Har du kontroll på virksomhetens data?


Uansett om du lagrer data i egne datasentre eller hos en skyleverandør, så er det dine data og du er til syvende og sist ansvarlig for hvordan disse sikres og kan gjenbrukes.


Uansett om du lagrer data i egne datasentre eller hos en skyleverandør, så er det dine data og du er til syvende og sist ansvarlig for hvordan disse sikres og kan gjenbrukes.

Data er nøkkelordet for denne artikkelen, og jeg ønsker å sette fokus på virksomhetens forhold til sine data. Det er lett å bli forvirret over alle ulike definisjoner og betydninger, så jeg vil prøve å holde det kort. 

Data er det materielle eller fysiske grunnlaget for å tilføre mennesker informasjon. Data er dermed det materielle grunnlaget for å overføre informasjon og kunnskap mellom mennesker ved kommunikasjon. Data kan registreres, lagres, behandles og flyttes av menneskeskapte innretninger som kalles datasystemer. 

Digitaliseringsdirektoratet har laget en fin oversikt over ulike roller man kan ha i en virksomhet når det kommer til oppgavene innenfor informasjonssikkerhetsarbeidet. Oppsummert er styret og toppleder ansvarlig, men vil i de aller fleste tilfellene ha delegert ansvar nedover I organisasjonen. 

De fleste virksomheter benytter til daglig et høyt antall ulike informasjonssystemer. Typiske informasjonssystemer som vi kan forholde oss til er: 

  • E-post/chat/samarbeidssystemer 
  • Fil/dokument/arkiv 
  • Økonomi 
  • ERP 
  • CRM 
  • Journal 

Dersom et informasjonssystem blir gjort utilgjengelig så vil jeg påstå at skadeomfanget kan sees på med en logaritmisk formel. Det har gjerne ingen eller små konsekvenser dersom intervallet er kort, men vil gradvis øke eksponentielt med tiden. Hvor raskt konsekvensen øker er avhengig av kritikaliteten til systemet. 

Hvem har egentlig ansvaret?

Er det noen forskjell fra om data ligger lagret i virksomhetens egne datasentre, eller om data ligger lagret i en sky eller kanskje som en del av en betalt tjeneste?  

Virksomheter som har data i egne datasentre, vil fullt ut selv være ansvarlig for å sikre og ta vare på disse dataene. 

Dersom virksomheten leier tjenester som IaaS, PaaS eller SaaS fra en leverandør, er det kanskje mer uklart i forhold til ansvar ved tjenesteutfall, tap av data og et eventuelt erstatningsansvar. 

Det finnes mange ulike avtaleverk og det er ikke unormalt at en leverandør beskriver at de er ansvarlig for å sikre data med f. eks redundans på infrastruktur så som lagringsmedium, men at de utover det tar mange forbehold i forhold til ansvar. En annen faktor er gjerne at det benyttes utenlandske leverandører som krever at tvister vil måtte føres for rettsinstanser i andre land enn Norge. 

Det er naturligvis i en leverandørs egeninteresse at tjenesten er operativ, kan benyttes og at kundene er fornøyde. Resultatet av større tjenesteutfall og potensielt tap av data vil jo kunne betyr kroken på døren for leverandøren eller i beste fall kun et omdømmetap. Det finnes flere eksempler på dette, ett av dem er VFEmail. 

En leverandør vil gjerne ikke legge begrensninger for hva en kunde kan gjøre med sine data, så om en autorisert bruker velger å slette, overskrive eller kryptere innhold er det ikke sikkert at leverandøren kan bistå med å gjenopprette data. Et eksempel på dette hvor det fremstår som at en tidligere innleid ansatt valgte å utføre bevisst skadeverk mot data som lå hos Microsoft Office 365: 1200 kontoer slettet. 

Lockout er en annen sak man må tenke på med eksterne leverandører. Dersom en leverandør mener at du har brutt avtalevilkår eller på en annen måte er uønsket som kunde, så er det fort gjort å kunne bli utestengt. I de tilfellene er plutselig dine data blitt til et gissel, og det kan være både tid- og ressurskrevende å få tilbake dine data.  Her med eksempel fra en norsk bruker som kjemper mot Microsoft: Original og oppfølgende artikkel 

Det begynner å bli noen år siden, men mange husker nok innbruddet hos Multiconsult hvor målet var: data. Selv om data ligger stille og ikke kan nås via nettverk eller Internett, så kan det altså være av interesse for noen. 

En siste tankevekker er å alltid ha en exit-strategi. Uavhengig av hvilket informasjonssystem eller hvor data ligger lagret, så må du huske på å ha anledning til å bytte informasjonssystem og å beholde dine data.
Hva gjør du dersom en leverandør velger å legge ned en tjeneste eller et produkt dere benytter? Hva hvis prisen plutselig skrus kraftig opp? Hva om dere selv ønsker å bytte leverandør eller system? 

En god exit-strategi må inneholde at man til enhver tid har data og at disse kan konverteres/tolkes/presenteres gjennom et eller annet informasjonssystem. 

Uansett hva som måtte inntreffe, vil din virksomhet bli skadelidende dersom dine data skulle bli gjort utilgjengelig. Derfor er det viktig å ha et bevisst forhold til hvilke data, hvor data er lagret og hvordan man sikrer og kan gjenopprette sine egne data ved uforutsette hendelser. 

Tips 1: Kategoriser dine data

Du bør vurdere hvor kritisk systemet er for virksomheten, hvor lenge kan dere klare dere med alternative beredsskapsløsninger og hva ville være konsekvensen være dersom systemet med deres data plutselig var helt borte, for alltid? 

Årsaken til utilgjengelighet kan være så mangt: 

  • Planlagt vedlikehold – Gjerne varslet i forkant 
  • Uplanlagt vedlikehold – Ikke alltid varslet, eller med meget kort frist. 
  • Feil i programvare eller maskinvare 
  • Utfall i mellomliggende systemer, så som nettverk eller Internett. 
  • Ubevisst eller bevisst skadeverk 
  • Lockout 

 3-2-1 regelen – fremdeles relevant! 

Med 3-2-1 regelen refererer man til at en virksomhet bør ha: 

  • 3 kopier av sine data; produksjon, backup1 og backup2 
  • 2 ulike lagringssystemer for sine data. Her er det mange ulike løsninger fra så enkelt som harddisk og tape, til ulike operativ-/filsystemer og objektbaserte lagringsløsninger både i sky og i egne datasentre. 
  • 1 kopi på et annet fysisk sted. 

3-2-1-1-0 regelen – evolusjon! 

Her utvides 3-2-1 til også å ta hensyn til angrep mot nettopp backupsystemet: 

  • 1 kopi som er frakoblet både Internett og nettverk – offline 
  • 0 – Vær sikker på at integriteten til backup er intakt og at data kan gjenskapes. 

Tips 2: Påse at du får tatt backup av og kan kontrollere integriteten på dine kritiske data jevnlig

Utform og test beredskapsplaner. 

  • Hvilke data skal det tas backup av 
  • Hvilke tilganger trengs for å ta backup 
  • Hvordan kan data gjenskapes og tilgjengeliggjøres 
  • Hvordan bekrefte at integriteten til dataene er intakt 

 

Det er vanlig å sette opp rutiner for at det tas backup med faste intervaller, f. eks en gang i døgnet.  

Det diskuteres gjerne om hvor lenge man skal ta vare på backup av data. Her kan det komme inn ulike regulatoriske krav, men ofte benytter man en bevaringsordning hvor man tar vare på daglige backup i X antall dager, ukentlig/månedlig i Y antall måneder og kanskje man også arkiverer backup basert på Z antall år. 

Historiske data benyttes ikke like ofte, men det er like viktig å ivareta integriteten av disse. 

Dersom du har produksjonsdata i sky eller leid som en tjeneste, er kanskje den raskeste veien til mål å også plassere backup av slike data hos en eller annen leverandør. Vær da obs på å teste hvor raskt du kan få hentet ut data fra en slik tjeneste, og om du kan gjenopprette data til et annet format. 

Et typisk eksempel her er backup av Microsoft Exchange Online (EXO). Microsoft tar ikke backup av dine eposter og dette er de helt åpne på; referanse. 

Derfor finnes det mange tilbydere av backup til akkurat EXO, men ikke alle gir deg mulighet til å eksportere data til en annen brukerkonto eller f. eks til en portabel arkivfil. I siste tilfelle vil man ved et utfall av Exchange Online, være prisgitt at denne tjenesten blir gjenopprettet før man kan aksessere sine backupdata. 

Tips 3: Vær like bevisst rundt sikring av backup- som av produksjonsdata

De siste årene har det eksplodert i tilfeller hvor virksomheter har blitt utsatt for løsepengeangrep.
Det utartert seg slik at angripere tar kontroll over infrastrukturen, før de velger å kryptere data og så legge igjen en veileder for hvordan virksomheten kan få låst opp sine data gitt at de velger å betale. 

Dersom disse angriperne også får tilgang til dine backupdata, så sletter eller krypterer de også disse. 

Derfor er det særs viktig å huske på at du også må sikre backupdata, på lik linje med produksjonsdata. 

Utviklingen går stadig fremover, og det finnes et mylder av teknologiske løsninger og tilbydere som ønsker å selge deg produkter eller tjenester innenfor sikring av data i sky eller tradisjonelle datasentre. 

Den siste utviklingen i forhold til lagring av backup er såkalt uforanderlige/immutable lagringssystemer.
I praksis fungerer på det på den måten av du setter en tidslås på filsystemnivå, og tillater kun å lagre nye blokker. Når tidslåsen løper ut, kan du igjen overskrive eller endre tidligere datablokker/filer.
For at dette ikke skal resultere i større kapasitetsproblemer, så benyttes moderne underliggende filsystemer som støtter lenking av like blokker. 

Pass på, så lenge noen kan nå dine data via nettverk eller ved å bryte opp noen dører, så bør du gjøre tiltak: 

  • Benytt ulike servicekontoer for tilgang til og lagring av backupdata. 
  • Ikke bland aksessystemer til produksjon- og backupdata – dette må være adskilte systemer! 
  • Hvis du benytter skytjenester: bruk flere leverandører/datasentre. 
  • Krypter dine backupdata.