Hur pass säkert är molnet?
Hur pass säkert är molnet?
År 2025 kommer 90% av alla organisationer som misslyckas med kontrollen av sitt molnanvändande att dela med sig av känslig information på ett olämpligt sätt, förutsäger Gartner. Här kommer vi att undersöka implikationerna av detta påstående, och hur ni inte blir en del av den statistiken.Förra året sågs ett par storslagna rubriker kring molnläckor, cloud breaches, cloud leaks eller cloud security failures. Den största händelsen var möjligtvis Capital One-läckan där en Server-Side Request Forgery attack (SSRF) kom åt känslig information såsom personnummer och kontonummer. New York Times rapporterade att persondata om över 100 miljoner människor hade läckts. Andra stora läckor inkluderar bland annat Instagrams partner Chtrxbox som exponerade en AWS (Amazon Web Services)-databas med 49 miljoner uppgifter, Autoclerk som läckte hundratusentals hotellbokningar och Facebooks partner Cultura Colectiva som höll 540 miljoner uppgifter om Facebook användare på en osäker AWS-server.
I skuggan av läckor och säkerhetsbrister som dessa är det inte konstigt att CIOs världen över ifrågasätter säkerheten på molnet. Det finns dock en gemensam nämnare hos alla dessa incidenter som vi som iakttagare kan dra lärdom av. Alla dessa läckor och säkerhetsbrister var en följd av bristande säkerhetsanpassning till molnmiljöer från användarens sida. Bland annat så för Capital One hade det kunnat förebyggas med bättre avvikelsedetektering. Facebook partnern Cultura Colectiva hade troligen inte hamnat i rampljuset om de gjort säkerhetskontroller av sin IaaS (Infrastructure-as-a-service)-miljö tillsammans med leverantören eller använt sig av tjänster såsom Azure Information Protection på korrekt sätt. En bra bas av säkerhet för all lagring av information är kryptering samt att inte spara informationen längre än nödvändigt.
Okej, men är molnet säkert?
Vi kan med rätt stor säkerhet dra slutsatsen att själva molnprotokollet är i grund och botten säkert. Faktum är att Gartner estimerar att 99% av alla molnläckor 2025 kommer ske till följd av misstag från kundens sida och inte på grund av säkerhetsbrister i molnet. Den förutsägelsen kan vi ju helt klart även finna stöd för hos ovan nämnda exempel som klart visar på att utmaningen inte finns i själva molnet utan i användarens policys och teknologier för säkerhet samt hantering av molnmiljön.
Vad kan då en orolig CIO göra åt saken?
Till att börja med så bör ni inte låta er oro ta överhanden och på så vis gå miste om de möjligheter och besparingar som molntjänster kan erbjuda. För det andra kan ni inte bara låta det bero, spela lotto och hoppas ni blir en del av de 10% vars brist på kontroll inte genererar några läckor eller andra säkerhetsmisslyckanden. När vi kommit över vår rädsla och skrider till handling så bör det första på agendan vara att företagsledningen utvecklar eller se över sin molnstrategi. Att ledningen kommer överens om en gemensam strategi är det första viktiga steget till att vägleda hur medarbetarna interagerar med molnet. Rätt vägledningen kan ge många olika fördelar utifrån flera perspektiv och inte bara säkerhetsmässigt. Om ni är intresserad av hur ni bygger en bra molnstrategi så rekommenderar vi Gartners artikel där de har tagit fram en 6 stegs plan som ni hittar här.
Häng med i loppet: Bli inte en del i statistiken
Slutledningsvis kan vi konstatera att molnet är i ett lopp av kontinuerlig förändring, och då finns också behovet av hantering av denna förändring. Som med allt inom IT så är det när hanteringen av förändring inte sker på rätt sätt som det kan gå illa, vilket skräckexemplen vi talade om i början är ett levande bevis på. Den som inte hänger med lämnas kvar i dammet. Eller #shifthappens som jag och mina kollegor på Infozone brukar säga.