IT-sikkerhet i skyen

Nettkriminelle herjer som aldri før. Et økende digitalt trusselbilde endrer kravene til hvordan vi håndterer sikkerhet i skyen.  

IT-sikkerhet i skyen

Sjefskonsulent i Atea, Viggo Stomsvik, er ekspert på skysikkerhet. Han får regelmessige henvendelser fra små og store virksomheter som er rammet av alvorlige cyberangrep, men også fra de som ønsker bistand på hvordan beskytte seg best mulig.

– Det er dessverre flere norske bedrifter som mangler gode rutiner og systemer for å ivareta sikkerheten i skyen. Mange undervurderer risikoen for at trusler og angrep også kan ramme deres virksomhet. Få er klar over at det kun er et spørsmål om når det skjer og hvor hardt, sier Stomsvik.

Heldigvis finnes det gode løsninger og rammeverk som er vel utprøvd for å øke skysikkerheten i norske virksomheter.

Kjøper tjenester som tredjepart for å skade virksomheter

Utviklingen viser at organisasjoner er ekstra utsatt for cyberangrep. Sikkerhetsavdelingen i Atea mottok i 2021 fem ganger flere henvendelser kontra året før. Stomsvik forteller at det er mulig å kjøpe "angrep as a service", hvilket betyr at hvem som helst kan skade organisasjoner uten å være "datakriminelle". Men overordnet sett er det en økende andel tilfeldige mål som ikke kan avgrenses til hverken selskapsform eller bransje.

– Hvis du er en av dem som ikke har kontroll på egne data i skyen, er det på tide å ta grep. Å iverksette enkle tiltak er bedre enn å ikke gjøre noe. Første steg er å aktivere to-trinnskontroll, innføre rutiner for logging av data og implementere Zero Trust. Virksomheter bør ikke stole på forespørsler uten verifisering, uavhengig om forespørselen kommer fra innsiden eller utsiden av virksomheten. En måte å sørge for verifisering er med Zero Trust.

God sikkerhet handler om å ha flere lag med veisperringer 

Manglende kontroll over nettverkskomponenter og applikasjoner kan resultere i alvorlige angrep som kryptering, lekkasje og utpressing. På toppen av dette risikerer virksomheter å bli saksøkt på grunn av brudd på personvernforordningen (GDPR) når personopplysninger kommer på avveie.

”God sikkerhet handler om å ha flere lag med veisperringer, slik at ikke viktig informasjon havner i feil hender.” — Viggo Stomsvik, sjefskonsulent i Atea

– Bruk av brannmur, oppdatert antivirus, offline backup, oppdeling av interne nettverk og patching av endeutstyr, er gode eksempler på slike veisperringer. Sikkerhet skal være med som en del av DNA-et når du bygger en løsning. Er du godt forberedt blir det en mykere landing, forteller Stomsvik.

Velg én sikkerhetspartner som håndterer alarmer og konfigurasjoner

– Jeg anbefaler ikke løsninger som krever leveranser fra flere ulike leverandører. Dette øker kompleksiteten samt man kan miste totalbildet over sammenhengen mellom alarmene. Min erfaring tilsier at det sikreste er å ha én plass for håndtering av alarmer og konfigurasjoner, understreker Stomsvik.

Å sørge for god sikkerhet er som en evig kamp mellom det gode og onde. Det er en dynamisk funksjon som krever oppfølging og vedlikehold, og det kan være fordelaktig å velge en døgnåpen sikkerhetspartner.

– Ringer alarmen på julaften eller nyttårsaften er du helt avhengig av en partner som er tilgjengelig og kan agere raskt. Selv om skyen er tuftet på automatisering, så vil det fortsatt kreve noe menneskelig presisjon for å se på unormale hendelser. Sikkerhetsselskapene har ressurser til å ligge rett bak eller foran angriperen, påpeker Stomsvik.

Søk råd hos IT-sikkerhetseksperter

– Når krisen inntreffer er det mulig å oppdatere eller bytte ut applikasjoner og tjenester fortløpende. På den måten kan man blokkere tilgangen og spredningen av angrepet, understreker Stomsvik.

Han oppfordrer flere til å stille spørsmål og søke råd hos de som er eksperter på IT-sikkerhet:  

– Det er en ekstrem rask utvikling i skyen, og det krever mange hoder å følge med på utviklingen. I Atea har vi en dedikert avdeling som består av spesialister med høy IT-sikkerhetskompetanse. Det er dessverre stor mangel på slike miljøer inhouse, og det er utfordrende for en IT-avdeling med mange oppgaver å til enhver tid holde seg oppdatert på det digitale trusselbildet, sier Stomsvik.

For tredje gang innfrir Atea de strenge kvalitetskravene til Nasjonal sikkerhetsmyndighet (NSM) for håndtering av dataangrep på norsk infrastruktur.

Ønsker du å vite mer om sikkerhet i skyen? Ta kontakt med Viggo Stomsvik, Sjefskonsulent i Atea

viggo.stomsvik@atea.no

For Ukraina

18 mai 2022

«For Ukraina» organiserer innsamlinger og sendinger av humanitær hjelp til det Ukrainske folk i forbindelse med den pågående krigen. Innsamlingen ble startet som en ren impulshandling, og den første hjelpen ble samlet inn i Averøy ble levert mindre enn 5 døgn etter at Russland gikk til fullskala krig mot landet. Etter det har de både sendt hjelpesendinger med lastebil, og selv vært inne i Ukraina med viktige bidrag.

Jobbmesse i Kristiansund

16 mai 2022

Behov for nye lærlinger og medarbeidere? Nav Møre og Romsdal og Møre og Romsdal fylkeskommune arrangerer jobbmesse i Braatthallen i Kristiansund onsdag 1. juni 2022.

Kom Trainee lanserer U37 Nordvest

06 mai 2022

U37 Nordvest skal være en møteplass og arena for samfunns- og næringsinteresserte personer under 38 år i Nordmørsregionen. 31. mai lanseres nettverket med kick-off på Studenthuset i Kristiansund.