Säkerheten funkar lite annorlunda i molnet

Säkerheten fungerar lite annorlunda i molnet.

2018-06-01

”Molnet är säkrast”

Det sker en stark strömning mot molntjänster, bort från egen drift. Men vilka konsekvenser får det för säkerheten?

– Säkerheten i molnet är bättre än den du har hemma. Allt sköts där – patchar, redundans, uppdateringar och så vidare, säger Ulf Berglund, ordförande för CSA Sweden, en ideell förening för att stärka molnsäkerhet.

Han har en bakgrund inom Militära underrättelse- och säkerhetstjänsten, är säkerhetsarkitekt på Länsförsäkringar och pratade nyligen vid Netnordic Cyber Security Day.

Data från Radar Ecosystem Specialists visar att det fortfarande finns ett visst motstånd mot molntjänster inom särskilt offentlig sektor. Speciellt kommunerna ligger efter. Det är mindre bra, eftersom de verksamheter som har hög molnmognad enligt Radar uppvisar lägre kostnader för att producera och leverera standardiserat IT-stöd än andra. Dessutom har de ett större innovationsbidrag än genomsnittet.

Säkerheten i molnet är bättre än den du har hemma, säger Ulf Berglund.

En rad händelser under det senaste året visar också att det finns risker med outsourcing och molntjänster, speciellt om upphandlingen inte sker på ett tillräckligt bra sätt och om man slarvar med sin informations- och säkerhetsklassning. Exempel är Transportstyrelsen och flera cyberintrång mot svenska verksamheter. Det finns incidenter kring hosting av servrar.

– Ibland behöver du veta vem du har som granne i serverhallen, säger Ulf Berglund.

Vid ett tillfälle för ett antal år sedan skedde en polisutredning som involverade servrar i ett telekomföretags datacenter. På samma serverrack som riskerade att tas i beslag fanns även servrar tillhörande tre Stockholmskommuner.

– Liknande exempel finns över hela Europa, säger Ulf Berglund.

Den stora trenden går ändå mot molntjänster, speciellt publika molntjänster. Enligt svenska IT-beslutsfattare kommer publika molntjänsters andel av deras totala IT-kostnader att tiodubblas de närmaste tre åren. Från 2,9 procent till 27-32 procent. Det visar Radars data.

46 procent av IT-beslutsfattarna bedömer att större delen av IT-portföljen på sikt kommer att utgöras av IT från de globala molntjänstefabrikerna. När det gäller dessa anser Ulf Berglund att det inte finns någon anledning att göra en fysisk inspektion.

– Vad ska vi in i Microsofts hallar och göra? Vi kommer inte ens in där. Vi kommer inte in i Amazon heller, det är bara att glömma. Men jag kan garantera att det ser bra ut. Vi måste kunna säga att det är good enough. Vi kan inte tillämpa ”security obscurity”, säger Ulf Berglund.

Anpassad nätverkssäkerhet

Den här artikeln är gjord i samarbete med nätverks- och kommunikationsföretaget Netnordic, som också tillhandahåller flera tjänster och lösningar för IT- och nätverkssäkerhet. Ett exempel är premiumtjänsten Office Protect.

När IT-beslutsfattarna ser en stor ökning av molntjänster kan det mycket väl vara i underkant. Många IT-ansvariga är ”serverkramare”, som gärna vill fortsätta med inarbetad teknik av stabilitetsskäl såväl som av gammal vana.

Radars insikter visar att det är verksamheten som i allt större grad driver på för digital innovation, vilket går att se genom att verksamhetsfinansierad IT växer snabbare än vad IT-budgeten gör. 2018 växer verksamhetsfinansierad IT med 4,4 procent, medan IT-budgeten i snitt växer med måttliga 1,6 procent.

Vad ska vi in i Microsofts hallar och göra? Vi kommer inte ens in där. Men jag kan garantera att det ser bra ut, säger Ulf Berglund

Dejan Stanic, konsult på snabbväxande amerikanska cybersäkerhetsleverrantören Palo Alto Networks, tar som exempel upp när högsta ledningen hos en kund ville flytta systemen från ”on prem” (lokalt installerat) till molnet, för att de fått uppfattningen att det är mer kostnadseffektivt.

– Kunden ville ha exakt samma säkerhet med molntjänsterna. Det är inga problem, säger han.

Palo Alto Networks analyserar information i sitt Threat Intelligence Cloud. För att kunna skala en lösning med brandväggar arbetar man med en kombination av statiska och dynamiska brandväggar, där de senare kopplas på bara vid behov och enbart kostar när de används.

– Det viktigaste för en bra säkerhet är att ha den på applikationsnivå. Du behöver kontrollera innehållet, säger Dejan Stanic.

När han jämför de stora molnleverantörerna anser han att Googles styrka är analys, medan Microsoft och Amazon – via Amazon Web Services, AWS – är speciellt starka på företagsmarknaden.

– AWS är klart bäst för utvecklare och bra på automation och särskilt inriktat mot startupföretag, säger Dejan Stanic.

De specifika områden som just nu växer mest på IT-marknaden är enligt Radars mätningar molntjänster och cybersäkerhet. Molntjänster växer med 14 procent 2018 och cybersäkerhet med 9 procent. De delar av cybersäkerhet som behandlar strategier, informationssäkerhet med mera växer allra mest.

Artikelförfattare
Sverker Brundin
Content Manager/Analyst
sverker.brundin@radareco.se
Mob +46 736 79 91 47

Radar är Nordens ledande leverantör av lokal faktabaserad insikt för alla aktörer i IT-branschens ekosystem. Radars insikt byggs upp genom tusentals strategi-, prioriterings- och nyckeltalsjämförelser som såväl IT-beslutfattare som leverantörer låter Radar genomföra och analysera varje år.