Molntjänster – delat ansvar slutar ofta med inget ansvar

Det finns ett stort kompetensgap idag när företag flyttar ut tjänster, information och resurser i publika molntjänster. Det råder alltför ofta missförstånd om var ansvarsgränserna går.

Microsoft Azure, Amazon Web Services och Google Cloud. Nästa alla företag har redan någon del av sin verksamhet hos någon av nämnda molntjänsteleverantörer. Använder man dessutom fler än en molntjänsteleverantör gäller det att ha koll på vilka konton man har och var de ligger.

– Vi ser många kunder där det tagits ledningsbeslut på att man ska ut i molnet. Sedan är inte alla delar av verksamheten med på vad det innebär, vilket i flera fall har resulterat i att resurser har exponerats helt oskyddat mot internet till exempel, säger Hans Graah-Hagelbäck, säkerhetskonsult på Sourcecom.

Iaas, Saas, PaaS, det är lätt att gå vilse bland terminologin. I grund och botten handlar det om vilken typ at tjänst molntjänsteleverantören erbjuder och med den kommer en ansvarsfördelning. I Iaas till exempel, där man köper infrastruktur som tjänst, så måste man som kund vara medveten om att det är upp till den egna verksamheten att applicera de skydd som krävs.

– Enkelt förklarat kan man säga att molntjänsteleverantören ansvarar för säkerheten för molnet och du som kund ansvarar för säkerheten i molnet. Både molntjänsteleverantörerna och diverse säkerhetsleverantörer erbjuder allt från enkla till avancerade säkerhetsfunktioner som kan implementeras i din molninfrastruktur. Men det är ditt ansvar att aktivera och konfigurera dem.

Det dyker upp nya incidenter i pressen nästa varje vecka där mer eller mindre känsliga uppgifter har legat öppet för allmänheten. I vissa fall beror det på slarv men i många fall beror det på okunskap. Kompetensen i verksamheterna när det gäller säkerhet i molnet är inte i fas med företagens migreringstakt.

– Så är det. Vi hjälper gärna till både vid beslut, upphandling, migrering eller säkring av molntjänster. Vår erfarenhet spänner över många olika typer av verksamheter och molntjänsteleverantörer.

En annan utmaning är att verksamheters systemutvecklingsavdelning ofta lever ett eget liv där publika molntjänster, containers, delning och snabb release av ny kod ofta går säkerhetsavdelningen förbi.

– Att förstå hur utvecklarna arbetar och ge dem rätt förutsättningar och verktyg för en säker utveckling, release och förvaltning är extremt viktigt och något som tyvärr ofta förbises.