ANNONSEBILAG FRA ORACLE
Skybaserte forretningssystemer og sikkerhet
Oracle utvikler rammeverk for å unngå brukerfeil av skytjenester.
Skytjenester blir i økende grad utsatt for ulike former for dataangrep. Selv om skyleverandørene tar sikkerhet på alvor, ser Oracle at mange av datainnbruddene skjer som følge av brukerfeil i konfigurasjonen av tjenestene. Nå ønsker selskapet økt bevissthet om ansvaret for sikkerhetsarkitektur i komplekse datamiljøer.
– De siste årene har vi sett fremveksten av automatiserte angrep og «ransomware-as-a-service» på det mørke nettet, men det er flere måter å angripe på. En tilnærming er at man lager et spesifisert angrep med «social engineering» og strukturerte og målrettede «phishing-angrep» mot en spesiell virksomhet, sier Inge Os, Cloud Security Expert og Master Principal Cloud Security Specialist i Oracle Norge.
Skreddersydde angrep
Slike angrep krever et volum av rekognosering for å bli kjent med virksomheten og ofte brukes offentlige kilder for å finne hvem som eksempelvis jobber med nettverksdrift.
– På den måten kan angriper skreddersy et angrep mot en større organisasjon. Dette krever at man investerer tid og ressurser, og er ofte en tilnærming som er iscenesatt av kriminelle eller av fremmede statlige organisasjoner. En annen form for angrep er store automatiserte angrep mot kjente nettsider hvor man skanner etter åpninger. Utfordringen med skyløsninger, som også Mørketallsundersøkelsen fra Næringslivets Sikkerhetsråd viser, er at mange blir utsatt for angrep fordi de ikke forstår hva det innebærer å bruke skytjenester. Mange glemmer at skytjenesten ikke ligger bak virksomhetens brannmurer. Som skyleverandør tar vi dette på høyeste alvor, sier Os.
Han forteller at sikkerhetshendelser i «Software-as-a-Service»-tjenester i hovedsak er en konsekvens av feilkonfigurering eller at passord og påloggingsinformasjon kommer på avveie.
– For å unngå brukerfeil har vi laget forskjellige former for rammeverk basert på internasjonale standarder, eksempelvis Center for Information Security og deres CIS Landing Zone. Rammeverket sørger for «best practice» for oppsett av skytjenester slik at man unngår brukerfeil. Vi tilbyr dette rammeverket gratis gjennom GitHub, sier han.
Les mer om CIS Foundations Benchmark for Oracle Cloud.
Delt ansvar for sikkerhet
Os får også støtte av Peter Høiland, salgsdirektør for forretningssystemer i Oracle. Høiland anbefaler alle virksomheter å være bevisst sitt eget ansvar, selv i skyen.
– Vi oppfordrer de som tenker å anskaffe seg skybaserte forretningssystemer å ta sikkerhetsspørsmålene tidlig i markedsdialogen. Alle skyleverandører har sine særegne måter å løse sikkerhet på, og det er ikke gitt at alle matcher eget sikkerhetsbehov.
– De fleste vellykkede angrepene skjer ikke som følge av dårlig sikkerhet i skytjenesten, selv om dette kan forekomme, men på grunn av at løsningene tillater brukerne å gjøre «feil» som åpner opp for angriperne. I tillegg til spørsmål omkring systemets sikkerhet er derfor «hva gjør systemet for å sikre sikker brukeratferd og konfigurering» et viktig spørsmål å stille når en går i en markedsdialog.
Utviklingen har ført til at skyleverandører automatiserer sikkerheten på sin side for å tvinge gjennom et system som er sikkert for kundene.
– Det innebærer eksempelvis at det ikke er fritt frem å sette åpne porter. Sikkerhet kan være veldig komplisert og vi ønsker å forenkle dette med sikkerhetsrammeverk og egne verktøy, sier Høiland.
Han peker på at skyleverandørene har kommet betydelig lengre enn leverandører av on-prem datasentre med lagring og nettverkskomponenter både virtuelt og fysisk.
– On-prem datasentre fører til en spredning av hvem som har kompetanse og ansvaret for sikkerheten. Fordelen med skyen er at alt er styrt av samme konsoll og script. Da blir det lettere å lage et homogent sikkerhetsrammeverk på toppen. Man får også tilgang på verktøy som skanner hele «stacken» fra lagring og dataprosessering til SaaS-applikasjoner for å se om du har gjort uheldig konfigurasjon av SaaS-tjenesten. Om du tar i bruk de automatisert sikkerhetstjenester vil du sannsynligvis ende opp med en mye sikrere løsning enn om du velger on-prem, sier Os.
Konsekvenser av krigen i Ukraina
Selv om sikkerheten i skyen er overlegen on-prem peker han på nye utfordringer som en konsekvens av den usikre sikkerhetspolitiske situasjonen.
– Om du ser på krigen i Ukraina er det mange europeiske virksomheter som har hatt driftssentre i atombombesikre haller nettopp der. Det hjelper lite i en krigssituasjon hvor nettforbindelser blir brutt. Fordelen med skytjenester er at du kan ha en forlenget arm inn i eget datasenter eller spredt geografisk til London, Frankfurt eller Stockholm. Man kan replikere data mellom «hybrid cloud» og «private cloud» som vi drifter i en av våre datasentre. Da får man sikkerheten i skyen i kombinasjon med geografisk spredning, noe som ruster deg bedre mot geopolitiske hendelser enn tradisjonelle datasentre.
Han har sett hvordan krigen har introdusert en ny dimensjon og skapt behov for geografisk spredning utenfor landet.
– Kunden kan kjøre våre skytjenester i eget datasenter og samtidig kjøre den identiske skyen på et annet geografisk sted. Den store forskjellen med eget hjemmesnekret datasenter og replikering til skyen er at du må konfigurere både datasenteret og skyen. Når du kjører skyen i eget datasenter, blir dette mye enklere å håndtere.
Os peker på ransomware-angrep som en av de største utfordringene for kundedrevne datasentre.
– Etter et angrep tenker mange på gjenoppretting av enkelte maskiner og data, men ikke av tjenesten. Det hjelper lite å kjøre gjenoppretting av en database om alle applikasjonene må omkonfigureres for å nå databasen. Med en skytjeneste får du en homogen måte å konfigurere på, og da blir det enkelt å lage et parallelt miljø. Siden du har scriptet hvordan miljøet er satt opp er det lett å replisere miljøet et annet sted, sier han.
Må tenke helhetlig på sikkerhet
Det er helt grunnleggende at konfigurering på kundesiden også foregår i rammene til innebygd personvern, men dette tones ofte ned i anbudsforespørsler. Kundene må bli flinkere til å etterspørre hvordan vi kan hjelpe dem med deres ansvar for innebygd personvern.
GPDR gjelder datasenter som er geografisk spredt innen EU, England og EØS. England er en godkjent tredjestat i GDPR og man kan trygt bruke et datasenter i England uten at det skaper utfordringer for GDPR. Det er allikevel mange hensyn å ta ved geografisk spredning av skytjenester.
– Man kan spre skytjenester over hele Europa, men i det du sprer deg ut av EØS får du utfordringer i forhold til Schrems II. Dette gjør det viktig å kunne lagre data innenfor EU og å tenke helhetlig på personvern og sikkerhet. Personopplysningsloven, som vi forholder oss til, bruker begrepet innebygd personvern. Både kunde og leverandør av skytjenester har et ansvar for innebygd personvern, og vår oppgave som skyleverandør er tilrettelegge for atc kunden kan ivareta sitt ansvar for innebygd personvern.
Han brenner for personvern, og ønsker en økt vektlegging av helhetlig sikkerhet i anbudsforespørsler.
– Vi skal åpent og transparent fortelle hva vi gjør med innebygd personvern. Vi hjelper kunden med risikovurdering og ivaretar innebygd personvern i applikasjonen de velger å utplassere. Det er helt grunnleggende at konfigurering på kundesiden også foregår i rammene til innebygd personvern, men dette tones ofte ned i anbudsforespørsler. Kundene må bli flinkere til å etterspørre hvordan vi kan hjelpe dem med deres ansvar for innebygd personvern. Mørketallsundersøkelsen viser at det ofte er der det svikter, avslutter Os.
Ta kontakt med Inge Os eller Peter Høiland for mer informasjon om hvordan Oracle kan hjelpe deg med sikkerhet i skyen.
Les mer om CIS Foundations Benchmark for Oracle Cloud.
