Säkerhet i molnet

Tjänster och applikationer i molnet har blivit allt viktigare och är affärskritiska för de flesta organisationer – inte minst genom att de kraftigt effektiviserat arbetet genom att möjliggöra åtkomst till information och system från nästan var som helst.

Det är enklare än någonsin att dela data och resurser och samarbeta i molnet. På minuskontot hittar vi förstås att användningen av molnet tyvärr också gjort det lättare för angripare att rikta sina ansträngningar mot din organisation.

Fler åtkomstpunkter innebär helt enkelt fler platser att försöka göra intrång på. Till exempel visar en stor rapport från Verizon om dataintrång under första halvåret 2018 att 58 procent av alla attacker riktades mot små och medelstora företag. Dessvärre är det också just dessa företag som ofta har bristfälliga säkerhetsrutiner runt hanteringen av molntjänster – vilket kan öppna sårbarheter som bäddar för allvarliga dataintrång.

Några av de vanligaste säkerhetsriskerna i molnet är:

  • Stöld av känsliga data
  • Intrång i lösenordsskyddade system
  • Malwareinfektioner
  • Hackade gränssnitt
  • Permanent förlust av användardata
  • Missbruk av molntjänsterna
  • Insiderhot
  • Kapning av konton

 

 

Men, du får aldrig låta de potentiella hoten i molnet avskräcka dig. Vinsterna med att använda molnet är helt enkelt för stora. Och molnsäkerheten kan stärkas och effektiviseras om du vidtar några relativt enkla åtgärder. Här kommer några konkreta praktiska tips, som gör ditt liv i molnet mindre riskfyllt.

 

Försumma aldrig nätverket

När små och medelstora företag växer snabbt är ofta IT-säkerhet ett av de områden som inte skalas rätt eller inte uppgraderas för att de i stället fokuserar på just de inkomstgenererande delarna av tillväxten. Många företag som använder molntjänster har till exempel inte sett över sina brandväggar och nätverkssäkerhetslösningar för att på ett adekvat sätt bekämpa de nya hot som molntjänster och samarbetsverktyg i molnet innebär – och det gör dessa företag mycket sårbara. Nätverkssäkerhet är alltså en viktig del av pusslet.

Exempelvis har de flesta trådlösa routrar som är riktade mot konsumenter eller mindre företag och kontor inte rätt funktioner för att skydda eller optimera nätverkstrafik. Så om du använder molntjänster bör du också se till att även exempelvis införskaffa den nya generationens brandväggar. En modern brandvägg ska inte bara ge grundläggande säkerhet, som förebyggande skydd mot skadliga program och intrångsförsök, utan även kunna säkerställa kontinuitet i verksamheten med funktioner som bandbreddshantering och möjligheten att tillhandahålla failover-alternativ mellan internetanslutningar, så att alla verksamheter oavsett storlek, kan fortsätta vara online och produktiva även vid incidenter.

 

Använd starka lösenord och tvåfaktorsautentisering

Det här har du garanterat hört till leda – men ett bra lösenord är en av de första viktiga försvarsinsatserna för att förhindra ett dataintrång. Idag är starka och svårknäckta lösenord helt enkelt ett måste. Det är bara dumdristigt och ignorant att inte kräva att alla lösenord ska vara uppbyggda av åtminstone åtta tecken och en blandning av stora och små bokstäver, siffror och specialtecken.

Om dina leverantörer och molntjänsterna du använder erbjuder tvåfaktorsautentisering bör du aktivera detta (och tydligt informera alla användare om hur det fungerar och varför ni använder det). Etablera också en policy för byte av lösenord några gånger om året. Förbjud återanvändning av lösenord och använd vid behov en krypterad lösenordshanterare som håller reda på allting på ett säkert sätt (inga lappar på skrivbordet eller skärmen!).

 

Aktivera kryptering

Kryptering i molnet kan användas på olika sätt – och för dig med hårda krav på säkerhet är det ett måste. Antingen kan din leverantör erbjuda lokal kryptering av dina data – det vill säga att data krypteras när den lagrats i molnet. I vissa fall kan det även vara önskvärt att kryptera data medan den överförs till molnet – men den typen av kryptering kan dock öka tiden som krävs för att skicka och hämta data.

Det är förstås också möjligt att kryptera data lokalt innan den flyttas till molnet, men detta extra steg kan kräva direkt användarinteraktion. Om ditt företags data är extremt känsliga och konfidentiella kan du till och med överväga att ta på dig både bälten och livremmar och helt enkelt först kryptera data lokalt innan du flyttar den till ett krypterat moln.

 

Säkerhetskopiering – på riktigt

Bara för att du använder molnlagring eller andra typer av hostingtjänster, betyder inte det att dina data alltid är perfekt säkerhetskopierade. Därför är det nödvändigt att ha du säkerställer att du (och din leverantör) har bra backup-rutiner och system på plats. Men utöver ren backup och spegling av data till flera platser, för att möjliggöra att verksamheten rullar på vid incidenter, så bör du även överväga att behålla en lokal säkerhetskopia av åtminstone kritiska företagsdata.

Till exempel kan det ofta vara olämpligt att, om det inte är absolut nödvändigt, lagra information som lösenord, kreditkortsuppgifter i molnet. Ännu mer bör du utvärdera om du verkligen bör lagra känslig information som immateriell egendom som patent och upphovsrätt. Prata med din leverantör om vad som är den optimala lösningen för just din organisation.

 

Skapa en tydlig säkerhetspolicy för dina anställda och partners

Med tanke på att molntjänster till sin natur är relativt enkla att komma åt från nästan vilken plats som helst, måste strikta policys finnas på plats för att kontrollera när, hur och varifrån åtkomsten sker. Men, till och med den striktaste av åtkomstkontroller kan undergrävas av användare som försummar säkerheten på sina datorer och är inloggade på molntjänster samtidigt som de använder osäkra wifi-anslutningar ”ute på stan”.

Molnsäkerheten kan också lätt äventyras av en BYOD-policy (Bring Your Own Device) som inte implementerat en fullödig åtkomsthantering. Om du låter dina anställda använda mobila enheter för att få tillgång till molnresurser, måste du också i någon mån kunna styra dessa enheter för att försäkra dig om att de har rätt säkerhetsinställningar och snabbt kan låsas ute från åtkomst om de skulle tappas bort eller bli stulna. Eftersom applikationer för hantering av molntjänster finns i mobila versioner är det särskilt viktigt att alla enheter som har åtkomst till dessa applikationer är helt kontrollerade och hanterade av din IT-funktion. Att helt enkelt utbilda dina anställda är också alltid en essentiell pusselbit för att lyckas hålla ditt företags information säker.

 

Skaffa järnkoll på var dina data finns

I dagens teknikintensiva företagsmiljöer är data alltid ”i rörelse”. Därför är det viktigt att du skapar en så god överblick som möjligt över var och hur dina data lagras – inte minst känslig information som kunddata eller anställdas personuppgifter. Var finns dessa data. På lokala servrar? I molnet? Är den lagrad på enstaka datorer på kontoret? Går informationen att nå via mobila enheter? Är det fritt fram att kopiera eller skicka informationen vidare? Det här är bara några av frågorna du behöver svara på. Se också till att säkerhetsklassa dina data utifrån hur känsliga de är – det hjälper dig att fatta beslut kring huruvida de ska lagras i molnet och hur de bör skyddas.

Nästa steg är att se över var molnleverantören lagrar dina data rent geografiskt. I många fall kan du teckna ett avtal med ett företag i Sverige som använder sig av servrar i andra länder – i värsta fall till och med i andra världsdelar. Faran här ligger förstås i att data då kan komma omfattas av olika lagstiftningar. Till exempel omfattas data som lagras på svensk mark av svenska leverantörer enbart av svensk, och delvis EU-gemensam, lagstiftning – medan data som hanteras av en amerikansk molnleverantör omfattas av problematiska amerikanska lagstiftningar som till exempel Cloud Act, som ger amerikanska myndigheter rätt att begära ut data även från exempelvis svenska medborgare.

 

Kalkylera för det värsta tänkbara

Bara för att en server eller databas ligger i molnet behöver den inte vara mer säker än andra lösningar. Du bör därför göra en aktiv bedömning av molntjänsternas säkerhet på ungefär samma sätt som du gör på dina lokala resurser. Säkerhetsskanning, verktyg för sårbarhetsbedömning och penetrationstestning kan ge dig en högre grad av förtroende för ditt molnskydd eller påvisa problem som behöver åtgärdas.

I stället för att anta att alla filer är helt säkra i molnet, anlitar många företag som hanterar känsliga data certifierade så kallade ”etiska hackare” för att testa säkerheten. Dessa penetrationstester kan vara väldigt viktiga vägvisare – om det är möjligt att få obehörig åtkomst till dina data vid testning, är risken mer än överhängande att någon illasinnad aktör också kan få det.

Och slutligen, oavsett om du använder molntjänster, köper utrymme på dedikerade eller virtuella servrar eller har allt på dina egna servrar är informationssäkerheten i slutändan ditt huvudansvar. Ditt. Inte din leverantörs eller partners ansvar. Även om ditt webbhotell eller moln- och andra tjänsteleverantörer ofta är fantastiska partners i säkerhetsarbetet, är det upp till dig att utveckla en säkerhetsplan och se till att den implementeras korrekt, och att alla dina användare känner till den och gör allt som står i deras makt för att upprätthålla den.