Nåtidens sikkerhetsgap i skyen
I hele verden har IT-folk lært seg skyteknologi i rekordfart. Ny teknologi og høy hastighet er helt klart en god ting, verden drives fremover, men har medaljen en bakside? Hvordan er sikkerheten ivaretatt i disse unge skymiljøene?
Tidlig i skyadopsjon
Det er overveldende sannsynlig at din bedrift, engang mellom år 2015 og 2022, besluttet at risikoen knyttet til å ikke bruke sky var høyere enn risikoen ved å bruke sky og følgelig åpnet opp for bruk av skyer som Azure, AWS og Google Cloud.
I de tidlige dagene florerte det av argumenter for å overbevise organisasjoner om at skyen var nyttig. Argumentene var gjerne knyttet til billigere infrastruktur, bedre sikkerhet, all skalering man kunne drømme om, men det var kanskje et argument som pekte seg ut som viktigst og det var økt fleksibilitet og hurtighet. Med skyteknologi og moderne utviklingspraksiser kunne selskaper produsere og lansere egne tjenester mye raskere enn tidligere. Flere av disse argumentene har vist seg å holde vann etter testing og tiden vi bruker på produsere og lansere nye tjenester på har utvilsomt gått ned.
Ny teknolgi må læres
Nye teknologier må læres og vi snakker om adopsjon av skyen i inkrementelle skritt og om økt risikoapetitt underveis. Organisasjoner startet gjerne med å flytte ikke-kritiske applikasjoner eller startet utviklingen av nye applikasjoner i skyen som det første inkrementelle steget. Fail-fast tilnærming og handling fremfor planlegging ble prioritert og det med god effekt. Selskaper tok raskt i bruk skyen og begynte å lære seg hvordan de kunne produsere nye tjenester i sky.
Nåtiden sikkerhetsgap oppstår dog når de samme fail-fast miljøene som ble brukt for å lære skyteknologi raskt, stadig populeres av fler og fler forretningskritiske applikasjoner uten tilhørende sikkerhetsvurderinger. Sky-teknologien er såpass effektiv at utviklingen, der vi flytter mer og mer til skyen, kan nesten kalles naturlig. Folk flest liker fleksibel, enkel og rask teknologi.
Endring av risikobildet
Det som ikke er like naturlig er å se sammenhengen mellom en saktegående dreining av hvor infrastruktur befinner seg og endring i den totale sikkerhetsrisikoen for organisasjonen. I følge Microsoft’s 2022 Digital Defense Report, der det er gjort analyse av mer enn 100 ransomeware angrep, mangler 93% av de kompromiterte miljøene privilaged access management og lateral movement controls. Dette er relativt grunnleggende sikkerhetsarbeid som ikke har vært prioritert tidlig fase av skyadopsjon da risikoviljen var høy.
Har din bedrift full kontroll over hvilke ressurser som er kritiske i skymiljøet og hvordan brukere får tilgang til de? Har dere en segmenteringsstrategi som er aktiv bruk, uten at det er mer unntak enn regel? Jeg tror mange norske bedrifter vil ha vanskelig for å garantere for slikt grunnleggende sikkerhetsarbeid.
På tide med oppdatert risikovilje
I starten av skyreisen var lavere fokus på sikkerhet ikke bare akseptabelt, men aktivt anbefalt. Det var nødvendig for å holde tritt med utviklingen og relativt fornuftig, så lenge applikasjonene og datane som levde i skyen ikke var kritiske. Tiden er dog som vanlig i endring. Små, raske applikasjoner født i skyen har blomstret og blitt til fremtidens forretningskritiske applikasjoner, samtidig som eldre applikasjoner er flyttet og bygget om for sky. Etter hvert som skyen forankrer sin posisjon som fremtidens infrastruktur vil vi parallelt utvilsomt se en økning i forventet sikkerhetsnivå.
Hvordan øke sikkerheten i skyen?
Skyadministratorer som opplever dette skiftet bør raskt orientere seg om hvilken andel risiko skymiljøet og tilhørende applikasjoner utgjør. Deretter burde man gjøre seg godt kjent med nåværende nivå på sikkerhet ved å bruke rammeverk som for eksempel CIS eller Well Architected Framework. Det vil også være viktig å annerkjenne at sikkerhet praktiseres anderledes i skyen. Hastighet er et nøkkelprinsipp for bruk av teknologien så gatekeeping med hensyn til sikkerhet er i liten grad tolerert. Sikkerhet bør integreres så tidelig som mulig i utviklingsprosessen (DevSecOps), men endringen vil ta tid. Et godt mellomsteg kan være å øke hyppigheten på sikkerhetsgjennomganger.
Konsekvensen av høy hastighet ved adopsjon av ny teknolog er ofte at sikkerheten får lide. Har du kontroll på hva hastigheten har kostet for ditt selskap?