”Frankencloud” är vår största säkerhetsrisk
Hem Säkerhet ”Frankencloud” är vår största säkerhetsrisk

”Frankencloud” är vår största säkerhetsrisk

Publicerat av: Redaktionen

De senaste vittnesmålen i den amerikanska kongressen om de omfattande SolarWinds-attackerna blev ett uppvaknande för många.

Det jag såg födas ur vittnesmålen var en debatt om huruvida det offentliga molnet är ett säkrare alternativ än ett hybridmoln.

Debatten bör inte handla om vilken molnstrategi som är säkrast, utan snarare om vilken strategi vi behöver utforma säkerhet för. Vi – storbolagen inom IT-sektorn som erbjuder tjänster – borde konstruera säkerhet kring hur våra moderna system fungerar, snarare än att tvinga våra kunder att rusta upp gamla system och försöka täta luckor där det går.

Anledningen till att man ”sitter fast” i dessa gamla system är ofta på grund utav kopplingar till andra externa system och aktörer. Vår senaste Hybrid Cloud-rapport visar att  drygt 6 av 10 (63%) respondenter bland svenska företag uppger att de inte satsar på att utöka sin cybersäkerhet på grund av detta. Det är en skrämmande hög siffra. SolarWinds-attacken var framgångsrik då den utnyttjade leveranskedjan som var producerad av ett kluster av teknikleverantörer. Även om det finns grundläggande lärdomar kring hur man skyddar leverantörskedjor så tror jag att den största lärdomen är insikten om att komplexitet i sig är en säkerhetsfiende.

”Frankencloud” – modellen

IT-landskapet har utvecklats till det jag kallar ”Frankenstein”-modellen. Företag försökte utnyttja molnet, samtidigt som de ville behålla sina system utan att ändra något. I likhet med hur Frankenstein skapades, ledde detta till komplexa system med frånkopplade delar som sammanfogats igen.

Säkerhetsteam menar att denna komplexitet är en av deras största utmaningar då de tvingas förlita sig på ett flertal leverantörer och frånkopplade säkerhetsprodukter. Ett genomsnittligt säkerhetsteam använder mellan 25 till 49 verktyg från upp till 10 olika leverantörer. Detta skapar kryphål som vi inte längre kan ignorera. Säkerhetssystem ska inte bli ihopsatta liksom Frankenstein; en organisations säkerhet bör designas med en enda kontrollpunkt som kan ge en helhetsbild av hot och minska komplexiteten. 8 av 10 svenska företag uppger i vår Hybrid Cloud-studie att de håller med om att detta är extremt viktigt och att det nu är det dags att företag tar tag i detta på allvar. Vi vet att  säkerhetsaspekten är ett betydande hinder för att förbättra verksamhetens resultat, vilket 6 av 10 responderande företag också uppger i samma studie.

Hybrida molnlösningar

Vi ser hur hybrida molnmiljöer växer fram som den dominerande tekniska grunden för regeringar likväl som för privata och offentliga företag. En Forrester Research studie visade att hela 85 % av beslutsfattare inom tech är överens om att lokal infrastruktur är avgörande för deras hybrida molnstrategier.

Dessa kombinerar en del av företagens redan existerande system, med en mix av offentliga resurser och molntjänst resurser, men behandlar dem som en.

Hur gynnar då detta din säkerhet? I en frånkopplad miljö är det vanligaste sättet för cyberbrottslingar att kompromettera molnmiljöer genom molnbaserade applikationer, vilket representerar 45 % av molnrelaterade incidenter som analyserats av vårt IBM X-Force-team.

”Frankencloud” är vår största säkerhetsriskLåt oss exemplifiera med ett molnbaserat system som verifierar att någon är behörig att komma åt systemet. En inloggning från en anställds enhet upptäcks mitt i natten. Samtidigt kan det finnas ett försök från samma enhet i en annan tidszon, att komma åt känslig data från det lokala datacentret. Ett enhetligt säkerhetssystem vet vilka beteendemönster som är riskfyllda och kan därmed hindra handlingarna. Hade dessa incidenter istället blivit upptäckta i två separata system, hade motåtgärder aldrig initierats och känslig data hade gått förlorad.

Många av dessa problem uppstår som en följd av att data hanteras på ett felaktigt sätt genom molnlagring. De snabbast växande innovationerna för att åtgärda detta kryphål kallas Confidential Computing. De flesta molnleverantörer lovar att de inte har tillgång till din data. (De kan självklart tvingas bryta detta löfte genom ett domstolsbeslut eller på annat vis). Omvänt betyder det också att skadliga aktörer kan använda samma åtkomst för sina egna ändamål. Confidential Computing säkerställer att det är tekniskt omöjligt för molnleverantörer att komma åt data, vilket därmed även gör det lika svårt för cyberbrottslingar att få åtkomst.

Skapa en säkrare framtid

Molntjänster har orsakat kritiska innovationer, allt från fördelningen av arbetsbelastning, till snabbare produktutvecklingar och lanseringar. Samtidigt har det lyft vikten av att leverera IT med integritet.

Molnets behov av snabbhet har åsidosatt säkerhet och kontroll, vilket techbolag historiskt sett har garanterat sina kunder. Nu har dessa krav istället blivit någonting som kunden själv måste hantera och det är viktigt att man verkligen tar tag i det.

Jag uppmanar dig att sätta säkerheten i fokus och prioritera säkerhet i första hand i din molnstrategi. Det är också viktigt att välja en partner som du kan lita på så att din organisation ska kunna utvecklas på ett säkert sätt i framtiden.

Vi måste sluta lappa ihop säkerhet och integritet på det Frankenstein-sätt som alltför många företag och regeringar gör idag. SolarWinds lärde oss att det kan vara en svaghet att vara beroende av många olika tekniska system.

Lyckligtvis kan det också bli vår styrka om vi rätt från början, då har vi en säker framtid framför oss.

Ragdha Hussein, Sverigechef för IBM Hybrid Cloud & Automation Platform

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>