×
Annonse fra Story Labs for
SIKKERT: Data kan lagres sikkert i skyen, med tjenester fra Microsoft Azure.

Dataene er minst like sikre i skyen som på lokal server

Skyløsningene utvikles raskt, men enkelte lover henger etter.

  • Story Labs Dette er en annonse. Journalistene i Digi.no er ikke involvert i produksjonen.

Norske bedrifter er er verdensledende i å ta i bruk nettskyen: Økt fleksibilitet, innovasjon og reduksjon av kostnader forbundet med å ha eget IT-utstyr som servere er de viktigste grunnene til at bedrifter ønsker å benytte nettskyen.

Det ikke fullt så mange tenker over, er skyens mulighet til å bedre IT-sikkerheten i bedriften. I dagens digitale transformasjon har IT-sikkerhet blitt forretningskritisk. Ikke bare sikkerhet i tradisjonell forstand, men også forbundet med compliance, autentisering og mye mer.

– Vi tror at sikkerheten er bedre ivaretatt i skyen, enn hos for eksempel små kommuner og mindre statlige etater, sier Odd-Henrik Hansen, salgsdirektør i Tieto, inntil nylig kjent som Software Innovation. Han har levert løsninger til det offentlige i mange år, og kjenner landskapet for bruk av skyløsninger for offentlig og privat sektor.

Nå etterlyser han enda klarere regler for hvordan både offentlige og private aktører kan forholde seg til bruken av skytjenester, og øke gevinsten samtidig som regelverket overholdes.

Salgsdirektør Odd-Henrik Hansen og direktør for skytjenester Christian Rognes  etterlyser lovmessig oppfølging fra det offentlige til å supplere ambisjonene om skybaserte løsninger for både offentlige og privat sektor. Foto: Story Labs.
Salgsdirektør Odd-Henrik Hansen og direktør for skytjenester Christian Rognes  etterlyser lovmessig oppfølging fra det offentlige til å supplere ambisjonene om skybaserte løsninger for både offentlige og privat sektor. Foto: Story Labs.

– Vår tolkning er at KMD i utgangspunktet anser det som greit å lagre sak- og persondata i EU, mens data med klassifiseringen for nasjonal sikkerhet skal holdes i Norge, sier Hansen.

Nettskyen holder følge med jussen

Allikevel er det ikke like enkelt å forholde seg til disse reglene, som er spredt over tre lover og flere departementer.

Et fragmentert lovverk kan også bli en stor ulempe for norske IT-aktører som dermed blir hengende etter utenlandske selskaper der skyløsningene trekkes inn som en naturlig del av IT-innovasjonen.

I mellomtiden har Tieto laget sin egen løsning, der kunder med behov for lagring i Norge kan kjøre skyløsninger basert på Microsoft Cloud Platform i norske datasentere. Dermed kan dataene, med kundenes velsignelse, raskt kjøres ut i Microsoft Azure når det norske lovverket for arkivering oppdateres. For fordelene med skyen er mange, spesielt i offentlig sektor.

– Grunnen til at vi lager slike løsninger, er for å støtte opp om de digitale planer som blant annet Difi selv har laget. Når vi standardiserer slipper man å lage store prosjekter til hundrevis av millioner, man slipper å bruke kjernepersonell på prosjektene, de kan rulles ut raskere og medarbeidere kan fokusere på sine kjerneområder og slippe deltakelse i store IT-prosjekter.

Disse stegene tar bedriften trygt inn i skyen

  1. Gjennomfør en ROS-analyse og start kartleggingen av de svake og sterke punktene.
  2. Ha en databehandleravtale på plass, og sørg for revisjon av databehandleren.
  3. Sikre deg at behandlingen av dine data følger gjeldende regler for dataflyt mellom landegrenser, og at du kan velge geografisk plassering av dine data.
  4. Sørg for riktig nivå av kryptering, på all kommunikasjon til, hos og fra skyleverandøren.
  5. Dokumentér all implementering for revisjon og til egen bruk.

Kilde: Datatilsynet

Lær mer om hvordan hybrid sky løser behovet for geografisk bestemt lagring i Norge: Meld deg på webinaret som holdes denne fredagen.

Slik ivaretar If sikkerheten med nettsky

Dataskyer, som Microsoft Azure, er ISO-sertifiserte etter strenge standarder som setter krav til oppetid, adgangskontroll, revisjon og mye mer. Det er lenger enn de aller fleste norske bedrifter går når de skal sikre sitt eget IT-utstyr.

I en bransje der det er lang tradisjon for bruk av IT-utstyr, og regulering på sikkerhet og personvern, har forsikringsselskapet If markert seg som en tidlig anvender av skyløsninger.

– Det var jo noe skepsis internt, sier Kjell Rune Tveita, CIO i If. – Jeg sa til noen av dem: "Om du skulle lagre data hos en lokal nordisk aktør, er det noe sikrere enn et datasenter et eller annet sted hos Microsoft? Det er brannmurer hos Microsoft også. De har en merkevare å ta vare på." Da åpnet de seg.

Slik laget de rutine for skyløsningene

Kjell Rune Tveita, If Foto: Story Labs.
Kjell Rune Tveita, If Foto: Story Labs.

I forbindelse med overgangen til skybaserte løsninger, har If utviklet en helhetlig sikkerhetsprosess der alle ledd er nøye overveid - fra hvordan IT-arbeideren håndterer data og helt opp til oppfølging av nordiske myndigheters krav til behandling av bedriftens data.

– Vi har forsøkt å være godt forberedt, ikke bare å sette i gang uten en plan. På et tidlig stadium lot vi utviklerne våre prøve teknologien ved å legge lite sensitiv test og utvikling til skyen. Men, vi måtte få på plass ordentlige prosesser for ivaretakelsen av mer sikkerhetskrevende data. Vi lagde blant annet en rutine for skyløsninger og fikk godkjent prosessene våre i henhold til selskapets styringsmodell, forklarer Tveita.

For et multinasjonalt selskap som If, kommer det ekstra utfordringer med de ulike myndigheters varierende krav til hvordan data skal behandles. Det er likevel ikke gitt at valget av en mindre, lokal leverandør hadde gjort prosessen enklere.

– Vi er en nordisk virksomhet som har regler i forskjellige land. Da må vi tråkke riktig, sier Tveita.

Tveita utfordret organisasjonen til å utføre et tankeeksperiment: Hva var egentlig forskjellen på å ha dataene i en datahall et eller annet sted i Norden, kontra det å ha dataene på en server som står i Irland?

– Det tankeeksperimentet gjør at man kanskje ser dette som en helt vanlig datahall, men med en helt annen leveransefordel enn det man er vant til. I de aller fleste sammenhenger er nytten av å være del av noe stort og innovasjonen som ligger der, mye, mye større.

Et av systemene If i stor grad har flyttet over til skyen, er identitetshåndtering. Ved å opprette et sentralt system for innlogging og tilganger, skapes bedre oversikt over hvem som får adgang til de ulik data i bedriften. I overgangen til skybaserte innloggingssystemer, ble det også foretatt en kontroll over de ulike tilgangene og policyer som eksisterte i Ifs lokale Active Directory og utførte en liten rensejobb der. Samtidig tok If i bruk Azure aktivt for å lage innovative løsninger til forbedring av kundeopplevelsen, noe som fører til bedre innsikt og forutsetning for å ta vare på kundene deres.

– Det å gå til skyen må heller ikke bare være en kopijobb der man flytter løsninger til skyen slik de var på lokalt datasenter. Man må ofte bygge løsningen fra bunn for å ta høyde for skyens muligheter, ha raske leveranser og fokusere på kontinuerlig forbedring, utdyper Tveita.

Starter med enkel analyse

Hos Microsoft kjenner de igjen utfordringene som oppstår når bedrifter, små og store, skal ta steget ut i skyen.

Ole Tom Seierstad, Microsoft. Foto: Microsoft.
Ole Tom Seierstad, Microsoft. Foto: Microsoft.

– Det mange opplever når jeg møter dem, er at de ikke er i nærheten av være sikre i sine rutiner, sier Ole Tom Seierstad, som leder Microsofts sikkerhetssatsning i Norge. Han kjenner igjen noe av skepsisen som kundene kommer med, når de blir presentert for å ha dataene i skyløsninger.

Det mange ikke tenker på, er at kravene til håndtering av dataene er like uansett.

– Om du ser på hva Datatilsynet forlanger, er det akkurat det samme om en bedrift har dataene lokalt, altså on premises, eller i skyen. Ikke mange tenker over dette og får dermed en økt bevissthet på hva de skal gjøre med databeskyttelse, når vi presenterer løsninger som Microsoft Azure til dem.

Azure personverngodkjent av EU

Dermed blir skyløsningen en god måte å holde bedriften innenfor et strengt regelverk for datasikkerhet. I motsetning til drift og vedlikehold av et eget datasenter med egen maskinvare, blir også oppdateringen innenfor myndighetsregulering og compliance ivaretatt av Microsoft i Ifs tilfelle. Microsoft Azure var første internasjonale skybaserte plattform som ble godkjent for personvern av EU, og er også ISO27018-sertifisert. Det er standardiseringssnakk for "godkjent for personvern".

Et viktig poeng med overføring av data til skyen, er at den som eier selve informasjonen som legges ut i en sky er fremdeles ansvarlig for dataene, det ansvaret overføres ikke til den som drifter skyen.

– Mange tenker ikke over dette så veldig nøye før de er klare for å sende dem ut til skyen, sier Seierstad. – Men, det er en god trade-off, at skyleverandøren tar over mer av deres ansvar for driftsmiljøet. Det er sikrere enn det de fleste har i dag, og man får bedre interne rutiner og prosesser på kjøpet.

I tillegg kommer en sikrere måte å håndtere personvernshensynet, som faktisk er regulert av en egen ISO-standard.

- Personvern er flere ting. En av dem er saker som Snowden-saken, en annen er hva det offentlige regulerer. Vi bruker ikke de data som kunder legger ut i skyen til profilering, annonsering og slikt. Det er kundens data og vi har ikke tilgang til dem. Vi følger  en ISO-standard også for denne siden av personvernet.

Full ROS-analyse på en dag

SIKKERT: Data kan lagres sikkert i skyen, med tjenester fra Microsoft Azure.
SIKKERT: Data kan lagres sikkert i skyen, med tjenester fra Microsoft Azure.

For å kunne komme i gang med en analyse av hvilke data man egentlig har, og hvordan bedriften skal forholde seg til disse, anbefaler Seierstad å gjennomføre en ROS-analyse.

De fleste norske IT-ledere kjenner til ROS-analysen, en generell analyse av risiko og sårbarhet i bedriften. Langt færre utfører analysen med jevne mellomrom, selv om bransjen de jobber i endrer seg på nærmest månedlig basis.

– Om bedriften har gjennomført en ROS-analyse, så har de kommet langt på vei allerede.

Det behøver ikke være en langdryg affære, og gir en god oversikt over informasjonsmengden bedriften sitter på. – Vi har sett rammeverk for analyse som senker terskelen ned til kun en dag med workshop, og så kan du være i gang. Det viktige er at bedriften selv kommer i gang med å klassifisere dataene de sitter på, enten de skal ut i skyen eller sitte på en lokal server.

I gjennomgangen av dataene, får flere bedrifter øynene opp for hvordan skyløsninger som Microsoft Azure egentlig fungerer.

– Høyere murer er ikke nødvendigvis det som gjelder lenger, vi må se på informasjonsbeskyttelse, forklarer Seierstad. For å beskytte alle elementene i det som utgjør en bedrifts data, må du vite hvilken type data bedriften sitter med, hvor dataene befinner seg, hvem som har tilgang, hvordan er helsen på dataene, og mer.

Lær mer og prøv det selv gratis!

 

Bli med på webinar

Sikker bruk av skytjenester – norske lover og regler - tips og triks

Se webinar her

Webinar om sikkerhet

Sikker bruk av skytjenester – hvordan kan vi sikre bedriftens brukere og servertjenester?

Se webinar her

Ta nett-kurset

Begynnerkurs i Azure Security for IT-profesjonelle

Ta kurset nå!

Prøv Azure helt gratis!

Prøv en hybrid nettsky gratis i 30 dager, ingen forplikelser

Prøv gratis nå!

Kommentarer (0)

Kommentarer (0)
Til toppen