Jeg legger det bare i skyen, for der ligger det jo trygt? Vel, svaret er ofte ja, men ikke nødvendigvis alltid.
Skylagring har blitt normen heller enn unntakene de siste årene. Og det er det en god grunn til: i skyen er dataene dine sikre, og samtidig lett tilgjengelige når du trenger dem. Men er de eksterne serverne så sikre som du tror? Som med det meste annet innen datasikkerhet, er ikke sikkerheten garantert – og bør aldri tas for gitt.
Det finnes utallige leverandører av skylagringstjenester, og de aller fleste av dem er seriøse, dyktige aktører. Men at en tjeneste er gjennomtenkt og profesjonell betyr ikke nødvendigvis at den er sikker for akkurat deg.
Vi har identifisert tre potensielle risikomomenter ved bruk av skylagring:
- Du bruker tjenestens standardinnstillinger (hvordan er skyen satt opp?)
- Du har for dårlig tilgangskontroll (hvem har tilgang til skyen?)
- Skyen din er for myk og tilgjengelig (hvor lett slipper uautoriserte inn?)
1. Ingen virksomheter er like, så hvorfor kjøre «by default»?
De fleste tjenester du kjøper leveres nødvendigvis med et standardoppsett. Dette gjør at du kommer raskt i gang, men bør alltid ses på som et utgangspunkt for forbedring og tilpasning til akkurat ditt bruk. Du er selv ansvarlig for sikkerheten til egne data og informasjon, og bør forsikre deg om at disse oppbevares trygt i skyen.
Terskelen for å ta i bruk skylagring skal være lav, og derfor må standardoppsettet også være enkelt. Det er mange aktører som kjemper om markedsandelene, og en komplisert setup full av sikkerhetsfunksjoner ville derfor ikke vært noen særlig god forretningsmodell, rett og slett fordi det ville vært for vanskelig å komme i gang. Konklusjonen? Jo enklere setup, jo mer kreves det av deg som sluttbruker!
Svært mange benytter for eksempel Office 365, men hvor mange kjenner til Compliance-funksjonen i Office 365? Denne er ment for at du skal kunne sjekke nettopp ditt oppsett av SaaS løsningen, og eventuelt gjøre egne tilpasninger. Compliance-funksjonen består av 280 kontrollpunkter som du til syvende og sist har ansvar for. En god begynnelse kan være å sjekke om oppsettet ditt er satt opp korrekt til din løsning og ditt bruk.
2. Har du kontroll på brukerne dine?
Jo flere dører du har til skyen din, jo flere potensielle bakdører har du også. Noen av dørene har universalnøkkel for alle ansatte, mens andre kun er tilgjengelige for administratorer med spesialnøkkel. Og her begynner moroa: Systemeier, forretningseier, super administrator, administrator, moderator… Henger du fortsatt med? Tilgangskontroller er krevende, og det kreves også en god del av den enkelte bruker. Slurves det her, kan inngangsdøren stå på gløtt.
Hvem har eierskap til tilgangskontroll i virksomheten din? Gode rutiner på sletting av brukere og oppdaterte tilganger er avgjørende. Et annet aspekt er kompetansen på brukerne dine. Har de nok kunnskap til å forvalte skylagringen din på en sikker måte? Vi ser at stadig flere virksomheter tilbyr interne kurs i datasikkerhet og 365-løsninger. Det gleder oss.
Med sikker tilgangskontroll ivaretatt fra innsiden, blir tjenesten umiddelbart langt sikrere.
Last ned guiden «Slik sikrer du deg i skyen» som blant annet tar for seg fjorten tips til sikker tilgangskontroll.
3. Er skyen din «hard» nok?
Der produsenter kommer med løsninger som skal være enkle å ta i bruk, uten at sikkerheten er på høyeste plan, vil eksempelvis CIS benchmarks kunne hjelpe deg å få sikkerheten på plass. Dette gjelder også for skyen, og kan være et meget smart sted å starte ferden mot en sikker sky.
CIS benchmarks er som et rammeverk for god praksis på oppsett på din løsning, enten den er på PC, server, Windows, Linux, Office 365, Azure, AWS, GCP, etc.
Om du kjører din Windows server konfigurasjon gjennom disse verktøyene, får du kanskje en score på 35%. Det kan være manglende logging, manglende host firewall eller manglende regler for rettigheter.
Slik er det også i skyen. Skyløsninger leveres gjerne uten en del funksjoner aktivert, selv elementære sikkerhetsfunksjoner som Multifaktorautentisering (MFA). Hviler du på laurbærene her, kan du nesten garantere at skyen din utsettes for angrep.
Konklusjon: Sky er bra
Hvis du sitter igjen med en følelse av at skylagring ikke er bra etter å ha lest så langt, er vi de første til å beklage. La oss få på det rene at vi tror på, bruker og anbefaler skylagring! Det vi derimot brenner enda mer for, er å ha et aktivt forhold til å tillate trygg trafikk, og utestenge uønsket trafikk – også i skyen. Husk at du ikke kan slå av skyen ved å dra ut stikkontakten, da infrastrukturen ikke er din egen. Gjør deg kjent med din løsnings standardinnstillinger, utforsk potensialet for egne sikkerhetstiltak og sørg for god tilgangskontroll med kompetente brukere.
Skal det hentes ut informasjon fra skyen slår vi et slag for lokale byger, ikke ukontrollert hagl med udefinert nedslagsområde.
Ønsker du å snakke med oss om skysikkerhet, er det bare å ta kontakt.
