 2021

Safety Cyber Security

Skysikkerhet er både komplisert og utfordrende. Sikkerhetsbehov kan ivaretas ved bruk av skytjenester, men dette forutsetter god kunnskap om skysikkerhet, sier Martin Kjellevand, sikkerhetskonsulent i Webstep.

Relatert / Kontaktpersoner