Du kan sette ut IT-sikkerhet, men du kan ikke sette ut ansvaret for IT-sikkerheten. Skjer det noe, er det ditt ansvar, ikke leverandørens, sier Gartner-analytiker Carsten Casper. (Bilde: Gartner Pictures)

Sikkerhet som skytjeneste?

Feil ikke å se fordelene, men risikofritt er det ikke, sier Gartner-analytiker Carsten Casper.

(BARCELONA, Gartner Symposium ITxpo) Markedet for utsetting av sikkerhetstjenester kan anslås til 2,5 milliarder dollar i Europa, forteller Gartner-analytiker Carsten Casper. Han har spesialisert seg på IT-sikkerhet i bedriftsmiljøer, og holdt hovedinnledningen på Gartners toppmøte om IT-sikkerhet i våres. På symposiet i Barcelona er han opptatt av sikkerhet som skytjeneste, og ser på skyen som en naturlig videreføring av outsourcing.

6500 europeiske bedrifter tjenesteutsetter IT-sikkerhet for i snitt en halv million dollar hver. Virksomheten omfatter 35 000 brannmurer og 11 000 dedikerte apparater, går det fram av en undersøkelse som Gartner offentliggjorde 24. oktober, «MarketScope for Managed Security Services in Europe».

– På lang sikt kan mange, for ikke å si alle, sikkerhetstjenester leveres gjennom nettskyen. Overgangen skjer allerede, sier Casper.

Gartner fordeler hovedtypene av sikkerhetsutsetting på fem ulike tjenestekategorier. Den som i Europa i størst grad leveres fra nettskyen er hendelseshåndtering (SIEM, for «security information event management»), der tilbyderen velger nettskymodellen i 55 prosent av tilfellene. Så kommer e-postovervåking med 44 prosent, skanninger og logger med 35 prosent, brannmurer med 25 prosent og snokvern med 10 prosent.

Utover disse nevner Casper flere typer sikkerhetstjenester som i hvert fall til en viss grad kan leveres gjennom nettskyen:

  • DDoS-angrep håndteres, som kjent, best ved at tilbyderen tar på seg å filtrere bort angrepspakkene. Det er følgelig en naturlig tjeneste på tilbydersiden, kanskje med unntak av store og komplekse miljøer der tilbyderfiltrering bør suppleres av lokalt installert utstyr, gjerne styrt av tilbyderen.
  • ID som tjeneste (IDaaS, identity as a service) har ifølge Casper et åpenbart potensial i markedet.
  • Sikkerhetstesting av applikasjoner: Casper skiller mellom dynamisk og statisk testing. Dynamisk testing er forholdsvis enkelt å levere gjennom nettskyen. Gartner tror 70 prosent av alle tjenester for dynamisk sikkerhetstesting av applikasjoner vil leveres etter nettskymodellen innen 2016. Tilsvarende andel for statisk testing anslås til 40 prosent.
  • Kryptering av data som skal lagres i nettskyen, kan leveres som nettskytjeneste, selvfølgelig av en annen leverandør enn den som står for lagringen. Utfordringen her er nøkkelhåndtering.
  • Håndheving av sikkerhetsregler for bruk av nettskytjenester kan også leveres som tjeneste fra skyen. Gartner omtaler dem som «meklere for sikker skytilgang» («cloud access security brokers»). Et alternativ er å implementere dette gjennom dedikerte servere lokalt, enten fysiske eller virtuelle maskiner.

Hvordan vurdere risikoen ved å sette sikkerheten ut i skyen? Casper mener det avgjørende er vurderingene rundt selve det å sette ut sikkerhetstjenester. Om leverandøren velger å implementere tjenesten gjennom lokalt plassert utstyr eller gjennom nettskyen, er underordnet.

– Hovedpoenget er hvem som har ansvaret. Jeg vil understreke følgende: Du kan aldre sette ut ansvaret for informasjonssikkerheten. Hvis noe går galt, er det ikke tilbyderens feil, det er din feil. Det våre kunder opplever er at de kan få kompensert noe, men aldri mer enn det tjenesten koster dem over en periode på én måned.

Der tjenesteleverandøren tilbyr nettsky som alternativ til lokal implementering, mener Casper man må vurdere tre typer problemstillinger:

  • Har man full frihet til selv å definere sikkerhetsreglene, raskt implementere endringer og når som helst ta ut en oversikt over gjeldende sikkerhetsregler?
  • Dersom myndigheter eller partnere ber om det, kan man dokumentere at man har full kontroll over IT-infrastrukturen?
  • Loggdata kan inneholde følsomme personopplysninger: Kan man dokumentere overfor nasjonale personvernmyndigheter at disse håndteres i samsvar med lover og regler?

– Det er klart at sikkerhet gjennom nettskyen utsetter bedriften for risiko. Vi opplever at mange velger å avstå fra skybaserte sikkerhetstjenester heller enn å forholde seg til risikoen. Etter vår vurdering går de derved glipp av betydelige fordeler, sier Casper.

Det enkleste rådet Casper gir, er å velge en lokal leverandør. Da blir det blant annet lettere å dokumentere både infrastruktur og overholdelse av personvernregler. Gartner-kunder som har krevd større innsikt i leverandørers datasentraler, eller forlangt mer spesifikke garantier i tjenesteavtalen, har stort sett ikke lyktes.

– Lagrer du data hos en leverandør du ikke har full tillit til, har du et problem. Kryptering krever kontroll over krypteringsnøklene: Tredjepartstjenester finnes for å hjelpe med det. Alternativ kan man maskere følsomme data før de havner i nettskyen, noe det også finnes tjenester for.

For krypteringsnøkkeltjenester nevner Casper sveitsiske Totemo for e-post, Stealth Software i Luxemburg for Sharepoint og tyske TrustedSafe for ustrukturerte data. Maskineringstjenester er tilgjengelige gjennom for eksempel CipherCloud og Prevensys.

Å velge leverandør av IT-sikkerhetstjenester krever først og fremst at man definerer sine behov. Det gir ingen mening å kokettere med at man er utsatt for industrispionasje, kyberkriminalitet og kybervandalisme hvis man ikke er villig til å betale for ekstra vern.

– Erfaringene til våre kunder tyder på at det ikke finnes noen perfekt partner for IT-sikkerhetstjenester.

Casper trekker fram en knippe av uttalelser fra ulike større bedrifter som gjenspeiler alt fra usikkerhet til nærmest blind tillit til nettskyen, via holdninger preget av selvmotsigelser.

– En IT-sjef kunne fortelle at alt av IT-sikkerhet var lagt ut til en nettskyleverandør. Selv kunne han ikke beskrive hvilke tjenester det dreide seg om. En annen slo fast at infrastrukturen er for kompleks til å kunne sikres gjennom nettskyen, trass i at han nettopp hadde flyttet 20 000 brukere til nettskybasert e-post. En tredje kunne fortelle om en dårlig erfaring: Deres leverandør av IT-sikkerhetstjenester hadde igjen satt ut deler av kontrakten til en nettskyleverandør. Denne innførte en endring som tvang bedriften til å oppgradere 40 000 klienter.

Anbefalingene til Casper kan oppsummeres slik:

  • Nettskylevert sikkerhet må håndteres som all annen utsetting av sikkerhetstjenester: Det krever en risikovurdering.
  • Still krav til innsikt, revisjon og til kontraktsfestede garantier.
  • Velg nettskyen først og fremst for spesielle tjenester, som brannmur og sikring av e-post.
  • Velg kortere avtaletid enn tre år.
  • Det haster ikke: Du er ikke den eneste uten nettskybasert sikkerhet.
Til toppen