Sikkerhed i skyen
Poul Erik Overgaard
Senior Security Consultant
Selvom virksomheder kan effektivisere forretningsprocesser ved at køre tjenester i skyen eller ved at lægge dele af eller hele infrastrukturen i skyen, er det også forbundet med en række nye udfordringer, som relaterer sig til it-sikkerhed.
Det er blandt andet meget udbredt, at cyberkriminelle tiltusker sig adgang til virksomhedens ellers godt beskyttede netværk via phishing mails i Office365, som narrer brugeren til at udlevere sit brugernavn og adgangskode – eller endda finansielle oplysninger.
En cyberkriminel kan for eksempel udgive sig for at være den administrerende direktør og bede en medarbejder om at overføre penge til sin egen konto. Fænomenet hedder CEO-fraud og adskillelige cyberkriminelle er sluppet godt afsted med at udføre det med meget store beløb som uberettigede gevinster.
Mange virksomheder kæmper med at overføre deres ofte gode it-sikkerhedsmodel til skyen
For uanset om der er tale om SaaS, offentlig IaaS eller privat IaaS er et sikkerhedsbrist hos leverandøren ensbetydende med et sikkerhedsbrist hos den virksomhed, som har lagt sine data i leverandørens cloud.
Derudover åbner de evigt nye cloud-tjenester op for nye muligheder for skygge-it blandt medarbejderne. Dermed bliver håndhævelse af it-sikkerhedspolitikker relevant igen, for medarbejdernes brug af skygge-it kan resultere i, at virksomheden får tjenester ind i netværket, som ikke er sikret optimalt – og på den måde sætter man sine værdifulde informationer over styr.
Når man opererer med tjenester som Dropbox, Office 365 eller Slack, er det nødvendigt at sætte sin it-sikkerhed op, så den beskytter virksomheden mod ukendte trusler og phishing mails. Man skal blokere for adgang til ukendte brugere og kompromitterede enheder og beskytter data ved blandt andet at blokere for deling af sensitive data og ved at identificere og kontrollere skygge-it.
Når man lægger sin infrastruktur i skyen – uanset om man har lagt den i en public eller private cloud – handler det om at finde en it-sikkerhedsløsning, som følger de gode takter, som en Next Generation firewall og sandboxing kan tilbyde. Med disse avancerede løsninger, sørger man for, at data ikke falder i de forkerte hænder, selvom skyen giver adgang til virksomhedens forretningshemmeligheder, persondata, immaterielle rettigheder eller andre sensitive informationer.