Atea Forklarer: IT-sikkerhet i skyen
Nettkriminelle herjer som aldri før. Et økende digitalt trusselbilde endrer kravene til hvordan vi håndterer sikkerhet i skyen.
Sjefskonsulent i Atea, Viggo Stomsvik, er ekspert på skysikkerhet. Han får regelmessige henvendelser fra små og store virksomheter som er rammet av alvorlige cyberangrep, men også fra de som ønsker bistand på hvordan beskytte seg best mulig.
– Det er dessverre flere norske bedrifter som mangler gode rutiner og systemer for å ivareta sikkerheten i skyen. Mange undervurderer risikoen for at trusler og angrep også kan ramme deres virksomhet. Få er klar over at det kun er et spørsmål om når det skjer og hvor hardt, sier Stomsvik.
Heldigvis finnes det gode løsninger og rammeverk som er vel utprøvd for å øke skysikkerheten i norske virksomheter.
Kjøper tjenester som tredjepart for å skade virksomheter
Utviklingen viser at organisasjoner er ekstra utsatt for cyberangrep. Sikkerhetsavdelingen i Atea mottok i 2021 fem ganger flere henvendelser kontra året før. Stomsvik forteller at det er mulig å kjøpe "angrep as a service", hvilket betyr at hvem som helst kan skade organisasjoner uten å være "datakriminelle". Men overordnet sett er det en økende andel tilfeldige mål som ikke kan avgrenses til hverken selskapsform eller bransje.
– Hvis du er en av dem som ikke har kontroll på egne data i skyen, er det på tide å ta grep. Å iverksette enkle tiltak er bedre enn å ikke gjøre noe. Første steg er å aktivere to-trinnskontroll, innføre rutiner for logging av data og implementere Zero Trust. Virksomheter bør ikke stole på forespørsler uten verifisering, uavhengig om forespørselen kommer fra innsiden eller utsiden av virksomheten. En måte å sørge for verifisering er med Zero Trust.
God sikkerhet handler om å ha flere lag med veisperringer
Manglende kontroll over nettverkskomponenter og applikasjoner kan resultere i alvorlige angrep som kryptering, lekkasje og utpressing. På toppen av dette risikerer virksomheter å bli saksøkt på grunn av brudd på personvernforordningen (GDPR) når personopplysninger kommer på avveie.
”God sikkerhet handler om å ha flere lag med veisperringer, slik at ikke viktig informasjon havner i feil hender.”
– Bruk av brannmur, oppdatert antivirus, offline backup, oppdeling av interne nettverk og patching av endeutstyr, er gode eksempler på slike veisperringer. Sikkerhet skal være med som en del av DNA-et når du bygger en løsning. Er du godt forberedt blir det en mykere landing, forteller Stomsvik.
Velg én sikkerhetspartner som håndterer alarmer og konfigurasjoner
– Jeg anbefaler ikke løsninger som krever leveranser fra flere ulike leverandører. Dette øker kompleksiteten samt man kan miste totalbildet over sammenhengen mellom alarmene. Min erfaring tilsier at det sikreste er å ha én plass for håndtering av alarmer og konfigurasjoner, understreker Stomsvik.
Å sørge for god sikkerhet er som en evig kamp mellom det gode og onde. Det er en dynamisk funksjon som krever oppfølging og vedlikehold, og det kan være fordelaktig å velge en døgnåpen sikkerhetspartner.
– Ringer alarmen på julaften eller nyttårsaften er du helt avhengig av en partner som er tilgjengelig og kan agere raskt. Selv om skyen er tuftet på automatisering, så vil det fortsatt kreve noe menneskelig presisjon for å se på unormale hendelser. Sikkerhetsselskapene har ressurser til å ligge rett bak eller foran angriperen, påpeker Stomsvik.
Søk råd hos IT-sikkerhetseksperter
– Når krisen inntreffer er det mulig å oppdatere eller bytte ut applikasjoner og tjenester fortløpende. På den måten kan man blokkere tilgangen og spredningen av angrepet, understreker Stomsvik.
Han oppfordrer flere til å stille spørsmål og søke råd hos de som er eksperter på IT-sikkerhet:
– Det er en ekstrem rask utvikling i skyen, og det krever mange hoder å følge med på utviklingen. I Atea har vi en dedikert avdeling som består av spesialister med høy IT-sikkerhetskompetanse. Det er dessverre stor mangel på slike miljøer inhouse, og det er utfordrende for en IT-avdeling med mange oppgaver å til enhver tid holde seg oppdatert på det digitale trusselbildet, sier Stomsvik.
For tredje gang innfrir Atea de strenge kvalitetskravene til Nasjonal sikkerhetsmyndighet (NSM) for håndtering av dataangrep på norsk infrastruktur.