Bruken av skytjenester har nærmest eksplodert det siste tiåret. Norske virksomheter er verdensledende på å kjøpe disse tjenestene, som blant annet gir bedre kontroll på kostnader, økt fleksibilitet og fantastiske muligheter for eskalering.
Ifølge Oracle and KPMG Cloud Threat Report 2018 har 87 prosent av virksomheter en “cloud-first orientation”. Den gjengse oppfatningen om at informasjonssikkerhet utgjør en hindring for å ta i bruk skytjenester, er på raskt vikende front. I samme rapport sier 90 prosent av virksomhetene at over halvparten av dataene de har i skyen, er sensitive.
Vurderinger av skyleverandører kontra lokal intern drift viser dessuten at det er færre kritiske sårbarheter hos skyleverandører. Kilde: Sikkerhetstoppmøtet «Sikkerhet i skyen».
Etter hvert som flere og flere virksomheter velger overgang til skyen, er det imidlertid viktig å ha klart for seg hvem som egentlig er ansvarlig for sikkerheten. Mange tror at skyleverandørene har dette ansvaret.
Fullt så enkelt er det nok ikke..
Shared Responsibility Model
Først og fremst: Både skyleverandøren og kunden har et ansvar for sikkerhet.
Sett i sammenheng med eksempelvis GDPR og personvern, er det virksomheten som behandlingsansvarlig som må forsikre seg om at leverandøren har tilfredsstillende sikkerhet, og at leverandøren følger personopplysningsloven og kapittel 2 i personopplysningsforskriften. Dette er uavhengig av om leverandøren holder til i Norge eller i utlandet, og om leverandøren er stor eller liten.Videre har ikke skyleverandørene ansvar for å sikre de applikasjonene og tjenestene som du som kunde publiserer fra skyinfrastrukturen, unntatt for rene SaaS-tjenester.
Leverandørene har god sikkerhet på infrastrukturen i bunn, men om du som kunde velger å eksponere applikasjoner med dårlig sikring, svak kode eller andre sårbarheter, så er det ditt eget ansvar. Leverandørene tilbyr i større grad ekstra sikkerhetsmekanismer, men det er generelt kjent at dette ikke er tilstrekkelig for avanserte angrep. Amazons Shared Responsibility Model viser tydelig hva som er kundens ansvar, og ordlyden er også veldig klar: “Customers are responsible for their security and compliance IN the cloud.”
Denne modellen går igjen hos de fleste leverandører.
Det er flere typer skytjenester, og disse har forskjellige ansvarsmodeller. Kort oppsummert opererer man med fire ansvarsmodeller:
- Tradisjonelt datasenter: Kunden har alt ansvar
- Infrastructure as a service (IaaS): Leverandøren har ansvaret opp til OS, men kunden har noe ansvar.
- Platform as a service (PaaS): Kunden har ansvar for sikring av data og applikasjoner.
- Software as a service (SaaS): Leverandøren har ansvaret for hele sikkerheten.
Konklusjon
Ansvaret for informasjonssikkerhet i skyen er delt mellom skytjenesteleverandøren og kunden. Selv om dette lyder forholdsvis ukomplisert, er det ikke alltid slik at kunden har helt oversikt over hvor leverandøransvaret slutter og deres eget begynner. Kunnskap om hvilket sikkerhetsansvar din leverandør har, er viktig for at du selv skal kunne sikre dine data i skyen og sørge for at du etterlever personvernreglene.
Som virksomhet må dere forsikre dere om at skytjenesteleverandøren har tilfredsstillende sikkerhet, og dessuten at de følger personopplysningsloven og kapittelet om informasjonssikkerhet i personopplysningsforskriften.