– Sikkerhet i skyen kommer ikke av seg selv

Når bedrifter flytter over til skyen, er det gjerne snakk om mange forskjellige tjenester. Da er det ekstra viktig å sørge for god sikkerhet – på tvers av disse, ifølge sikkerhetsambassadør Jan-Petter Torgersrud i Telenor.

– Under pandemien har det gått opp for mange ledere at man ikke lenger er avhengig av fysisk kontakt til hverken ansatte eller datasystemer for at ting skal fungere. Eller at det i noen tilfeller kan gå bedre enn noen gang, sier Jan-Petter Torgersrud, sikkerhetsambassadør i Telenor.

I kjølvannet av denne rekordraske digitaliseringen har mange virksomheter fått hastverk med å flytte systemer og data opp i skyen. Da kan det ifølge Torgersrud tidvis gå litt forfort i svingene for enkelte:

– Bedriftene ser behovet for digitalisering, og hiver seg uti. Skal data flyte, så må slusene åpnes – men ofte skjer dette før virksomheten har sett grundig på hva dette faktisk innebærer når det kommer til sikkerhet.

– Mange tror at bare man flytter bedriftens data «over i skyen», så er man trygg. Andre stikker kanskje hodet i sanden, eller innser rett og slett ikke at de er et mål for cyberkriminelle.

Da blir det raskt vanskelig å ha sikkerheten på stell, påpeker Torgersrud:

– Dessverre ser vi også altfor ofte at mange ikke skjønner dette før krisen er et faktum, og så må de kaste seg rundt for å redusere skadeomfanget etter et angrep.

Lær mer om skytjenester – og god sikkerhet:

Veiviser

Skytjenester

Din guide til å komme i gang med skytjenester: få en moderne og effektiv IT-plattform som hele tiden fornyer seg og åpner for nye muligheter!

605 Moduler0% Fullført

Veiviser

Digital sikkerhet

Cyberkriminalitet er et problem som påvirker alle nivåer i en bedrift. Det er et felles ansvar – og det starter med deg. Denne veiviseren passer for deg som trenger en innføring i cybersikkerhet.

605 Moduler0% Fullført

Hvor skal du egentlig starte?

Ifølge Torgersrud er det ekstra viktig for virksomhetene som står på springbrettet å ta tak i denne situasjonen, og sørge for at de er godt nok sikret før de «tar steget» over i skyen … eller om de allerede er godt i gang:

– Etter å ha vært ute og snakket med mange kunder de siste årene, ser jeg at nesten alle allerede har flere skyleveranser – som lever litt uavhengig av hverandre. Ofte møter man på Azure, men så har du raskt også Salesforce, IFS, ServiceNow … kanskje så mange som ti forskjellige skytjenester. Og så skal du begynne å tenke sikkerhet oppi alt det her – da ender du raskt opp med så mange hatter at du ikke kan være sikker på at du er sikret nok.

Det gjelder ifølge Torgersrud å tilrettelegge sikkerhetsmekanismer i alle leveranseformene, slik at du får god nok innsikt til å håndtere sikkerheten generelt – på tvers av alle tjenestene.

– Men å ha innsikt og innsyn i Google Cloud eller Azure, er helt egne vitenskaper. Allerede her tror jeg mange føler seg litt overveldet. De vet ikke hvor de skal henvende seg, eller hvor de skal begynne, sier han.

Etterspørselen etter ekspertise og veiledning på dette feltet er økende, erfarer Torgersrud. Telenor har et av Norges fremste sikkerhetsmiljøer, og jobber ikke bare for å sikre sine egne systemer og infrastruktur, men også sine kunders. De får mange henvendelser fra virksomheter som leter etter svar på hvordan de skal gå frem for å sikre seg på tvers av tjenester.

– Da kan vi ta en dialog, og finne ut hvordan man best bør gå fram for å ivareta god sikkerhet – og hvor mye ressurser man bør bruke på det, sier Torgersrud.

Må monitorere systemene

Å jobbe med sikkerhet på tvers av flere systemer er kompetanse Telenor har tilegnet seg gjennom mange års arbeid på feltet, forteller Torgersrud.

– Telenor har forretningsenheter verden rundt, og vi har erfart hvordan man må jobbe for å tilrettelegge for sikkerhet på tvers av mange forskjellige systemer og over forskjellige lokasjoner, sier han og fortsetter:

– Når vi også forvalter nettverket som betjener 80 prosent av all datatrafikk i Norge, er vi rett og slett nødt til å ha en sikkerhetsarkitektur det går an å forsvare. For å kunne jobbe med det du har, må du også vite hva som foregår – og det krever at du har evne og mulighet til å monitorere systemene dine.

Slik helhetlig sikkerhetsovervåking er ifølge Torgersrud helt nødvendig for å få tilstrekkelig oversikt over hva som faktisk er på ferde på tvers av forskjellige nettverkselementer og -applikasjoner.

– Har du en rekke systemer som produserer masse alarmer, men det ikke er noen som faktisk følger med på disse, da er du like langt.

– Ser man et gult flagg i ett system, og et gult flagg i et annet system, så trenger man god nok kunnskap og teknologi til å kunne forstå at de til sammen utgjør et solid, rødt flagg. Da kan alarmen gå, og vi ser at noen må ha hjelp – ofte i god tid før skaden faktisk har skjedd.

Fire områder du må ha kontroll på:

Ifølge Øystein Berg, sikkerhetsarkitekt i Telenor, er det spesielt på fire områder det er ekstra viktig å ha god kontroll når virksomheter i økende grad skal jobbe opp mot skyen:

Øystein Berg, sikkerhetsarkitekt i Telenor

1. Arkitektur og design

– Det må lages et godt design for hvordan skyløsningen skal bygges opp og sikres, på lik linje med hvordan det gjøres med lokale datasentre. Ofte glemmes det at et slikt nettverksdesign må ta høyde for god segmentering og perimetersikring, der det etableres gode skiller mellom forskjellige tjenester og solide sikkerhetskontroller.

2. God synlighet

– Det er viktig å etablere synlighet i hva som skjer både i infrastruktur og eventuelle tjenester kjøpt av skyleverandører. Her har man samme behov for sikkerhetsmonitorering og håndtering som ved drift av egne datasentre.

3. Relevant og oppdatert kunnskap

– Sikkerhetsmedarbeiderne må ha kompetanse på oppsett og sikkerhetsfunksjoner i sky. Leveransene fra de store skyleverandørene endrer seg fra uke til uke, med ny funksjonalitet som slippes ukentlig. Da er det viktig at noen har kompetanse og kan anbefale eventuelle endringer.

4. Kontroll på data

– Det gjelder å ha full kontroll på både data og datastrømmer, med en plan for hvem som har forskjellige tilganger, samt hvor krypteringsnøkler lagres. Med et softwaredefinert nettverk kan man lettere styre tilganger basert på roller og behov. Vi anbefaler også at du har kontroll på egne nøkler for «data in rest» – altså data som langtidslagres.

Alt starter med en god sikkerhetskultur

Å flytte eksisterende IT-systemer over til skyen, kan spesielt for større selskaper være en omfattende prosess – selv med god forankring helt til topps i organisasjonen. Da er det ifølge Jan-Petter Torgersrud viktig at ledelsen også forstår verdien av god sikkerhet i prosessen.

– Men dette krever at de faktisk forstår at bedriften er et mål, og at det eksisterer en sikkerhetskultur som gjør det mulig å sikre virksomhetene mot angrepsforsøkene som garantert vil komme.

Virksomhetens modenhet reflekteres i hva du får lov til å investere i sikkerhet, forteller han.

– De som følger med i timen og forstår hva manglende sikkerhet faktisk kan koste, skjønner også hvorfor dette er noe man faktisk må investere litt i. Ofte ser jeg at den sikkerhetsansvarlige i en bedrift har lite ansvar, og gjerne er underordnet IT-avdelingen. Det forteller meg at de ikke tar sikkerheten på alvor – og at de ikke har forstått hvor stor risiko de tar, sier Torgersrud.

Han peker også på hvordan «urovekkende mange» tenker om egen data at det er informasjon som ikke er så viktig for andre.

– Men stadig flere skjønner heldigvis nå at jo, de er faktisk et mål – fordi mange norske bedrifter må samhandle i en lang verdikjede. Om trusselaktørene ikke direkte er ute etter dine data, kan en tilgang til dine systemer og tilliten du har til dine samarbeidspartnere utnyttes indirekte som et ledd i å ramme dem.

– Men med alle de nye mulighetene, vil det garantert også følge mange nye utfordringer – og da gjelder det å være forberedt.

Jan-Petter Torgersrud, sikkerhetsambassadør i Telenor

Har vi bare sett begynnelsen?

Ifølge Torgersrud er dagens digitaliseringsrush bare en forsmak på hva de neste årene vil by på, spesielt når 5G for alvor gjør seg gjeldende for norske virksomheter.

– Vi forventer en enorm vekst i tilgjengeliggjøringen av data de neste årene, spesielt med fremveksten av 5G. I tråd med Industri 4.0-utviklingen vil også mange med operasjonelle nettverk (OT-nett) begynne å snuse på skytjenester – og da snakker vi om systemer som egentlig har vært helt frakoblet internett, og gjerne ligger tiår bak på sikkerhet, sier Torgersrud.

Bedre infrastruktur og økt datakraft i skyen vil påvirke en lang rekke forretningsområder og virksomheter, og potensielt skape mange nye inntektsstrømmer for norsk næringsliv, mener han:

– Men med alle de nye mulighetene, vil det garantert også følge mange nye utfordringer – og da gjelder det å være forberedt. Legger du et solid grunnarbeid i dag, er du bedre skodd for fremtiden. Og da spiller Telenor mer enn gjerne på lag med deg, når også vi i årene fremover vil flytte sikkerhetsfunksjonene våre til et helt nytt nivå.

Lær mer om skytjenester – og god sikkerhet:

Veiviser

Skytjenester

Din guide til å komme i gang med skytjenester: få en moderne og effektiv IT-plattform som hele tiden fornyer seg og åpner for nye muligheter!

605 Moduler0% Fullført

Veiviser

Digital sikkerhet

Cyberkriminalitet er et problem som påvirker alle nivåer i en bedrift. Det er et felles ansvar – og det starter med deg. Denne veiviseren passer for deg som trenger en innføring i cybersikkerhet.

605 Moduler0% Fullført