Search

Publika molntjänstleverantören eller det egna företaget: vem är ansvarig för säkerheten?

Publika molntjänstleverantören eller det egna företaget: -Om ett dataintrång skulle inträffa, vem är då ansvarig för säkerheten, molntjänstleverantören eller kundföretaget?

Molnets attraktionskraft

83% av företagens arbetsdata finns i molnet, enligt en studie utförd av LogicMonitor. Av dessa 83% är:

  • 41% lagrade på publika plattformar,
  • 20% i en privat infrastruktur,
  • 22% i ett hybrid moln-miljö.

Flera faktorer kan förklara varför det publika molnet är populärt. Molntjänstleverantörer (CSP) är baserade på att man betalar och blir fakturerad per användning (pay-per-use). Molntjänstleverantörer ger tillgång till olika datatjänster och applikationer (t ex Office 365) och i utbyte faktureras kunden enbart baserat på deras faktiska konsumtion av resurserna som krävs för deras verksamhet.

Dessa modeller ger stor flexibilitet, skalbarhet, hög tillgänglighet och i fler fall drastiska kostnadsminskningar: verkliga fördelar för varje företag. De drar nytta av dator- och utvecklingskraften som är svår att matcha globalt: deras applikationer och data kan nås från hela världen. Som exempel är Microsoft Azure tillgängligt i 142 länder.

Emellertid, då inget system är ofelbart, är molnet (oavsett om det är publikt, privat eller en hybrid) en riskfaktor, och dataläckor kan inträffa. Säkerheten kring infrastruktur, data och access är därför fortfarande av största vikt. Frågan som ställs är dock vem i företaget, eller deras molntjänstleverantör, bör ta ansvar för detta?

Publika molntjänstleverantören: Vem är ansvarig för säkerheten?

Säkerhetstjänsterna hos molntjänstleverantören kan skilja sig åt beroende på vilken servicenivå som har valts. Oavsett om tjänsten är en IaaS, Paas, eller Saas (Infrastruktur/Plattform/Programvara som tjänst) är det väsentligt att veta att ansvaret för säkerheten är alltid delat mellan molntjänstleverantören och deras kund.

Framför allt är kunden fortsatt ansvarig för att säkra sin data, att konfigurera sin molnmiljö, och måste ha kontroll över sina resurser och tillgångar.

Fokus på: GDPR

Inom dataskyddsförordningen (GDPR), är det allmänt accepterat att molntjänstleverantörer är juridiskt kvalificerade som underbiträde och lyder under de åtaganden och ansvar för att skydda persondata som uppkommer med denna roll, precis som vilket annan underbiträde som helst.

Emellertid måste den juridiska kvalificeringen avgöras från fall till fall beroende på den inblandade aktören, oavsett om det är en molntjänstleverantör eller någon annan. Som det har uttryckts i den föregående paragrafen är det, även vid en incident, alltid kunden som förblir ansvarig för data som han är värd för i ett publikt moln.

Moln: Vilka är riskerna för företag?

De vanligaste attackmetoderna

Identitetsstöld: hackare, som genom t ex phishing, kan överta accessen från en molnanvändare. Härifrån blir det enkelt för dem att kontrollera resurser i molninfrastrukturen och därmed komma över data.

Malware (skadlig programvara): är kapabelt att skada och förstöra ett informationssystem men även att stjäla, ändra eller radera data.

SQL-injektioner: ger attackerar möjligheten att rikta in sig på direkt utvalda databaser och stjäla filerna och informationen som är lagrad i dem.

DDoS-attacker: dessa attacker har ett uppenbart mål: att göra tjänsten helt otillgänglig. När en molntjänst påverkas av en DDoS-attack kan infrastrukturen kompensera genom att nyttja mer resurser, och därigenom generera överfakturering för kunden. Det finns DDoS-skyddsmekanismer som har satts upp av molntjänstleverantörer och som begränsar denna typ av attacker, men fininställning av resurshanteringen är nödvändigt för att undvika överkonsumtion.

Systemets sårbarheter: För att undvika övertagande av system och resurser, är det nödvändigt att förlita sig på dess intrångsdetektering och lösningar för sårbarhetshantering.

Avancerade beständiga hot (APT): Dessa precisionsinriktade långvariga cyberattacker låter den som attackerar infiltrera ett nätverk oupptäckt, och därigenom skada data och infrastruktur som de är inriktade mot.

Det bör noteras att molntjänstleverantörer erbjuder tjänster – vanligtvis som ett tillval – för att skydda mot den här typen av attacker, men det är viktigt att känna till att de måste kompletteras med tredjepartsmekanismer för att bäst skydda mot hotet.

De vanligaste felen

Otillräcklig riskanalys: När företag definierar nya strategier eller nya tjänster, är det nödvändigt att utvärdera tekniken som används i molnet, analysera riskerna det förknippas med, samt ha en lämplig plan och checklista för att säkerställa att dessa tjänster inte är exponerade för attacker.

Ej säkrade API:er: En av de kritiska delarna kring säkerheten för molntjänster hittas ofta i programmeringsgränssnitten (API:er) till de tjänster som erbjuds, för att skapa integrerade applikationer. Dessa API:er är bland de mest differentierade elementen som tillhandahålls av leverantörer, och de måste utformas för att undvika alla försök att kringgå säkerheten.

Missbruk och skadliga molntjänster: Dålig kontroll över molnanvändning och resursanvändning kan snabbt bli mycket dyrt. Kostnadsstyrning och regelbunden övervakning samt etablering av en ekonomisk policy för molnanvändning är nödvändigt.

Otillräckligt nätverksskydd: Ett företag som väljer det publika molnet måste ta i beaktande att det förblir ansvarigt för att hantera och allokera tillgången. För att göra det kan det förlita sig på skyddsmekanismer som brandväggar, nätverkssegmentering och applikationsbrandväggar (WAF), vilket beskrivs senare i denna artikel.

Fokus på: efterlevnad

Även om molntjänstleverantörerna gör anspråk på att följa alla föreskrifter som finns, är det fortsatt kunden som har kontroll över datat och måste regelbundet säkerställa att dess infrastruktur och tjänster är korrekt konfigurerade för att möta aktuella krav och lagar de måste efterleva. Molntjänstleverantörer erbjuder övervakningstjänster – som t ex poängsättning på efterlevnad – men det är upp till kunden att implementera de åtgärder som bedöms nödvändiga: kunden förblir den enda ansvariga som kan säkerställa efterlevnad.

Publika molntjänstleverantören: hur skyddar du dig bäst?

Säkra hela din virtuella nätverksstruktur, dess routing, och gör det rätta valet av lagringstjänster.

Ett företag som bestämmer sig för att flytta över till det publika molnet måste bygga upp (enligt den valda nivån för tjänster) hela sitt nätverk och applikationsinfrastruktur, system och lagring i ett molnet. En noggrant utförd implementering skyddar dock inte helt mot risken för cyberattacker. I tillägg till säkerheten som erbjuds av molntjänstleverantören, finns fler lösningar.

Om brandväggar fortfarande är nödvändiga för att säkra infrastruktur, kommer de att förstärkas av användningen av tredjeparts NextGen-brandväggslösningar och WAF. Som deras namn indikerar, är webbapplikationsbrandväggar (WAF) brandväggar för webbapplikationer. De säkerställer att webbservrar inte påverkas av en attack genom att analysera användarförfrågningar och applikationssvar. WAF skyddar alltså webbapplikationer och tjänster som har publicerats i moln.

Hantera accesser och identiteter

”71,5 % av överträdelserna som riktar sig mot Amazons webbtjänster (…) rör felaktigheter i identitets- och accesshantering” skrev Silicon.fr i 2018[2]. Om syftet inte är att rikta sig specifikt mot Amazon – kan alla molntjänstleverantörer erfara samma problem – vilket visar på den problematiska accesskontrollen i molnet.

De anställdas medvetenhet förblir viktigt för att säkerställa en säker åtkomstpolicy till molnet. Dessutom måste accesshantering, främst efter att anställda har slutat, vara ett prioriterat område för företagen: enligt Intermedia har anställda på 89 % av företagen, efter att de har slutat, fortfarande tillgång till företagets IT-resurser[3}.

Molntjänstleverantörer erbjuder funktioner för accesshantering via Active Directory [4] och integrerar kryptering. Dessa lösningar möjliggör autentisering, auktorisering SSO (single sig-on), MFA (multi-factor autentisering) för att säkra tillgång till resurser och data. Emellertid visar erfarenheten att det är bättre att komplettera med tredjepartsprogramvara.

Skydda din data

DLP: Skydd mot dataläckage (DLP) gör att filer kan märkas och klassificeras i en nivå av konfidentialitet. Ju mer känslig datan är, desto mer begränsad ät tillgången, enligt en skala som bestäms av varje företag.

CASB: Säkerhetsmäklare för tillgång till molnapplikationer (CASB) analyserar dataflöden och skannar dokument inom ett moln. De gör det möjligt att använda befintlig säkerhetspolicyn även i molnet genom att kontrollera access och aktiviteter.

CWP: Verktyg för skydd av molnets processer (CWP) gör kontroller för att undvika felaktiga konfigurationer av molninfrastruktur, inklusive datalagringsplatser. De tillhandahåller en översikt över åtgärderna som har vidtagits av varje administratör.

Observera att CASB och CWP även kan upptäcka skadlig programvara.

Angående flera molnmiljöer

Alla de risker som har nämnts i denna artikel förökar sig i de fall man använder sig av flera olika molnmiljöer. Hanteringen av inställningar, tillgång, resurser, säkerhet, efterlevnad m a p föreskrifter och budgetar gör allt mycket mer komplicerat.

Då varje molnmiljö har sina egna tekniska- och konfigurationsspecifikationer, ger diversifieringen av molntjänstleverantörer (Amazon Web Services, Microsoft Azure, Google Cloud Storage…) en komplexitet för organisationen, ledningen, styrningen och synligheten hos tjänsterna. Att lägga till en tredje part för att på så vis få ett övergripande lager, kan visa sig vara av yttersta vikt.

Trots molnets alla förtjänster förblir säkerheten mycket viktig. Eftersom kunder alltid är ansvariga för sin data, är implementeringen av hanterings- och säkerhetspolicyer nödvändig för att följa standarden för varje företags säkerhetspolicy (och de föreskrifter som gäller). Oavsett hur mogen den är i säkerhetsfrågor, bör en organisation inte tveka att söka stöd hos specialister.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.