Det du måske ikke vidste om cloud-løsninger

I begyndelsen af 2021 interviewede jeg Mattias Almeflo og Liisa Holopainen om cloud-trusler og lovgivning relateret til cloud. Mattias er sikkerhedskonsulent hos Nixu og har erfaring med militær- og forsvarssikkerhed og sikkerhedsarkitektur. Liisa er ekspert i cyberlovgivning og privatliv. Begge er enige om, at du skal lave en trusselsmodel for din cloud og udføre en risikoanalyse for at gøre dit cloud-miljø mere sikker.

Revurder dine forretningsrisici

Mattias sammenlignede overgangen til cloud med at flytte fra et parcelhus til en boligblok. Man overfører nogle vedligeholdelsesforpligtelser til boligselskabet, men nu har andre også nøglen til hoveddøren. Desuden skal man leve efter de fælles regler. 

I cloud-verdenen er vedligeholdelsesadgang for dine applikationsudviklere og cloud-serviceudbyderens administratorer typisk mere åben end i den lokale verden. Tekniske foranstaltninger kan afbøde nogle af disse trusler, men man bør også overveje processer relateret til sikkerhed og privatlivet. At tænke på de tre aspekter af sikkerhed, fortrolighed, integritet og tilgængelighed hjælper dig med risikoanalyse.

• Fortrolighed: Hvilken slags data skal du behandle? Personlige data, klassificeret materiale, banebrydende endnu ikke offentliggjort forskning, virksomhedens fortrolige oplysninger, eller offentlige data? Hvad sker der, hvis nogle af de data bliver lækket? Ville nogen have gavn af det? Vil nogen komme til skade? Kan du spore, hvem der fik adgang til dine data? Afvej risiciene nøje, og overvej, om dataenes fortrolighedsniveau kan reduceres og adgangen begrænses. 
• Integritet: Kortlæg alle de personer og processer, der kan ændre dine data. Hvordan spores ændringer? Hvor opbevarer du master-dataene? Hvad sker der, hvis dataene ændres en smule eller slettes helt? Går din industrielle proces amok, får nogen en forkert medicinsk diagnose, eller er det en mindre irritation?
• Tilgængelighed: Hvor ofte har man brug for at få adgang til dataene eller systemet? Hver dag, en gang om ugen, i begyndelsen af hver måned? Hvordan kan du arbejde uden dataene? Findes der en løsning? Hvordan fungerer fejlregistrering og hændelsesreaktion med flere interessenter og opdelt ansvar?

Som en del af risikoanalysen er det vigtigt at overveje, hvem der ville være motiveret til at angribe jeres systemer, eller om konfigurationsfejl er mere sandsynlige. Nyheder om brud på datasikkerheden handler ofte om store virksomheder, der har meget at miste. Prøv at være realistisk med dine trusselscenarier.

Bedre tilgængelighed – normalt

Typisk går organisationer over til cloud for at opnå bedre oppetid og bedre skalerbarhed. Men det, der er værd at overveje, er risiciene, når man stoler på en andens tjenester. Hvilket serviceniveau har du brug for? Findes der alternativer? 

I begyndelsen af 2020 manglede mange organisationer instant messaging- og telekonferencekanaler, da Microsoft glemte at opdatere et godkendelsescertifikat til Teams på Office 365. Det tog næsten en hel arbejdsdag at løse problemet.

Selvfølgelig kunne et udløbet certifikat, fejlkonfiguration, eller teknisk fejl også ske i det on-premise miljø, men der ville i det mindste være mere kontrol over det. Situationer som disse er også sjældne, og typisk er der brugbare alternativer, såsom at foretage et telefonopkald, sende en e-mail eller mødes ansigt til ansigt. 

Især hvis der tænkes på omkostningerne og indsatsen ved at vedligeholde ens systemer, er clouden stadig den bedste løsning for mange organisationer. Men hvis din organisation eller dit arbejde kræver tidskritisk kommunikation eller dataoverførsel, er dette et sted til at afveje risiciene.

Intellektuel ejendomsret på spil

Nogle gange kan organisationer være optaget af at beskytte intellektuelle ejendomsrettigheder. Tag for eksempel Cloud-Hopper, en global cyberangrebs-kampagne tilskrevet den kinesiske regering, og hvis navn henviser til den teknik, hvormed gruppen fik fat i følsomme data. Cloud-Hopper-kampagnen påvirkede mindst et dusin administrerede tjenesteudbydere over hele verden. I slutningen af 2019, kom nyheden om, at omfanget af Cloud-Hopper angreb var meget større end tidligere antaget.

Angriberne, også kendt som APT10, trængte ind i cloud-udbydernes infrastruktur og hoppede derefter fra bruger til bruger ved anvendelse af tjenesteudbydernes legitime adgang til brugerdata. På denne måde var angriberne i stand til at stjæle, for eksempel, intellektuel ejendomsret  til virksomheder inden for medicinsk udstyr og elektronik, oplysninger om sikkerhedsgodkendelse, og andre virksomheds- og statshemmeligheder.

De første Cloud-Hopper angreb fandt sted i 2014, og gruppen menes stadig at være aktiv, selv om antallet af angreb er faldet i de seneste år. Dette og andre upstream-angreb minder os om, at det ikke er nok at beskytte og overvåge sine egne grænseflader og API'er. Tredjepartsadgang og -integrationer kan være adgangsvejen til dit netværk.

Kend din forsyningskæde

Liisa Holopainen nævnte vigtigheden af at forstå hele forsyningskæden. Det er almindeligt for serviceudbydere at bruge underleverandører til kundesupport eller drift, og forsyningskæden kan være ret lang. Ifølge Liisa er det måske ikke umiddelbart indlysende, hvem der håndterer dine data, og om alle parter befinder sig i EU-regionen.

Liisas råd til overgangen til cloud var allerførst at afklare dine krav til datasikkerhedsniveauer og håndtering, og derefter at afdække alle de parter, der håndterer dine data, og først derefter begynde at gå i dybden med detaljerne i aftalen.

“Selv om din tjenesteudbyder er bosiddende i EU, skal man vide, om de bruger underleverandører, og hvor disse befinder sig. Tjek også, at dine backupsteder er i samme region, eller hvis nogen fra et andet kontinent i nødstilfælde kan begynde at fejlfinde dine systemer og data.”, forklarede Liisa. 

Din branche, den type data, du håndterer, hvor du laver forretninger, og hvor tidskritisk kommunikation og adgang du har brug for: Alle disse påvirker dit trusselsbillede. De har indflydelse på dine sikkerhedskrav, og nogle gange også den cloud-tjenesteudbyder, du kan vælge. Du kan gøre din cloud sikker, men først skal du vide, hvad du beskytter, og hvilket risikoniveau, du kan håndtere.