Sikkerhet i skytjenester
Har du kontroll?
Tenkte du deg på kino, men fikk ikke kjøpt billett? SF Kino ble tidligere i år hacket og billettsystemet satt ut av spill. Nyhetsbildet preges ukentlig av dataangrep og selskaper som er rammet. Og dessverre er det slik at datasikkerhet fortsatt nedprioriteres i flere norske bedrifter. Ofte med en antagelse om at det ikke vil ramme dem. Det er ikke tilfellet. Alle er et mål.
Så hva har skytjenester med dette å gjøre?
Når det kommer til nettopp skytjenester, er det 3 viktige faktorer som spiller en stor rolle. En skybasert programvare er nemlig:
- Alltid oppdatert
- Alltid sikker
- Alltid tilgjengelig
Hva innebærer egentlig det?
Visma Software er Nordens ledende leverandør av økonomi- og lønnssystemer.
Visma er medlem av Nasjonal Sikkerhetsmyndighet, og har sin egen Cloud Delivery Model som er ISAE 3402 og ISO 27001 og ISO 9001 sertifisert. Proplan har vært stolt Visma partner i over 30 år.
Alltid oppdatert
Oppdateringer i skyen skjer kontinuerlig. Borte er de omstendelige oppgraderingene av jordløsninger, der en måtte «stenge ned» noen timer for å få på plass siste versjon. Som kanskje førte til at du gjorde det så sjelden som var forsvarlig.
Nå skjer det releaser opptil daglig, merker du det ikke nødvendigvis en gang. Med mindre en release har med seg en funksjon du har savnet, vel å merke 😉
Fordelen med hyppige oppdateringer er mange, den aller viktigste at sikkerhetshull tettes.
Alltid sikker
Med skybaserte løsninger overføres ansvaret for sikkerheten fra deg og serverne dine, til programleverandøren. Som Visma for eksempel. Det fratar deg naturligvis ikke alle forpliktelser i forhold til datasikkerhet, men byrden er langt lavere enn ved jordbaserte løsninger.
Visma har et ”Cyber Threat Intelligence team”, som det heter så fint, som kontinuerlig kartlegger trusler fra hele verden. De kjenner trendene, sårbarhetene, trusselaktørene. Den siste som dukket opp, var jordbaserte løsninger med SQL-server som ikke var satt opp skikkelig.
Så om du lurte på om Visma har et team som jobber med sikkerhet, så er svaret ja.
Visma har også et «Security Program». Som gjør deg som bruker av Vismas systemer trygg på at de ansatte der vet hva de holder på med, at produktet du bruker er kodet og testet på en god måte. Og at infrastrukturen hos Visma er ivaretatt, som nettverk, hardware, krypteringer, antivirus, versjoner av programvare, for å nevne noe.
Fun fact: Visste du at Visma har engasjert et hackernettverk til å gjøre testing av Vismas programvare? Hver dag prøver de å finne feil og svakheter relatert til datasikkerhet.
Alltid tilgjengelig
Dette er ikke bare praktisk, det er faktisk også lovpålagt. Leverandøren må sikre at skytjenestene alltid er tilgjengelige, at du rett og slett alltid har tilgang. Og ikke bare skal dataene være tilgjengelige, du skal også ha kontroll på hvem som har tilgang på hva. Og når det kommer til persondata kan konsekvensene av data på avveie bli dramatiske. GDPR.
Tilgangsstyring spiller også en viktig rolle når det kommer til dataenes integritet. Kan vi stole på dem? At de er sanne? At ingen har tuklet med dem?
Utforsk vårt webinar om «Sikkerhet i skytjenester» ledet av Vismas sikkerhetsekspert, Stian Estil.
Hvem er ansvarlig for sikkerheten i forbindelse med skytjenester?
Sikkerhet er et delt ansvar. Har du jordbaserte løsninger er hele ansvaret ditt. Har du skybaserte løsninger fra Visma, har Visma ansvar for alt det tekniske i applikasjonen. Og oppsett og konfigurering. De bruker 2 datasenter: Microsoft Azure og Amazon AVS – verdens 2 største. Det gir et svært høyt nivå av sikkerhet, både fysisk og i form av sertifikater.
Men, skybaserte løsninger fritar deg ikke helt. Det er spesielt 3 ting du må tenke på:
- Risikovurdering
- Opplæring av ansatte, bevisstgjøring og rutiner
- Sikre lokal infrastruktur
Når det kommer til risikovurdering, må du ha stilt de riktige spørsmålene
Skulle du være så uheldig å bli angrepet, må du kunne svare Datatilsynet på at du har foretatt en risikovurdering. Det er ikke godt nok å si at du trodde Visma hadde kontroll. Det er noen ting du må ha kontroll på selv også. Du må blant annet kunne si at du har sjekket din leverandør. Og sjekker du Visma, ja da finner du Visma Trust Center. Der er det beskrevet hvordan Visma jobber med sikkerhet, personvern og utvikling. Og hvor dataene lagres.
Greit å vite: Skulle du være så uheldig å oppleve et hacker-angrep der maskiner blir kryptert og du har systemene i skyen, tar det kun ca. 1 døgn å være oppe og gå igjen. Fordi dataene ikke er lokale. Det vil si at maskiner blir formattert, alt blir satt opp på nytt og du er i gang igjen.
Hva tror du er den største trusselen når det kommer til IT-sikkerhet i bedriften din?
Det stemmer, det er dine ansatte. Det er derfor svært viktig at de ansatte får opplæring og er bevisste i forhold til sikkerhet og rutiner. At de for eksempel bruker sterke passord og tofaktorautentisering. At de kjører oppdateringer jevnlig.
Det er kanskje ikke en overraskelse at passord er synder nr. 1. Det anbefales passord med 15 tegn, blanding av store og små bokstaver, tall og spesialtegn, som ikke endres med mindre de er funnet i en lekkasje.
De ansatte bør også vises eksempler på virkelighetstro forsøk på å få dem til å gå på limpinnen. At det informeres internt om forsøk som gjøres slik at de kan kjenne disse igjen.
Nasjonal Sikkerhetsmyndighet: Indentifisering av 10 vanlige sårbarheter i norske IT-systemer.
Trusselen er konstant, og forsøkene på å lure oss blir bare vanskeligere og vanskeligere å avsløre. Du har kanskje sett Telenors reklame der Arnfinn blir oppringt av moren og bedt om å overføre penger der hennes stemme er laget ved hjelp av AI? Dette er reelt og skjer i dag.
Ikke glem infrastrukturen!
Det er ditt ansvar å ha kontroll i forhold til nettverk, brannmurer, antivirus, versjoner av programvare. Selv om serverparken er historie i skyen, har du fremdeles de ovennevnte å ta deg av.
Skyen er fremtiden din
Overgang til skybaserte løsninger har vært en snakkis i mange år, og mange har allerede flyttet opp. Kudos til dere!
Til deg som er igjen på jorden, regner vi med at du også er i skyen innen 5 til 10 år. Blant annet som følge av at jordbaserte systemer faktisk legges ned. Lønnssystemene Huldt & Lillevik og Visma Lønn og regnskapsprogrammet Mamut er eksempler på software som har fått end-of-life dato.
Det er ikke lenger et spørsmål om du skal i skyen, men når du skal dit.
I skyen venter mange fordeler, som automatisering av prosesser, kontinuerlige oppdateringer, integrasjoner mellom de ulike systemene dine, tilgjengelighet fra hvor som helst, reduserte kostnader til maskinvare, drift og IT-personell. For å nevne noe.