Slik fikser du teknisk gjeld og øker sikkerheten med SASE

Norske bedrifter står overfor en ny digital virkelighet der gamle sikkerhetsmodeller ikke lenger holder tritt med skybruk, fjernarbeid og avanserte AI-støttede cyberangrep.

– Den største sikkerhetsutfordringen vi ser nå, er identitetsbaserte angrep som utnytter svakheter i gamle, fragmenterte sikkerhetsløsninger. Secure Access Service Edge (SASE), som kombinerer sikkerhet og nettverkstjenester i én skybasert løsning, gir bedrifter en helhetlig måte å beskytte seg mot avanserte trusler samtidig som teknisk gjeld kuttes betydelig.

Det sier Jean-Paul Baaklini, administrerende direktør i Bluetree, med 20 års fartstid innen nettverks- og sikkerhetsteknologi.

Hva er teknisk gjeld, og hvordan fjerner SASE den?

Baaklini forklarer at teknisk gjeld oppstår når bedrifter fortsetter å bruke gamle IT-systemer og løsninger som over tid blir kostbare og ineffektive å vedlikeholde.

– Disse løsningene øker kompleksiteten og gjør bedriften mer sårbar for angrep og feil.

Han utdyper hvordan SASE konkret kan fjerne teknisk gjeld:

– I praksis frikobler SASE forbindelsen mellom brukere og applikasjoner fra den underliggende infrastrukturen. Denne separasjonen betyr at bedriften kan modernisere eller forenkle den underliggende infrastrukturen i sitt eget tempo, samtidig som produksjonstrafikken går via alternative ruter som allerede er sikret og overvåket. Teknisk gjeld fjernes dermed gradvis, uten risikoen og forstyrrelsene ved store, engangsoppgraderinger.

Når sikkerhetsmodellene sprekker – slik møter du den nye trusselen

Arbeidshverdagen i norske bedrifter har endret seg betydelig med ansatte som logger inn fra hjemmekontor, fabrikker, kafeer og på reise. Samtidig har skybaserte tjenester eksplodert, og norske virksomheter bruker nå i snitt over 110 SaaS-apper. Baaklini mener det stiller helt nye krav til IT-sikkerhet:

– Tradisjonelle løsninger som brannmurer og VPN klarer ikke lenger å følge med. Angrepene er mer avanserte, og svakhetene i fragmenterte løsninger blir stadig tydeligere.

Han understreker at SASE gir bedrifter ett felles inspeksjonspunkt for all trafikk, noe som gir bedre oversikt, enklere drift og raskere reaksjonsevne.

Tydelige tegn på at du trenger en SASE-løsning

Baaklini forteller at det finnes noen klare «røde flagg» som varsler at bedriften bør vurdere en SASE-basert sikkerhetsstrategi:

– Når IT og OT-nettverk deler ressurser uten klare skiller, kan skadevaren bevege seg fritt mellom systemer. Dette øker risikoen for kostbare driftsstanser, slår Baaklini fast, og utdyper:

– Dersom trafikken til skyapplikasjoner går direkte ut på internett uten kontroll, er bedriften utsatt for datatap og skygge-IT. Flere ulike identitetsløsninger med inkonsekvent bruk av flerfaktorautentisering (MFA) gir et lett bytte for angripere. Å ta grep tidlig kan forhindre alvorlige hendelser og redusere risikoen betraktelig.

Baaklini viser til konkrete erfaringer fra et stort norsk konsern med flere hundre lokasjoner i Skandinavia. Bedriften hadde høy teknisk gjeld og komplekse nettverksutfordringer som gikk ut over både sikkerhet og effektivitet.

– Med en SASE-implementering etablerte vi en sikker identitetsbasert mikrosegmentering. Vi kunne raskt fjerne flate VLAN-strukturer og erstatte disse med moderne sikkerhetsmekanismer. På bare ett år oppnådde vi både store økonomiske besparelser og en drastisk reduksjon av teknisk gjeld, forteller han.

Zero Trust sikrer OT-miljøer uten produksjonsstans

Produksjonsmiljøer er spesielt krevende å sikre, da kostnadene ved stans kan være enorme. Baaklini peker på at klassiske sikkerhetsløsninger ofte er upraktiske her, fordi de krever driftsstans:

– Med SASE og Zero Trust kan vi etablere mikrosegmentering der hver enhet beskyttes individuelt. Skulle skadevare oppdages, aktiveres en automatisk «ransomware kill switch» som isolerer den kompromitterte enheten umiddelbart, uten å stoppe produksjonen.

Vanlige misforståelser om SASE

Baaklini trekker frem noen vanlige misforståelser som kan gjøre at bedrifter nøler med å ta i bruk SASE:

• «SASE er et enkelt produkt som nettverksteamet kjøper.
  SASE er en ende-til-ende-arkitektur som går på tvers av flere siloer. Suksess krever at prosesser, eierskap og telemetri samkjøres på tvers av team.
• «Jeg trenger ikke SASE, vi har allerede SD-WAN/MPLS.»
  SD-WAN optimaliserer rutene; SASE sikrer og segmenterer hver rute fra ende til ende. Det ene er “rørleggerarbeid”, det andre er selve beskyttelsen.
• «Det vil sakke ned brukerne.»
  SASE-noder ligger ofte nærmere enn gamle VPN-knutepunkter, og stien klient → SASE → applikasjon er mer optimal enn trafikk som bakhales unødig.
• «Zero Trust betyr at man ikke stoler på ansatte.»
  Det betyr å verifisere hver forespørsel og samtidig forbedre brukeropplevelsen.

Fem praktiske steg for en vellykket SASE-implementering

Baaklini kommer også med fem konkrete anbefalinger for å lykkes med SASE:

• Definer klare mål og KPI-er, etabler en helhetlig målarkitektur.
• Bruk identitet som policyanker, ikke gamle IP-løsninger.
• Samle all trafikkinspeksjon i skyen for bedre oversikt og kontroll.
• Bruk SASE som overlegg først, og reduser teknisk gjeld gradvis.
• Se implementeringen som en kontinuerlig forbedringsprosess med jevnlig evaluering.

– En SASE-transformasjon berører flere avdelinger som historisk har jobbet i siloer. Her kan en leverandøruavhengig partner spille en avgjørende rolle for å sikre et smidig samarbeid og god gjennomføring, avslutter Baaklini.