Sikkerhet og skytjenester – klar sikt eller ut i tåka?
Skytjenester er i vinden for tiden og store deler av offentlig sektor legger ut på reisen. Dette gjelder også forsvarssektoren som fra 2019 har hatt sitt MAST prosjekt. MAST er forkortelsen for militær anvendelse av skytjenester og skal ifølge Forsvarsmateriell vare frem til 2028. Hensikten er å oppnå mer effektiv informasjonsdeling, samhandling og modernisere forsvarets digitale grunnmur gjennom å ta i bruk skytjenester.[1]
Men hva er egentlig en skytjeneste? En skytjeneste er en IT-infrastruktur som er satt opp og driftet av en profesjonell leverandør, slik at du som bruker får tilgang til alt du har behov for av maskinvare for å drifte dine IT-tjenester. Dette til forskjell fra egen drift av IT-systemer, servere og nettverk, ofte omtalt som on-premises. Med sky tjenesteutsetter man drift av den underliggende IT-infrastrukturen som datasystemene kjører på, til en ekstern part. Denne IT-infrastrukturen består av fysiske datasentre plassert ulike steder i verden. Kunden kobler seg opp til datasentrene, over internett. Ofte blir det sagt om skytjenester at det bare er noen andres datamaskin – noe som er helt korrekt – selv om det også er en stor overforenkling. I markedet av skytjenester opererer store globale leverandører som Microsoft, Amazon og Google.
Selskapene tilbyr sine tjenester til enhver som vil betale for (sky)tjenesten. Privatpersoner som virksomheter. Og for å knuse en myte om skytjenester helt innledningsvis: Det er sjeldent billig å ta i bruk skytjenester, men ressursene brukes annerledes enn ved egen drift. Det er derfor flere gode grunner til å ta i bruk skytjenester, men kostnadsreduksjon er sjeldent en av dem.
Delt ansvarsmodell ved bruk av skytjenester
Fordelen med å ta i bruk skytjenester fra en profesjonell leverandør, er flere. For det første trenger man ikke selv å ha all kompetanse for drift og vedlikehold av maskinvare in-house, i egen organisasjon. For det andre vil maskinvaren kontinuerlig oppdateres av leverandøren, slik at man ikke sitter på gammel utdatert maskin- og programvare, noe som reduserer sårbarhets- og angrepsflaten mot egne systemer. I tillegg er det enkelt å opp- og nedskalere behovet for maskinressurser kontinuerlig, i takt med videreutvikling av egen organisasjon. Den profesjonelle leverandøren drifter datasentre med nærmest uendelig med maskinressurser. Drifter man egne systemer må man derimot anskaffe nytt IT-utstyr ettersom behovet for prosessorkraft og lagringsplass kontinuerlig øker.
Forholdet mellom bruker (f.eks. Forsvaret) og leverandør av skytjenester (f.eks. Microsoft, Amazon eller Google), omtales som den delte-ansvarsmodellen. Ansvarsfordelingen gjelder også for sikkerhet, noe som byr på både fordeler og ulemper. Den fysiske sikringen og kontrollen på personellet som har tilgang til datasentrene hvor skytjenestene driftes fra, er leverandøren sitt ansvar. Dette betyr at man som kunde både må være en god kravstiller overfor leverandøren og samtidig er man avhengig av tillitt til at leverandøren utfører sin del av oppgavene innenfor den delte-ansvarsmodellen på en god måte. At ansvaret blir ivaretatt av leverandøren kan også kontrolleres gjennom uavhengige tilsyn.
Sikkerheten til dine data, eller i kontekst av MAST-prosjektet – Forsvarets data – avhenger derfor av sikkerheten til leverandøren. Et annet aspekt ved den delte ansvarsmodellen som er kunden egen oppgave å utføre (altså Forsvarets) – er bruk og konfigurasjon av skytjenesten. Som med all annen IT-infrastruktur er man avhengig av at systemer og nettverk settes opp på en måte som gir virksomheten et forsvarlig sikkerhetsnivå. Dette omtales ofte som en sikkerhetsarkitektur. Et enkelt eksempel som det er lett å relatere seg til, er å ikke tilgjengeliggjøre data som kun skal være interne – direkte på internett.
Skyen er på internett – (u)sikkert?
En skytjeneste er som utgangspunkt tilgjengelig via internett. Det er over internett man som kunde kobler seg til skytjenesten for tilgang til sine egne IT-systemer og data. Dette gjør at angrepsflatene mot skytjenester også ser noe annerledes ut enn for tradisjonell drift av egne IT-systemer. Internett er som kjent stedet der de fleste trusselaktørene befinner seg. Dette betyr at man må være spesielt oppmerksom på at data og ressurser som man ikke ønsker å eksponere for uvedkommende, ikke blir tilgjengeliggjort direkte på internett. En gjentakende utfordring med skytjenester har vært at lagringsenheter, der man ofte oppbevarer sensitiv informasjon, har vært direkte eksponert mot internett. For eksempel hadde Universitetet i Oslo (UiO) i 2022 publisert en oversikt med informasjon om fem trusselutsatte forskere som hadde flyktet fra sitt hjemland og som nå befant seg i Norge, på sine nettsider. Opplysningene hadde ligget på internett i 1 år og 2 måneder og var besøkt av over 79 unike IP-adresser, hvorav kun 19 internt fra UiO. Dette betyr at UiO ikke hadde kontroll på hvem som stod bak over 60 av besøkene. Slike scenarioer, hvor sensitiv informasjon kommer på avveie, er spesielt utbredt ved bruk av skytjenester dersom virksomheten ikke begrenser hvilken informasjon som kan tilgjengeliggjøres.[2]
Fra et sikkerhetsperspektiv kan det å ta i bruk skytjenester fra en profesjonell leverandør imidlertid også by på klarvær. For det første får man tilgang til det siste av hjelpemidler og verktøy så lenge man aktiverer funksjonaliteten. For eksempel tilbyr Microsoft sin skytjeneste med kallenavn Azure flere verktøy for å styrke sikkerheten. Eksempelvis verktøy for etterlevelse av rammeverk for informasjonssikkerhet (Azure Policy Engine), overvåkningsløsninger (Microsoft Sentinel) og endepunktsdeteksjon (Microsoft Defender). Mens Azure Policy Engine handler om å etterleve beste-praksis for å forhindre alvorlige sikkerhetshendelser i å inntreffe, handler Microsoft Sentinel og Defender om å være i stand til å oppdage og stanse sikkerhetshendelser når de først inntreffer. Slike tjenester kan man også drifte på egne datasentre, men i Azure kommer out-of-the-box og innebygget som en del av plattformen. Dette gjør at verktøyene er enklere å ta i bruk. Likevel må kunden gjøre sin del av arbeidet med å konfigurere tjenestene riktig.
Tilgang til skytjenester – overalt – alltid!
Før Russland invaderte Ukraina i februar 2022, ble det gjennomført en større operasjon for å flytte flere sentrale IT-systemer tilhørende ukrainske myndigheter ut i Microsoft sin skytjeneste (Azure). Dette ble startet kun én uke før den russiske invasjonen, etter godkjenning fra det ukrainske parlamentet. Før dette tidspunktet var det forbudt for ukrainske myndigheter å ta i bruk skytjenester til å behandle offentlige data. Med den overhengende faren for invasjon, ble det imidlertid ansett som sikrere å flytte data til skytjenester enn å ha de lagret på lokale datasentre, i Ukraina. Årsaken er at IT-systemene er tilgjengelig fra hvor-som-helst når de først er lagret på ett av Microsoft sine datasentre i Europa. Dette ville ikke være tilfellet dersom datasentret befant seg i ett av de okkuperte områdene i Ukraina – eller om det ble truffet av russiske kryssermissiler.[3]
I en slik sammenheng bidro tilgjengeligheten (altså tilgang til IT-systemer og data) som Microsoft sine skytjenester kunne tilby, til bedre sikkerhet enn hva Ukraina selv var i stand til å sørge for. For det er ikke bare beskyttelse av sensitive data fra uvedkommende (konfidensialitet) og dataenes korrekthet (integritet) som er viktig, men også det å sørge for dataenes tilgjengelighet. Verdens sikreste IT-systemer hjelper dessverre lite dersom systemene og dataene ikke er tilgjengelig for brukeren, spesielt ved en krigssituasjon.
Alle de tre store skyleverandørene fra USA, Microsoft, Google og Amazon, har i dag datasentre på europeisk jord. Dette betyr at leverandørene er forpliktet til å etterleve europeisk lovgivning, herunder EU’s GDPR – altså personopplysningsloven. I tillegg tilbyr enkelte av leverandørene funksjonalitet som geo-redundans, noe som betyr at dersom ett datasenter går ned, så vil IT-systemene fremdeles være tilgjengelig fra ett av de andre datasentrene til leverandøren. Sett i kontekst av Ukrainas flytting av data til Microsoft sin skytjeneste i forkant av den russiske invasjonen, er geo-redundans fornuftig i scenarioer med krig og konflikt. Dette er situasjoner som både Forsvaret og totalforsvarsaktørene må være godt forberedt på å operere under. Et interessant spørsmål i den forbindelse er hvor mange av totalforsvarsaktørene som i sine krise- og beredskapsplaner har etablert tiltak og rutiner for drift av IT-systemer i et scenario hvor Norge underlegges okkupasjon.
Sky eller tåke – er det sikkert nok?
Denne artikkelen har hatt til hensikt å gi en enkel fremstilling av hva skytjenester er og hvilke problemstillinger man står overfor i et sikkerhetsperspektiv, ved sin reise til skyen. En reise som også Forsvaret har lagt ut på med sitt MAST-prosjekt. Det er samtidig viktig å påpeke at det er flere nyanser ved bruk av skytjenester som jeg ikke har skrevet om her.
Likevel, det som de fleste lurer på er om det er sikkert å ta i bruk skytjenester. Det korte svaret på det er, ja – forutsatt at man konfigurerer skytjenesten riktig. Det litt lengre svaret er at det kommer an på bruker- og sikkerhetsbehovene. Hvis du ikke har behov for ny funksjonalitet, georedundans, mulighet til å oppskalere kontinuerlig – og kun vil ha IT-systemene og dataene nedlåst i bunkeren, så er det ikke sikkert du bør reise til skyen.
Hvis du ønsker alle fordelene som en skytjeneste kan by på, så kan det være riktig å legge ut på reisen. En klok tilnærming er å starte med å flytte noen data og tjenester ut i skyen, slik at man gradvis tilegner seg flytid og erfaring. I starten av reisen er det normalt å oppleve turbulens og tåke, men når man først er oppe i skyen blir ofte sikten klarere.
FOTNOTER
[1] Forsvarsmateriell. (2020). MAST. https://www.fma.no/anskaffelser/virksomhetsprogrammet-mast
[2] Universitas. (2022). Forsker frykter fengsling. https://www.universitas.no/akademia-cybersikkerhet-forskning/forsker-frykter-fengsling/358751
[3] Microsoft. (2023). Defending Ukraine: Early Lessons from the Cyber War. https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE50KOK
Foto: Torbjørn kjosvold