Skip to main content

​Här är insikterna som ger dig säkrare it i molnet

Nyhet   •   Mar 24, 2017 09:50 CET

Michael Andersson, Advanias säkerhetsexpert och Christoffer Callender, SE Manager på McAfee

Nätattackerna blir allt fler och allt mer sofistikerade. Samtidigt gör en växande andel molntjänster våra it-miljöer mer komplexa och svårare att skydda. Vi träffade Advanias Michael Andersson och McAfees Christoffer Callender för att få ett grepp om säkerhet i molnet.

Hur säkert är egentligen molnet? Vad händer med informationen jag lägger där? Hur skyddar jag mig mot attacker? Och vad säger lagen?

Det här är frågor som både Michael Andersson och Christoffer Callender ofta får från företag. Michael är säkerhetsexpert på Advania och Christoffer jobbar på McAfee , med bland annat molnsäkerhet som ett ständigt tema. Dessvärre är frågorna svåra att besvara kort och enkelt. Det blir lätt ett ”det beror på”.

– Det beror till att börja med på vad du menar med molnet, säger Michael.

Oavsett var du lägger din data eller kör dina applikationer är det fortfarande du som har det yttersta ansvaret för att det görs på ett säkerhetsmässigt korrekt sätt.

– I ena änden av skalan har vi publika molntjänster där allt ligger mer eller mindre öppet och du inte ens vet var informationen lagras. I andra änden hittar du privata moln, antingen sådana du driftar själv eller sådana som någon annan tar hand om. De säkerhetsmässiga skillnaderna mellan dem är avgörande.

Kort sagt ska de öppna, publika molntjänsterna betraktas som tämligen osäkra. Där bör ingen kritisk information hanteras. Privata moln å andra sidan kan vara lika säkra eller säkrare än den it du driftar själv.

Skillnad på moln och moln

Svaren på nästan vilka frågor som helst kring säkerhet i molnet beror också på vad du köper i det. Handlar det om infrastrukturtjänster är du som kund helt och hållet ansvarig för säkerheten, eftersom du bara köper tillgång till själva hårdvaran. Om du köper en färdig plattform har leverantören ett visst ansvar. Handlar det om en komplett tjänst eller funktion är säkerheten i princip helt deras ansvar.

– Även om det inte går att ge specifika råd kring säkerhet i molnet utan att veta närmare hur förutsättningarna ser ut i varje enskilt fall, kan man i alla fall säga detta: oavsett var du lägger din data eller kör dina applikationer är det fortfarande du som har det yttersta ansvaret för att det görs på ett säkerhetsmässigt korrekt sätt, säger Christoffer.


Frågan är felformulerad

Han avslöjar snart att han helst undviker att tala om molnet i samband med informationssäkerhet. Han menar att det är mer relevant att prata om just informationen. Vilka möjligheter har du att se och hantera den, vem äger krypteringsnyckeln till krypterad information i en molntjänst? Hur sker åtkomsten?

Skälet till att Christoffer gärna undviker begreppet ”molnet” i samband med resonemang kring säkerhet är att det inte återspeglar verkligheten. Frågan ”hur säkert är molnet?” är snarast felformulerad, menar han.

– De flesta företag kör i dag en blandning av moln och egen it, en hybridmiljö. Utmaningen i det blir att hålla koll på informationen i den allt mer komplexa miljö som då uppstår, inte i enskilda molntjänster.

Ställ rätt krav på leverantören

Christoffer och Michael är överens om att molntjänster inte per automatik är mindre säkra än egen it. I somliga fall kan de till och med vara säkrare, eftersom inte minst större molnleverantörer ägnar stora resurser åt detta. Samtidigt understryker de att du som kund måste vara aktiv och ställa krav på leverantören.

– Flera av våra kunder som är på väg att flytta in i vårt moln gör revisioner av vår säkerhet, med frågor som var informationen lagras, hur den krypteras, vem som har tillträde till datahallen, hur loggar hanteras och så vidare. Då får de svar på viktiga frågor som påverkar säkerheten, förklarar Michael.

GDPR ställer höga krav på informationskoll

Christoffer återkommer till själva kärnan, informationen. Hur viktigt det är att behålla eller förbättra kontrollen av den. Det krävs inte minst när den kommande EU-förordningen GDPR börjar gälla i maj 2018. För att inte uppgiften att anpassa sina system och processer att leva upp till de nya reglerna ska bli övermäktig krävs verktyg som ger en samlad bild av företagets information och hur den hanteras. Oavsett om den finns i system som står i den egna datahallen, i en publik molntjänst eller rör sig mellan olika platser.

Molnet är inte längre bara it ”någon annanstans”. Molnet bör snarare betraktas som den samlade it-miljön där företagets system, tjänster och information produceras och lever. Säkerheten hänger i dag inte på enskilda molntjänster, utan på hur du hanterar hela den sammantagna miljön.

Kommentarer (0)

Lägg till kommentar

Kommentera

Agree With Privacy Policy