Det er rett og slett ikke mulig å sette bort sikkerhetsansvaret til noen andre
Virksomhetene vi snakker med, har nesten alltid tjenesteutsatt hele eller deler av driften sin.
Etter en ganske kort prat blir det klart for oss at de da regner med at IT-sikkerheten er ivaretatt av noen andre. For når vi spør litt videre, er det nesten ingen som vet hva avtalen sier om sikkerhet, hvilket ansvar de selv har og hva de som kunde skal kreve av driftspartneren sin.
Historien har vist oss at skylapper utgjør en stor sikkerhetsrisiko (les om det katastrofale Equifax-innbruddet nedenfor). Derfor deler vi nå noen anbefalinger, slik at du som outsourcer IT-drift også får på plass den nødvendige sikkerheten.
Bli bevisst på hva du har kjøpt, og hva du ikke har kjøpt
Når du kjøper en ny skyløsning, er det lett å bli overveldet av alt som følger med. Det føles godt når leverandøren tilsynelatende har tenkt på alt, og det er ikke sikkert den kritiske sansen er like skarp i nyanskaffelsens eufori.
Imidlertid er det kritisk viktig å være bevisst på hva leveransen ikke dekker. Se over avtalen dere har inngått og spør dere selv:
– Hva har vi kjøpt? Hva innebærer leveransen? Hva må vi selv sørge for?
Hvis noen ansvarsområder virker uklare, er det smart å utfordre leverandøren på hvem av dere som egentlig skal sørge for hva. Et nøkkelspørsmål er hva de sier om alarmer eller håndtering av hendelser: Hvem har ansvaret for å agere når det brenner? Noe annet dere bør få klarhet i er hva leverandøren gjør for å ivareta deres sikkerhet.
Det kan i mange tilfeller være deg som kunde. Men mange virksomheter unnlater å ta grep, selv når de vet de er sårbare for angrep. Kanskje er det et utslag av tilskuereffekten? Kanskje skyldes det uklar rollefordeling og mangel på eierskap – det vi i bransjen refererer til som shared irresponsibility?
Uansett var det mangel på handling som førte til en av de største hackerskandalene noensinne, da kredittvurderingskjempen Equifax i 2017 ble tappet for sensitive opplysninger om 147 millioner mennesker.
Last ned guide: Slik sikrer du deg i skyen
Equifax – det kan bli dyrt ikke å ta ansvar
Equifax-hendelsen er blitt kjent som hackerangrepet der alt som kunne gå galt, gikk galt. I mars 2017 fikk kredittvurderingsbyrået vite at en av webtjenestene de brukte hadde en sårbarhet. Til tross for at en patch ble tilgjengelig kort tid etterpå, ignorerte Equifax advarslene. Hackerne, derimot, var ikke sene om å handle. De brøt seg inn, skjulte seg godt og fikk jobbe i fred og ro i to måneder før Equifax oppdaget angrepet. Da var det for sent: Navn, fødselsdatoer, Social Security-numre og adresser til 147,9 millioner amerikanere var allerede hentet ut. I september gikk Equifax ut med nyheten, og da varte det ikke lenge før flere sentrale skikkelser i ledelsen måtte ta hatten sin og gå av. Etter en lengre rettssak ble Equifax dømt til å betale en oppreisning pålydende 380 millioner dollar, i tillegg til at de måtte investere 1 milliard dollar i å ruste opp sikkerheten.
«Lærepengen er at det ikke er nok bare å ha på plass noen sikkerhetskontroller og -produkter. Effektiv IT-sikkerhet krever en gjennomgripende adopsjon av best practice innen sikkerhet, på alle nivåer i organisasjonen.»
Mark Kedgley, CTO i New Net Technologies (NNT)
til Security Magazine (oversatt fra engelsk)
Les også: IT-sikkerheten du ikke kan kjøpe for penger
Sikkerhet er mer enn teknologi
Som eksempelet over illustrerer, er det alfa og omega å holde et våkent øye på alt som rører seg, og ikke minst definere tydelige roller når uønskede hendelser oppstår.
De fleste assosierer IT-sikkerhet med teknologi, og det er ikke så rart. Men, som vi har sagt før, er det fullt mulig å ha de ypperste sikkerhetsproduktene og likevel opptre på risikable måter. Bare se på bilbransjen for eksempel: Bilene kan være fullspekket med sikkerhetssystemer, men det er sjåføren som avgjør om alle kommer trygt frem.
IT-sikkerhet er en kontinuerlig prosess, der brukerne har ansvar for å handle hensiktsmessig innenfor rammene av leveransen. Som sluttkunde har du sikkerhetsansvaret for alle data du lagrer i skyen, uansett hvilken tjenestemodell det gjelder (SaaS, PaaS eller IaaS). Du må selv sørge for at kun de riktige menneskene får tilgang. Tjenesteleverandøren, på sin side, har ansvar for å drifte og vedlikeholde infrastrukturen.
For å dra bilanalogien enda litt videre: Blir det et hull i veien skal staten eller kommunen merke det, og utbedre feilen innen rimelig tid. Men du som kjører må alltid holde øynene på veien.
Dette temaet har vi belyst i et webinar hvor vi tar for oss mye av denne tematikken.
Her ser vi nærmere på hva du som kunde bør forvente å få av sikkerhetsinformasjon ved tjenesteutsetting, og hvilke spørsmål og krav man bør stille sin driftsleverandør. Her er det mye nyttig informasjon og innhold som vil gi inspirasjon til videre sikkerhetsarbeid i egen organisasjon.
Webinaret kan du se i opptak her.
