Jan Petter Torgersrud, Telenor
Jan Petter Torgersrud, Telenor
- Sikkerhet

Slik unngår du fallgruvene når «alt» skal over i skyen

Publisert: 19. august 2021 kl. 12:00

Spesielt på fire områder må virksomheten din ha full kontroll. Og har du ikke det, er heldigvis hjelpen ikke langt unna.

– Under pandemien har det gått opp for mange ledere at man ikke lenger er avhengig av fysisk kontakt til hverken ansatte eller datasystemer for at ting skal fungere. Eller at det i noen tilfeller kan gå bedre enn noen gang, sier Jan-Petter Torgersrud, sikkerhetsambassadør i Telenor.

I kjølvannet av denne rekordraske digitaliseringen har mange virksomheter fått hastverk med å flytte systemer og data opp i skyen. Og da kan det ifølge Torgersrud tidvis gå litt for fort i svingene for enkelte:

– Bedriftene ser behovet for digitalisering, og hiver seg uti. Skal data flyte, så må slusene åpnes – men ofte skjer dette før virksomheten har sett grundig på hva dette faktisk innebærer når det kommer til sikkerhet.

– Mange tror at bare man flytter bedriftens data «over i skyen», så er man trygg. Andre stikker kanskje hodet i sanden, eller innser rett og slett ikke at de er et mål for cyberkriminelle.

Da blir det raskt vanskelig å ha sikkerheten på stell, påpeker Torgersrud:

– Dessverre ser vi også altfor ofte at mange ikke skjønner dette før krisen er et faktum, og så må de kaste seg rundt for å redusere skadeomfanget etter et angrep.

Hvor skal du egentlig starte?

Ifølge Torgersrud er det ekstra viktig for virksomhetene som står på springbrettet å ta tak i denne situasjonen, og sørge for at de er godt nok sikret før de «tar steget» over i skyen … eller om de allerede er godt i gang:

– Etter å ha vært ute og snakket med mange kunder de siste årene, ser jeg at nesten alle allerede har flere skyleveranser – som lever litt uavhengig av hverandre. Ofte møter man på Azure, men så har du raskt også Salesforce, IFS, ServiceNow … kanskje så mange som ti forskjellige skytjenester. Og så skal du begynne å tenke sikkerhet oppi alt det her – da ender du raskt opp med så mange hatter at du ikke kan være sikker på at du er sikret nok.

Allerede her tror jeg mange føler seg litt overveldet. De vet ikke hvor de skal henvende seg, eller hvor de skal begynne.

Jan Petter Torgersrud, Telenor
Jan-Petter Torgersrud, sikkerhetsambassadør i Telenor.

Det gjelder ifølge Torgersrud å tilrettelegge sikkerhetsmekanismer i alle leveranseformene, slik at du får god nok innsikt til å håndtere sikkerheten generelt – på tvers av alle tjenestene.

– Men å ha innsikt og innsyn i Google Cloud eller Azure, er helt egne vitenskaper. Allerede her tror jeg mange føler seg litt overveldet. De vet ikke hvor de skal henvende seg, eller hvor de skal begynne, sier han og fortsetter:

– Mange synes da det er befriende å snakke med oss i Telenor. Da kan vi ta en dialog, og finne ut hvordan man best bør gå fram for å ivareta god sikkerhet – og hvor mye ressurser man bør bruke på det.

Kontakt Telenor for en uforpliktende prat om sikkerhet

Sikkerhetsmiljø i verdensklasse

Dette er kompetanse Telenor har tilegnet seg gjennom mange års arbeid på feltet, forteller Torgersrud.

– Telenor har forretningsenheter verden rundt, og vi har erfart hvordan man må jobbe for å tilrettelegge for sikkerhet på tvers av mange forskjellige systemer og over forskjellige lokasjoner, sier han og fortsetter:

– Når vi også forvalter nettverket som betjener 80 prosent av all datatrafikk i Norge, er vi rett og slett nødt til å ha en sikkerhetsarkitektur det går an å forsvare. For å kunne jobbe med det du har, må du også vite hva som foregår – og det krever at du har evne og mulighet til å monitorere systemene dine.

– Ser man et gult flagg i ett system, og et gult flagg i et annet system, så trenger man god nok kunnskap og teknologi til å kunne forstå at de til sammen utgjør et solid, rødt flagg.

Jan Petter Torgersrud, Telenor
Jan-Petter Torgersrud, sikkerhetsambassadør i Telenor.

Dette er erfaringer og kunnskap som kommer Telenors kunder til gode. I tillegg til gode sikkerhetsverktøy og toppkompetanse, kan Telenors sikkerhetseksperter bistå i å sette opp tilpassede leveranser.

– Ikke minst kan vi bidra til å sette opp et godt rammeverk for helhetlig sikkerhetsovervåking. Dette er helt nødvendig for å få tilstrekkelig oversikt over hva som faktisk er på ferde på tvers av forskjellige nettverkselementer og -applikasjoner, sier Torgersrud.

– Har du en rekke systemer som produserer masse alarmer, men det ikke er noen som faktisk følger med på disse, da er du like langt. Vi har det miljøet som ikke bare sitter og ser på disse alarmene, men som også er i stand til å forstå når noe er på ferde.

– Ser man et gult flagg i ett system, og et gult flagg i et annet system, så trenger man god nok kunnskap og teknologi til å kunne forstå at de til sammen utgjør et solid, rødt flagg. Da kan alarmen gå, og vi ser at noen må ha hjelp – ofte i god tid før skaden faktisk har skjedd.

Fire områder du må ha kontroll på:

Ifølge Øystein Berg, sikkerhetsarkitekt i Telenor, er det spesielt på fire områder det er ekstra viktig å ha god kontroll når virksomheter i økende grad skal jobbe opp mot skyen:

Øystein Berg, Telenor
Øystein Berg, sikkerhetsarkitekt i Telenor

1. Arkitektur og design

– Det må lages et godt design for hvordan skyløsningen skal bygges opp og sikres, på lik linje med hvordan det gjøres med lokale datasentre. Ofte glemmes det at et slikt nettverksdesign må ta høyde for god segmentering og perimetersikring, der det etableres gode skiller mellom forskjellige tjenester og solide sikkerhetskontroller.

2. God synlighet

– Det er viktig å etablere synlighet i hva som skjer både i infrastruktur og eventuelle tjenester kjøpt av skyleverandører. Her har man samme behov for sikkerhetsmonitorering og håndtering som ved drift av egne datasentre.

3. Relevant og oppdatert kunnskap

– Sikkerhetsmedarbeiderne må ha kompetanse på oppsett og sikkerhetsfunksjoner i sky. Leveransene fra de store skyleverandørene endrer seg fra uke til uke, med ny funksjonalitet som slippes ukentlig. Da er det viktig at noen har kompetanse og kan anbefale eventuelle endringer.

4. Kontroll på data

– Det gjelder å ha full kontroll på både data og datastrømmer, med en plan for hvem som har forskjellige tilganger, samt hvor krypteringsnøkler lagres. Med et softwaredefinert nettverk kan man lettere styre tilganger basert på roller og behov. Vi anbefaler også at du har kontroll på egne nøkler for «data in rest» – altså data som langtidslagres.

Sikker tilgang til skytjenestene

  • Nordic Connect er Telenors driftede løsning som gir et eget WAN eller IP VPN-nettverk mellom alle lokasjoner i bedriften. Dette garanterer et sikkert nett, og at båndbredden utnyttes maksimalt.

  • I tillegg kan kapasiteten i nettet styres slik at dere unngår unødvendig trafikk mellom for eksempel ulike avdelingskontor.

  • Med Nordic Connect kan du også få en egen forbindelse til skyen med Telenor Secure Cloud Connect – for deg som vil optimalisere sikkerhet, hastighet og tilgjengelighet til dine skytjenester.

  • Løsningene kommer med døgnåpen kundeservice, samt tilbud om en proaktiv varslings- og feilrettingsberedskap for ekstra driftssikkerhet.

Alt starter med en god sikkerhetskultur

Å flytte eksisterende IT-systemer over til skyen, kan spesielt for større selskaper være en omfattende prosess – selv med god forankring helt til topps i organisasjonen. Da er det ifølge Jan-Petter Torgersrud viktig at ledelsen også forstår verdien av god sikkerhet i prosessen.

– Men dette krever at de faktisk forstår at bedriften er et mål, og at det eksisterer en sikkerhetskultur som gjør det mulig å sikre virksomhetene mot angrepsforsøkene som garantert vil komme.

Virksomhetens modenhet reflekteres i hva du får lov til å investere i sikkerhet, forteller han.

– De som følger med i timen og forstår hva manglende sikkerhet faktisk kan koste, skjønner også hvorfor dette er noe man faktisk må investere litt i. Ofte ser jeg at den sikkerhetsansvarlige i en bedrift har lite ansvar, og gjerne er underordnet IT-avdelingen. Det forteller meg at de ikke tar sikkerheten på alvor – og at de ikke har forstått hvor stor risiko de tar, sier Torgersrud.

Han peker også på hvordan «urovekkende mange» tenker om egen data at det er informasjon som ikke er så viktig for andre.

– Men stadig flere skjønner heldigvis nå at jo, de er faktisk et mål – fordi mange norske bedrifter må samhandle i en lang verdikjede. Om trusselaktørene ikke direkte er ute etter dine data, kan en tilgang til dine systemer og tilliten du har til dine samarbeidspartnere utnyttes indirekte som et ledd i å ramme dem.

– Men med alle de nye mulighetene, vil det garantert også følge mange nye utfordringer – og da gjelder det å være forberedt.

Har vi bare sett begynnelsen?

Ifølge Torgersrud er dagens digitaliseringsrush bare en forsmak på hva de neste årene vil by på, spesielt når 5G for alvor gjør seg gjeldende for norske virksomheter.

– Vi forventer en enorm vekst i tilgjengeliggjøringen av data de neste årene, spesielt med fremveksten av 5G. I tråd med Industri 4.0-utviklingen vil også mange med operasjonelle nettverk (OT-nett) begynne å snuse på skytjenester – og da snakker vi om systemer som egentlig har vært helt frakoblet internett, og gjerne ligger tiår bak på sikkerhet, sier Torgersrud.

Bedre infrastruktur og økt datakraft i skyen vil påvirke en lang rekke forretningsområder og virksomheter, og potensielt skape mange nye inntektsstrømmer for norsk næringsliv, mener han:

– Men med alle de nye mulighetene, vil det garantert også følge mange nye utfordringer – og da gjelder det å være forberedt. Legger du et solid grunnarbeid i dag, er du bedre skodd for fremtiden. Og da spiller Telenor mer enn gjerne på lag med deg, når også vi i årene fremover vil flytte sikkerhetsfunksjonene våre til et helt nytt nivå.

Meld deg på vårt nyhetsbrev om nettverksteknologi for å holde deg oppdatert!