Hem KRÖNIKA Svenska företagsmoln måste täppas till

Svenska företagsmoln måste täppas till

Publicerat av: Redaktionen

[KRÖNIKA] På Trend Micro arbetar vi med att inte bara skydda våra kunders data utan också med att hjälpa företag att dra nytta av fördelarna med en väl uppbyggd molninfrastruktur.

Svenska företagsmoln måste täppas till 2

Johny Krogsboll, Nordic Technical Director på Trend Micro

Ibland stöter vi dock på patrull.

Detta de gånger då vi inser att våra kunder inte har förstått vems ansvaret för cybersäkerheten är. För lika glada och snabba som svenska företag är på att migrera sin data till molnet, lika frågande är de då de inser att det inte är leverantören av molnplattformen som ska skydda deras data, utan att det faktiskt är upp till dem själva att göra det. Frågan att ställa sig då är – hur?

Att jobba i molnet är något gott
Fördelarna med molnet är många, och en undersökning som vi på Trend Micro nyligen gjort, där vi med YouGov intervjuat svenska IT-beslutsfattare, visar att 48 procent av svenska företag säger att de har genomfört, är mitt uppe i eller inom ett år ska påbörja en molnmigrering.

Denna trend kommer högst sannolikt inte att vända nedåt inom en överskådlig framtid, framförallt inte sett till dagens starkt ökande distansarbetande. Möjligheterna med molnet är fantastiska. Tack vare molnet har företag fått verktyg att kunna arbeta på nya sätt, det har förenklat samarbetet mellan olika avdelningar och team på företagen, ökat effektiviteten, sänkt kostnader och även resulterat i en ökad kundnöjdhet.

Så vad är problemet? Jo, lika pigga och snabba som företag är på att arbeta i molnet, lika ovetande är de ofta kring vilken säkerhet som krävs för att skydda företagets molndata. Var femte svenskt företag i vår undersökning tror att hanteringen av sårbarheter på deras molnplattform är applikationsägarnas ansvar att följa upp. Detta kan drabba ett företag hårt, för det betyder att företagen inte skyddar sin data, eftersom de tror att ansvaret ligger på någon annans axlar – vilket det faktiskt inte gör. Detta kan, i kombination med att många företag numera satsar på DevOps, resultera i att hackare kan ta sig in i företagen via molnplattformar som inte är tillräckligt skyddade. 47 procent av de svenska företagen i vår undersökning vet inte om DevOps utgör en säkerhetsrisk eller inte, vilket indikerar att kunskapsnivån om DevOps hos svenska IT-beslutsfattare fortfarande är förhållandevis låg. Även detta behöver hanteras. För ju mer ett företag ökar sina molnbaserade aktiviteter, desto oftare försöker cyberbrottslingar utnyttja de sårbara konfigurationer som ofta uppstår i samband med en utvecklad DevOps-kultur.

Ett delat ansvar
Leverantörerna av molnplattformar är de som gör det möjligt för företag att molnbasera sina aktiviteter, och dessa är sannerligen hjältarna i den ökande svenska molninfrastrukturen. Men deras ansvar över säkerheten för den data de lagrar är som sagt begränsad. Det första steget till säkra molnmiljöer är därför att arbeta utifrån premissen att det är ett delat ansvar. Ansvaret ligger hos dig, hos leverantören av din molnplattform, samt hos leverantören av din cybersäkerhet.
Börja med att bena ut vem som bär säkerhetsansvaret över de olika komponenterna i din IT-infrastruktur: ditt datacenter, din infrastruktur som tjänst (IaaS), din plattform som tjänst (PaaS) och din mjukvara som tjänst (SaaS). Bara för att du lägger ut din data till olika typer av molntjänster så betyder det nämligen inte att du därmed lägger över säkerhetsansvaret i någon annans händer helt och hållet. Använder du exempelvis IaaS så är du själv fortfarande ansvarig för säkerheten för operativsystem, applikationer och data. Och använder du PaaS och en containertjänst så är det också du, och inte plattformsleverantören som är ansvarig för säkerheten i och kring containern.

För att se över ansvarsuppdelningen måste man börja med att ta ett helhetsgrepp på den verksamhetskritiska data som företaget hanterar och se vart denna data rör sig. Att skydda servrarna och även alla serverlösa applikationer som bär på företagets data är så klart grundläggande, men är alla företagets datorer, surfplattor och smarttelefoner som kommer åt företagsnätverket skyddade? Också då anställda arbetar hemifrån eller kopplar upp sig mot oskyddade och/eller öppna wifi-nätverk? Och har ni begränsat dataåtkomsten, eller kommer alla på företaget åt verksamhetskritisk data? Att begränsa åtkomsten till viss data genom att endast ge behörighet till vissa och inte alla anställda, är ett enkelt sätt att kontrollera och minska risken av spridning av företagets mest känsliga information.

En säkrad utvecklingskultur
Att nyttja fördelarna med molnplattformar och de möjligheter de ger till verksamhetsutveckling och agilitet är något många företag vill göra, men vi behöver samtidigt se till att innovationen på företagen sker på ett säkert sätt. Se därför till att bygga in säkerheten i DevOps-processen från första början. Ett sätt är att använda sig av säkerhetsverktyg som gör att du enkelt kan identifiera felaktiga konfigurationer i dina molnmiljöer. Ett exempel är Trend Micros Cloud One – Conformity. Först när du har rätt verktyg på plats för att skydda din molnmiljö kan du känna dig trygg med den utveckling och innovation som sker på öppna molnplattformar, och förhindra att hackare utnyttjar de felaktiga konfigurationer som kan uppstå vid DevOps.

Du är aldrig starkare än din svagaste länk
Möjligheterna med molnplattformar är oändliga, och idag nyttjar allt fler företag dessa möjligheter – om inte annat för att vi idag, med tanke på rådande omständigheter, helt enkelt måste förlita oss på våra molntjänster för att kunna utföra våra jobb på distans. Men då måste vi först hitta den svagaste länken i kedjan, och täppa till den. För sanningen är den att inget företags säkerhet är starkare än dess svagaste länk. Och oavsett om denna svaga länk är en felaktigt utförd konfiguration, eller en lucka på företagets molnplattform som uppstått i tron om att ansvaret ligger hos någon annan, så behöver den stärkas och hålet täppas igen. För om det är något de senaste uppmärksammade hackerattackerna i Sverige har lärt oss, är det att endast de företag som verkligen har kontroll över sin data och har identifierat samtliga svaga länkar i företagsnätverket kan nyttja fördelarna med molnplattformar – utan att behöva riskera vare sig sin egen eller kundernas cybersäkerhet.

Johny Krogsboll, Nordic Technical Director på Trend Micro

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>