Hellre ett bra moln än tafflig outsourcing

Nu gäller det att välja rätt, inte bort”, skriver Åsa Schwarz.

Publicerad: 2013-04-13 13:00, Computer Sweden

Året var 2009. Varningslamporna blinkade. Molnen var på väg. Osäkra, omogna, hajpade och med en förförisk prislapp. Jag fick i uppdrag av en kund att göra en checklista över vilka tjänster som går att lägga i molnet. Svaret var enkelt: det går bra bara de inte innehåller någon känslig information och är kopplade till övrig infrastruktur. Hoppas du inte någonsin behöver få tillbaka informationen. Ridå.

Året är 2013. Prislappen är fortfarande förförisk, men situationen är en annan. Marknaden mognar. De stora leverantörerna lyssnar på sina kunder. Även om avtalen är standardiserade utgår de från att motparten är en professionell uppköpare. Nu gäller det att välja rätt, inte välja bort. Fallgroparna är många men belöningen är lägre priser, flexibilitet och i vissa fall högre säkerhet.

Personuppgifter har varit en stoppkloss för molnjättar. Därför har en konstruktion skapats som kallas Safe Harbor och innebär att amerikanska bolag förbinder sig att följa europeisk lagstiftning. Det innebär att inte bara dina personuppgifter, utan all din information finns i länder med någorlunda vettig lagstiftning. En brasklapp är Patriot Act och FISAA som övertrumfar Safe Habor. Något att tänka på för svenska myndigheter.

ETT ANNAT PROBLEM har varit integration med övrig infrastruktur. Nu går det att koppla molntjänster mot befintligt Active Directory och övergången blir osynlig för användarna med hjälp av single Sign On. Självklart måste det göras säkert. Både outsourcing- och molnleverantörer är ofta iso 27001-certiferade. Tänk på att certifikatet inte alltid gäller verksamheterna som är outsourcade. För molnleverantörerna är själva tjänsterna certifierade.

Missförstå mig inte, jag förespråkar inte att allt ska ut i molnet. Det finns mycket att tänka på. Risker, kontrollistor och annan hjälp kan du få på Cloud Security Alliance. Däremot bör vi ifrågasätta varför hela it-verksamheter outsourcas när det i vissa fall kan bli både säkrare och billigare att beställa väl avgränsade molntjänster.

Fler än Kina i hackattacker

”Angriparna varierar men skyddsåtgärderna mot hackare är desamma”, skriver Åsa Schwarz.

Publicerad: 2013-03-14 03:00, i Computer Sweden

Hela USA förfasades i slutet av februari över omfattande kinesiska hackarattacker. Säkerhetsföretaget Mandiant rapporterade om hur hundratals terabyte data hade stulits från minst 141 organisationer. Hur kunde en statligt finansierad verksamhet, kinesiska Förband 61398, göra en sådan sak?

För det första är det festligt att amerikanerna som bland annat skapat Stuxnet, specialdesignad för att angripa iranska kärnkraftverk, blir så upprörda. Snacka om dubbelmoral. För det andra är det underligt att saken blåses upp till en jättenyhet. De flesta som arbetar med it-säkerhet vet att det här pågår. Dotterbolagen till amerikanska bolag som ligger här i Sverige är precis lika ansatta. Många andra också. Kineserna är inte ensamma. Attackerna kommer från många håll. Ju mindre demokratiska styren, desto aktivare. Sedan har vi grupper som inte har geografisk förankring, till exempel hackaraktivisterna Anonymous eller organiserade brottssyndikat som är ute efter dina pengar.

Angriparna varierar men skyddsåtgärderna mot hackare är desamma. Det räcker inte att köra penetrationstester och lappa igen de rapporterade hålen. Den strategin är dömd att misslyckas eftersom du inte hanterar de bakomliggande problemen. Det viktiga är att ha ett väl fungerande säkerhetsarbete som sträcker sig ända ut i webbservrar, brandväggar och applikationer. Sedan kan ett penetrationstest verifiera att du gör rätt.

Alla nätverkskomponenter ska vara härdade, onödiga portar och funktioner avaktiverade.

Konton som inte används får inte finnas, endast nödvändiga tjänster ska vara aktiva.

Det ska också finnas rutiner så att alla delar regelbundet uppdateras. Övervakning är viktigt för att händelser som hårdvarufel och externa attacker upptäcks och åtgärdas. Ett larm ska gå vid överbelastning eller andra oönskade händelser.

Det här är bara exempel, det finns mer att hålla reda på. Det går inte att skylla på elaka, kinesiska hackare. Det är du som har för låg säkerhet.

Scada eller skada?

”Nu när till och med kaffeapparaterna kommunicerar via internet måste säkerheten utgå ifrån applikationen.”, skriver Åsa Schwarz.

Publicerad: 2013-02-15 03:00, Computer Sweden

Det är inte bra om ett kärnkraftverk hackas. Det är bara att snegla mot Japan för att förstå konsekvenserna. I juli 2010 upptäcktes trojanen Stuxnet som var skapad av USA för att angripa kärnkraftverk i Iran. Det blev ett abrupt uppvaknande för dem som har Scadasystem, industriella styrsystem som bland annat finns i kärnkraftverk, fastigheter, bilar och flygplan.

Två saker var uppenbart. Det ena var att hackare hade upptäckt Scadasystemen, det andra var att det allvarligaste hotet på nätet numera är stater och brottssyndikat, inte tonåringar som hackar på skoj. Sedan dess har system efter system hackats. I förra veckan upptäcktes en sårbarhet i ett fastighetssystem som gjorde att det gick att styra lås, hissar, el och videoövervakning på sjukhus och militära anläggningar.

Scadasystemen har tidigare levt i en frizon eftersom de inte varit uppkopplade mot internet och därmed aldrig testade av armadan av skadlig kod som härjar där.

Resulterat är applikationer lika fulla av hål som en schweizerost.

Kan vi inte bara låsa in dem och tejpa igen usb-ingångarna? Det kunde vara lockande, om det inte var så urbota dumt. Om hela välden kopplar upp sina industrisystem mot internet är rationaliseringsvinsten 95 biljoner kronor, hävdar General Electric i en rapport. Det är lika mycket som USA omsätter.

Vi kan inte heller gömma oss bakom brandväggen. Nu när till och med kaffeapparaterna kommunicerar via internet måste säkerheten utgå ifrån applikationen. Det är bara att inse, leverantörerna av Scadasystem har en gigantisk hemläxa att göra. De måste utveckla system som är säkra från början, även om det innebär att riva ton av gammal kod.

Samtidigt måste alla som använder systemen analysera sin miljö för att på kort sikt motverka systemens problem. På lång sikt får vi hoppas att arbetet går ut på att införa säkra Scadasystem som effektiviserar verksamheten radikalt.

Vinsterna blir enorma om vi kopplar upp Scadasystem på ett säkert sätt. Gör vi det fel, kan vi få en bokstavlig härdsmälta.