— Skrur man på alle sikkerhetsfunksjonene, får man ikke gjort noen ting
På Marineholmen innerst i Solheimsviken i Bergen, der mange av byens marinteknologiske bedrifter befinner seg, sitter Nils Olav Åsen og hans mannskap og håndterer IT-løsninger for brukere over hele verden. Han er Chief Solution Architect i Marin IT, og har jobbet tett med Innofactor med å flytte mellom 4000 og 4500 brukere opp i nettskyen.
Marin IT eies av DOF, et rederi innen offshore og subsea, sammen med fiskeriselskapet Austevoll Seafood. Siden brukerne og selskapene har operasjoner over hele verden, har også Marin IT etablert kontorer i Houston, Rio, Macae og Perth, i tillegg til kontorene i Bergen og på Austevoll.
— Det er en veldig kompleks infrastruktur, det er komplekse systemer, og det at de rundt 70 båtene til DOF kommuniserer over satellitt gjør det hele enda mer komplekst, sier Åsen.
Brukere som slutter - en sikkerhetsrisiko
Innofactor har jobbet med Marin IT siden skyreisen startet i 2014, og per i dag er alle brukerne hos Marin ITs kunder flyttet opp i skyen med epost, hjemmeområde og enkelte fellesområder. Det var viktig å flytte kun de brukerne som faktisk er brukere.
— Når man har midlertidige medarbeidere som er inne på prosjekter og disse slutter, bygger det seg opp en liste over folk som ikke lenger bør ha tilgang. Dette kan utgjøre en kjempestor risiko hvis man ikke har gode rutiner for å slette kontoer som ikke lenger er i bruk. Det sier administrerende direktør i Innofactor, Jørn Ellefsen.
Derfor jobbet Marin IT med kundenes HR-avdelinger for å verifisere alle brukere før de ble flyttet til skyen. Kun reelle brukere ble flyttet.
Sikrere enn eget datasenter
Åsen får ofte spørsmål fra kundene om hvor trygt det egentlig er å flytte til skyen. Er det sikkert nok når alt er ute på internett? Har man god nok kontroll på det?
— Svaret på det er at hvis du flytter identiteten til skyen sammen med eposten og hjemmeområdet, så får du en masse nye funksjoner knyttet til sikkerhet, slik at det blir sikrere enn å ha det i et eget datasenter, sier Åsen.
Et eksempel er hvordan man kan sikre brukerkontoen. Dersom denne er pålogget i Norge og samtidig blir pålogget et annet sted i verden, så er det algoritmer som plukker dette opp og utløser en alarm, og brukeren får da ikke logget seg på uten å bekrefte sin identitet via multifaktor-autentisering. Dette var noe av det første som kom på plass.
Alle skytjenestene til Microsoft kommer med et lass av sikkerhetsfunksjoner på kjøpet. Utfordringen er å skru til disse sikkerhetsinnstillingene på en balansert måte, noe Innofactors konsulenter er eksperter på.
Når sikkerhetsfolkene får bestemme for mye
— Som standard er alle disse sikkerhetsinnstillingene skrudd av, og hvis du skrur alt på kan du like godt gå hjem. Da får du ikke gjort noen verdens ting, sier Erik Monsen. Han er Business Development Manager i Innofactor, og har jobbet tett med Marin IT for å balansere sikkerheten.
Det å finne en balanse mellom god sikkerhet og samhandling og deling er utrolig viktig. Målsetningen bør være at man sikrer brukeren uten at det går på bekostning av tilgjengelighet, samhandling og innovasjon.
— Om du må inn med tofaktorautentisering hver gang du skal lese en epost, og du må klassifisere et dokument med 16 forskjellige inndelinger for å få lov til å lagre det, blir det et forferdelig sted å jobbe. Det vet folk som har jobbet på steder der sikkerhetsfolkene har fått bestemme for mye, sier Ellefsen.
— Da kan man ende med det paradokset at slike systemer blir mindre sikre. Det oppstår et skygge-IT-problem fordi brukerne finner egne veier, som å opprette konto på en gratis skylagringstjeneste og lagre ting der fordi det er mer effektivt. Jo høyere krav du stiller til passordene, dess større er sannsynligheten for at du finner en gul lapp på skjermen med passordet på, forteller Monsen.
Målet er å implementere sikkerheten i skyen på en slik måte at brukeren ikke merker at sikkerheten er skrudd på. Det er ikke alltid brukeren har forutsetning for å vite om det ene valget er trygt og det andre en katastrofe, og derfor bør sikkerhetsløsningen bygges på en måte som gjør at brukeren slipper å forholde seg til disse valgene, og at automatikken og intelligensen i løsningene ivaretar dette for brukeren.
Trekke tilbake epost
For Marin IT har starten på skyreisen blitt godt mottatt av brukerne. Mye på grunn av bedre tilgjengelighet og ny funksjonalitet. Neste stopp på reisen vil gi ny og sikrere funksjonalitet rundt epost, vedlegg og deling av dokumenter.
— Vi kan for eksempel ta i bruk funksjoner som gjør at når du sender en epost ut av huset, så er det kun mottakeren som får lov til å åpne den. Eller du kan sende eposten og si at mottaker bare får lov til å se den, men ikke skrive den ut eller videresende. Du kan til og med trekke tilbake vedlegget i en epost hvis du har sendt den til feil person, eller ikke ønsker at mottaker skal ha tilgang til dokumentet lenger, forklarer Åsen.
— Det kan være aktuelt hvis man skal levere inn et anbud og er redd for at sensitive opplysninger skal havne opp hos konkurrenten. Da kan vi ha sporing på disse dokumentene og se hvor i verden de er lest, om de er forsøkt videresendt osv. Dette er ting vi nå tester i Marin IT og som skal implementeres hos kundene etter hvert, fortsetter han.
Vi ser mange typer angrep eller datalekkasjer som kunne ha vært unngått dersom kunden hadde tatt i bruk de verktøyene de allerede har.
Erik Monsen
Slik kan sikkerheten stadig raffineres, for eksempel ved at du får åpne et dokument på en PC som er i bedriftens forvaltningsregime når PC-en befinner seg i bedriftens IP-sone, men ikke når du er på hotell i Russland, og heller ikke dersom du har tatt med deg Mac-en hjemmefra, selv om du er pålogget bedriftens WiFi.
Mange støttemedlemmer
— Akkurat som jeg er støttemedlem på treningssenteret, er det utrolig mange bedrifter som er støttemedlemmer hos Microsoft. De betaler for masse funksjonalitet, men lar være å bruke den. De ser ikke hele mulighetsbildet, og får dermed heller ikke bygget opp en helhetlig sikkerhetspolicy rundt Microsoft 365. Vi ser mange typer angrep eller datalekkasjer som kunne ha vært unngått dersom kunden hadde tatt i bruk de verktøyene de allerede har, sier Monsen.
Det er her Innofactor kommer inn og bistår med å konfigurere Microsoft 365 i et helhetsperspektiv, slik at man får igjen for det man betaler for, og sørger for at nye funksjoner som stadig puttes inn i produktene også blir kjent. Slik sett er skyreisen en reise som ikke nødvendigvis tar slutt.
At Innofactor i vinter ble utnevnt til årets sikkerhetspartner 2018 av Microsoft, mener Åsen er velfortjent. Kompetansen til Innofactor har vært gull verdt for Marin IT.
— Selv om vi har mange dyktige og oppdaterte folk her i Marin IT, hadde det nok tatt mye mer tid om vi skulle ha gjort dette selv, sier Åsen. — Tid er jo også penger.
— Det er viktig å innse at det er en forretningsmessig oppside ved disse skyløsningene også. Det kan godt hende du betaler mer i lisens per hode, men du sparer mye på å slippe forskjellig tredjepartsprogramvare, som har en dyr lisenskost og som krever kompetanse for å forvaltes og vedlikeholdes, avslutter Monsen.