DEBATT

Slik sikrer du at du har kontroll på virksomhetens data

Uansett om du lagrer data i egne datasentre eller hos en skyleverandør, er det dine data – og det er du som til syvende og sist er ansvarlig for hvordan disse sikres og kan gjenbrukes, skriver Henrik Schewe, systemarkitekt i Sicra, i denne kronikken.

Henrik Schewe er systemarkitekt i Sicra og jobber med IT-sikkerhet.
Henrik Schewe er systemarkitekt i Sicra og jobber med IT-sikkerhet. Foto: Sicra
Av Henrik Schewe, systemarkitekt i Sicra AS
14. sep. 2022 - 17:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

De fleste virksomheter benytter til daglig et stort antall ulike informasjonssystemer. Det å sikre at data som ligger lagret i alle de ulike systemene, ikke kommer på avveie, er til syvende og sist styrets og toppledelsens ansvar. I de fleste tilfeller er imidlertid ansvaret delegert nedover i organisasjonen. Digitaliseringsdirektoratet har laget en fin oversikt over ulike roller man kan ha i en virksomhet når det kommer til oppgavene innenfor informasjonssikkerhetsarbeidet.

Dersom et informasjonssystem blir utilgjengelig, vil jeg påstå at skadeomfanget kan sees på med en logaritmisk formel. Det har gjerne ingen eller små konsekvenser dersom intervallet er kort, men konsekvensene vil øke eksponentielt med tiden. Hvor raskt konsekvensene øker, er avhengig av kritikaliteten til systemet.

Hvem har egentlig ansvaret?

Virksomheter som har data i egne datasentre, vil fullt ut selv være ansvarlig for å sikre og ta vare på disse dataene. Dersom virksomheten leier tjenester som IaaS, PaaS eller SaaS fra en leverandør, er det kanskje mer uklart hvem som har ansvaret ved tjenesteutfall, tap av data og et eventuelt erstatningsansvar.

Det finnes mange ulike avtaleverk, og det er ikke unormalt at en leverandør beskriver at de er ansvarlige for å sikre data med for eksempel redundans på infrastruktur, så som lagringsmedium, men at de ut over det tar mange forbehold når det gjelder ansvar. En annen faktor er gjerne at det benyttes utenlandske leverandører som krever at tvister vil måtte føres for rettsinstanser i andre land enn Norge.

Det er naturligvis i en leverandørs egeninteresse at tjenesten er operativ, kan benyttes og at kundene er fornøydr. Resultatet av større tjenesteutfall og potensielt tap av data vil jo kunne betyr kroken på døren for leverandøren, eller i beste fall et omdømmetap.

En leverandør vil gjerne ikke legge begrensninger for hva en kunde kan gjøre med sine data, så om en autorisert bruker velger å slette, overskrive eller kryptere innhold, er det ikke sikkert at leverandøren kan bistå med å gjenopprette data.

Lockout er en annen sak man må tenke på med eksterne leverandører. Dersom en leverandør mener at du har brutt avtalevilkår eller på en annen måte er uønsket som kunde, er det fort gjort å kunne bli utestengt. I de tilfellene er dine data plutselig blitt til et gissel, og det kan være både tid- og ressurskrevende å få dem tilbake, noe vi har eksempler på også i Norge.

Det begynner å bli noen år siden, men mange husker nok innbruddet hos Multiconsult hvor målet var data. Selv om data ligger stille og ikke kan nås via nettverk eller internett, kan det altså være av interesse for noen.

Uavhengig av hvilket informasjonssystem eller hvor data ligger lagret, må du huske på å ha anledning til å bytte informasjonssystem og å beholde dine data. Hva gjør du dersom en leverandør velger å legge ned en tjeneste eller et produkt dere benytter? Hva hvis prisen plutselig skrus kraftig opp? Hva om dere selv ønsker å bytte leverandør eller system?

Tre gode råd

Det er viktig å ha et bevisst forhold til hvilke data du har, hvor de er lagret og hvordan man sikrer og kan gjenopprette sine egne data ved uforutsette hendelser.

Her er tre tips til hvordan du sikrer at data ikke kommer på avveie:

1. Kategoriser dine data

Vurder hvor kritisk systemet er for virksomheten, og kategoriser dataene. Tenk gjennom hvor lenge dere kan klare dere med alternative beredskapsløsninger og hva konsekvensen vil være dersom systemet med dets data plutselig blir borte for alltid. Det kan være mange årsaker til utilgjengelighet, alt fra planlagt vedlikehold, utfall i mellomliggende systemer og feil i programvare eller maskinvare til skadeverk eller lockout.

Du bør ha tre kopier av dataene (produksjon, backup 1 og backup 2), to ulike lagringssystemer samt én kopi på et annet fysisk sted. For å ta hensyn til angrep mot selve backupsystemet, anbefales det også å ha én kopi som er frakoblet både internett og nettverk (offline).

2. Sjekk backupen

Sjekk med jevne mellomrom at du får tatt backup av kritiske data og at du kan kontrollere integriteten til backupen. Utform beredskapsplaner, finn ut hvilke data det skal tas backup av, hvilke tilganger som trengs for å ta backup, hvordan du kan gjenskape og tilgjengeliggjøre data samt hvordan du bekrefter at integriteten til dataene er intakt.

Dersom du har produksjonsdata i sky eller leid som en tjeneste, er kanskje den raskeste veien til mål å også plassere backup av slike data hos en eller annen leverandør. Vær da oppmerksom på å teste hvor raskt du kan få hentet ut data fra en slik tjeneste og om du kan gjenopprette data til et annet format.

3. Vær like bevisst rundt sikring av backup som av produksjonsdata

De siste årene har det eksplodert i tilfeller hvor virksomheter har blitt utsatt for løsepengeangrep og bedriftens data blir kryptert. Dersom angriperne får tilgang til dine backupdata, sletter eller krypterer de også disse. Det er derfor særs viktig å huske på at du også må sikre backupdata, på lik linje med produksjonsdata.

Så lenge noen kan nå dine data via nettverk eller ved å bryte opp noen dører, bør du gjøre tiltak: Benytt ulike servicekontoer for tilgang til og lagring av backupdata, ikke bland aksessystemer til produksjons- og backupdata, krypter backupdata – og hvis du benytter skytjenester, bør du bruke flere leverandører eller datasentre.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.