Hur är det med datasäkerhet i molnet?

De flesta svenska företag (99,9 procent) har enligt Tillväxtverket färre än 249 anställda och därför kategoriseras som små och medelstora företag. De brukar inte sitta på större datamängder, men det spelar ingen roll för cyberkriminella – de går efter alla. Små och medelstora företag behöver alltså skydda sin data lika mycket då den kan vara lika värdefull som data från ett stort företag.

Att små och medelstora företag inte har samma skydd som storföretagen är en svår utmaning. IT-resurserna är ofta knappa och det syns i företagens IT-säkerhet, vilket är oroande. Det kostar i snitt över en miljon kronor om ett företag får ett driftstopp efter en ransomware-attack. 31 procent av svenska företag har enligt Dattos undersökning förlorat data på grund av bristande backup. Om din verksamhet inte har en säkerhetskopia kan du inte med säkerhet få tillbaka värdefull data om verksamheten har blivit utsatt för ett dataintrång, och detta kan i hög grad påverka företagets finansiella resultat.

• Först och främst: Microsoft är inget IT-säkerhetsföretag och de ansvarar inte för dataskyddet. Dvs en flytt till molnet löser inte företagens IT-säkerhetsutmaningar och det betyder inte heller att företagsledare kan luta sig tillbaka och låta molnleverantören ansvara för IT-säkerheten.
• Molnleverantören ansvarar självklart för säkerheten i sin egen infrastruktur och ser till att företag kan komma åt sin data men det är företagen själva som ansvarar för backup om data exempelvis blir raderad eller förlorad
• Gör en intern utredning om du är osäker om ditt IT säkerhetsstatus: Data Security/Risk Asset Survey

• När du flyttar din data från serverrummet in i molnet, har du din data samlat och gjort mer tillgängligt.
• Det är viktigt att förstå ansvarsfördelningen när du flyttar din IT-miljö till molnet.
• Molnleverantörer som Microsoft, Amazon, IBM och Google erbjuder ofta stora fördelar kring säkerhet och efterlevnad. Fördelarna friskriver dig dock inte från att skydda din egna data, dina applikationer och tjänster.
• Säkerheten i molnet är ett delat ansvar mellan dig och molnleverantören.
• Det enklaste sättet att förklara detta på är att börja med en bild.

Som global teknikledare vet Microsoft att företaget är ett attraktivt mål för cyberbrottslingar och hackare. Om de kan utnyttja en svaghet kommer de att göra det. Att hålla kunderna säkra är en topprioritet för Microsoft, vilket är anledningen till att de investerar 1 miljard dollar varje år i säkerhet, vilket inkluderar skydd av Azure-infrastrukturen.

Här är några av de säkerhetsåtgärder som Microsoft vidtar för att skydda Azure-kunder:

1. Automatisk kryptering. Allt som skickas inom Azure-miljön krypteras automatiskt. Azure-nätverket har automatisk upptäckt för att förhindra DDoS-attacker (distributed denial-of-service), i likhet med några av de största tjänsterna på Internet, till exempel Xbox och Microsofts Office 365.
2. Andra skyddsåtgärder inkluderar automatiserad smart trafikövervakning och profilering. Det är lättare att upptäcka och avleda hot när systemen vet när något ser ovanligt ut, vilket minskar risken för eventuella hot som kan ha brutit mot externa säkerhetssystem.
3. Smart åtkomstkontroll. Förvaltningskonton (admin) körs över separata nätverk än de flesta teammedlemmar. Chefer kan också kontrollera och begränsa åtkomsten till en begränsad tidsperiod, enhet eller till och med ett specifikt dokument.
4. Microsoft gör stora ansträngningar för att skydda hårdvara och fast programvara, genom att ständigt granska och revidera koden och till och med skapa hårdvara som automatiskt kan upptäcka hot innan programvaran laddas och aktiveras. Om något skadligt upptäcks kan den pausa programvaruaktiviteten tills hotet har avlägsnats.
5. Azure är den första molnplattformen som stöder både mjuk- och hårdvarubaserade betrodda utförarmiljöer (TEE). TEE:s säkerställer att krypterade data - oavsett om de lagras, transporteras eller är inaktiva - är säkra från obehörig åtkomst och manipulering.
6. Driftssäkerhet är en allvarlig fråga. Microsoft har +3 500 cybersäkerhetsexperter anställda, varav 200 som ständigt letar efter svagheter. Alla som hittas tas med i de operativa säkerhetsförfaranden som Azure använder för att förbättra skyddet mot potentiella externa hot.
7. Du behöver inte ens oroa dig om du jobbar utanför din anläggning och behöver säker åtkomst. Med ExpressRoute kan du få tillgång till Azure via ett krypterat virtuellt privat nätverk (VPN), var du än befinner dig i världen.

Förutsatt att du alltid är förnuftig när det gäller användning och lagring av lösenord är Azure en av de säkraste arbetsmiljöerna som organisationer kan använda för programvara, datalagring och många andra användningsområden. Det kan faktiskt vara säkrare än din nuvarande lokala IT-infrastruktur...

Som företag behöver du ha en IT strategi – oavsett om du har dina IT-miljöer i molnet eller inte. IT-säkerhet kommer i många former och här följer några aspekter som gäller för alla IT-miljöer.

• Data resilience; är min data lagrad på sånt sätt att om den raderas av misstag, uppsåtligt eller på grund av hårdvarufel kan återskapas?
• Data availability; är min data tillgänglig när den behövs och klarar den sig mot möjliga attacker som till exempel överbelastningsattacker (DoS)?
• Data encryption; är min känsliga data skyddad med kryptering i vila och under transport?
• Access points; är min data bara tillgänglig via behöriga åtkomstkanaler?
• Access restrictions; är min data lagrad på ett sätt som enbart tillåter behörig personal att få tillgång till den?
• Intrusion detection and prevention; är tillgång till min data övervakad och kan jag upptäcka och skydda mot intrång?
• Vulnerability and malware protection; är min data skyddad mot möjlig sårbarhet i mjukvaran och mot exekvering av skadlig kod (virus, trojaner)?
• Insider protection; är min data skyddad mot brott från anställda, leverantörer och samarbetspartners?

Alla dessa punkter möjliggör datastöld och kan orsaka allvarlig skada för ditt företag.

Det grundläggande steget är att säkerställa att din data inte hamnar i orätta händer.

Nedan följer några aspekter som tål att upprepas.

• Datakryptering för känsliga data - De flesta molnleverantörer gör det möjligt att kryptera din data (och trafiken) med ett par knapptryck i ett användargränssnitt med minimal eller ingen prestandaförlust. Tänk på att du betalar för all resursanvändning. Kryptera därför bara det som behövs. Du vill ha en effektiv internmiljö. Molnleverantörer har normalt verktyg tillgängliga för att underlätta användandet av dessa teknologier.
• Åtkomstkontroll behöver appliceras på all data med säkerhetsgrupper för att ge åtkomst – till exempel ska du inte ge “Johan” administratörsprivilegier, utan lägg till “Johan” i administratörsgruppen. Ännu bättre, skapa ett specifikt adminkonto för Johan och tilldela gruppmedlemskap till de funktioner hans roll kräver. Ett tips är att ha en grupp för “Ingen tillgång” dit du snabbt kan flytta en användare om skadlig aktivitet detekterats internt. Den här processen kan också automatiseras.
• Säkra nätverket - Öppna inte fler portar än nödvändigt, stäng av onödiga tjänster, installera brandväggar och andra säkerhetsskydd för att förhindra obehörig trafik att passera dina molnbaserade applikationer. Utöver detta kan du segmentera nätverket för att isolera trafik. Många molnleverantörer erbjuder möjligheten att få detaljerad insikt i trafikflöden till och från dina applikationsservers och de innehåller dessutom kraftfulla nätverkssäkerhetsfunktioner som du får på köpet.
• Håll miljön uppdaterad - De senaste uppdateringarna täcker de näst senaste hoten. Nya sårbarheter upptäcks och offentliggörs hela tiden. Se till att din IT-miljö inte utsätts för attacker på grund av att den inte är uppdaterad. En självklarhet, men tyvärr en enkel rutin som inte alltid efterlevs. Installera antivirusprogram och antimalware på lämpliga system. Att hålla system och skydd uppdaterade är en viktig del av att driva en IT-miljö, oavsett om den är i molnet eller inte. Vanligtvis tillhandahåller molnleverantören verktyg som underlättar uppdateringar och hanteringen av tjänster i molnet genom ett centralt system till en mycket låg kostnad.
• Övervakning - En av säkerhetsaspekterna som ofta förbises är övervakning. Om monitorering är implementerat, är det inte sällan endast för drift och kontinuitet. De flesta molnleverantörer låter dig övervaka och skapa varningar vid onormalt beteende så att en administratör manuellt kan ta en närmare titt och/eller låta automatiserade åtgärder köras.

Som du kan se är IT-säkerhet i molntjänster ett mångfacetterat ämne.

Oavsett om du är för eller emot molnet, det är alltid lika viktigt att det finns riktlinjer som genomförs, efterlevs och att du tillämpar de saker du redan vet om säkerhet.

Molntjänster kommer med många fördelar och tillgängliga funktioner som hjälper dig att öka säkerheten med liten ansträngning och till ett mycket konkurrenskraftigt pris.

Med hjälp av en samarbetspartner som är expert på molnet, kan du förenkla din digitaliseringsresa.

Den rätta lösningen med rätt molnleverantör och rätt konsulter banar väg för framgång.