Vurdering av sikkerheit i skytenester

Her finn du nokre tema som vi finn relevante om vurdering av sikkerheit i skytenester samt gode råd for vurdering av informasjonssikkerheit. Rammeverk for vurdering av behov og krav til dokumentasjon om sikkerhet i skytenester finn du under verktøy og maler nederst på sida.

Publisert: 20. des 2016, Sist endra: 15. nov 2018

Behandling utanfor Noreg

Det er usakleleg å stille krav om behandling av data skal skje i Noreg.

Unntak gjeld anskaffingar som vert omfatta av sikkerheitslova, viss anna regelverk er til hinder eller viss ei risikovurdering viser at det ikkje vil verte tilfredsstillande sikkerheit ved lagring i utlandet.

Viss du har personopplysningar i løysinga må du følge bestemmingane i kapittel 5 i personopplysningslova og kapittel 6 i personopplysningsforskrifta. Hugs at behandling inkluderer ein kvar bruk av personopplysningar, som t.d. innsamling, registrering, samanstilling, lagring og utlevering eller ein kombinasjon av slike bruksmåtar. Det betyr at det ikkje er nok å sjå på kor opplysningane vert lagra. Du må også sjå på kor dei kan hentast ut, kor dei kan administrerast frå og så vidare. Ei praktisk tilnærming er at ein nyttar EU-kommisjonens standardavtalar for overføring av opplysningar til tredjeland (land utanfor EØS-området).

Viss du behandlar opplysningar som er teiepliktige må du også vurdere om det kan vere lovgiving eller forhold i andre land som gjer at du kan få problem med å overhalde teieplikta. Dette kan til dømes vere andre lands praksis med utlevering av opplysningar til myndigheiter.

For alle typar opplysningar må du gjere ei risikovurdering. Kan det ha noko å seie for informasjonens konfidensialitet, integritet eller tilgjengelegheit viss dei vert behandla i eit anna land enn Noreg?

Betre sikkerheit å behandle sjølv?

Det er ikkje slik at noko automatisk vert sikrare av å leggast i skya. I nokre tilfelle kan ein få betre sikkerheit, men det kan også gi dårlegare sikkerheit.

Spesielt for små verksemder kan det vere vanskeleg å ha eit godt nok sikkerheitsnivå. Det kan gjelde både teknisk kompetanse, vedlikehald av system, fysisk sikring og anna. Viss ein vel ein seriøs skyleverandør, kan desse stort sett tilby god kompetanse på sikkerheit, god sikring både fysisk og teknisk, høg oppetid, gode rutinar for tetting av sikkerheitshol og gode rutinar for sikkerheitskopiering.

Samtidig er det framleis verksemda som har ansvaret og det er viktig at ein har tilstrekkeleg styring og kontroll på korleis informasjonen vert behandla. Dette kan vere meir utfordrande viss ein set heile eller deler av ei løysing ut til andre. Vurderingane her vil i stor grad vere die same om ein bruker tradisjonelle eksterne leverandørar eller om ein bruker skyleverandørar.

Tilgangslogg

Må leverandøren gi meg logg over kven som har hatt tilgang til opplysningane i skytenesta?

I ein del tilfelle er det lovkrav om at ein skal kunne sjå kven som har hatt tilgang til opplysningane. Dette gjeld til dømes pasientar sin rett til innsyn i kven som har hatt tilgang til deira helseopplysningar. Tilgangsloggar kan også vere avgjerande for å vite om lovpålagt teieplikt er overhalden.

Verksemda må også vurdere sitt eige behov for å ha oversikt over kven som kan ha sett eller endra opplysningar.

Gode råd for vurdering av informasjonssikkerhet i skytjenester

Rådene er basert på «Implementing the Cloud Security Principles» fra Storbritannias National Cyber Security Centre, publisert under Open Government Licence. Prinsippene er oversatt og tilrettelagt for norske forhold av Difi.

Sikring under overføring

Nettverkene du bruker til å overføre informasjon må være tilstrekkelig sikret mot endring og avlytting.

Du bør be leverandøren av skytjenesten om dokumentasjon på:

  • Hvordan informasjon er sikret under overføringen mellom virksomheten din (for eksempel brukernes PC-er, nettbrett, mobiler eller lignende) og skytjenesten.
  • Hvordan informasjon er sikret når den overføres internt i skytjenesten (for eksempel mellom leverandørens datasentre).
  • Hvordan informasjon er sikret når den overføres mellom skytjenesten og andre tjenester (for eksempel gjennom et API).

Du må vurdere om du trenger en verifikasjon av denne dokumentasjonen for å ha tilstrekkelig tillit til denne, dette kan være en revisjon eller sertifisering gjennom en uavhengig tredjepart.

Tekniske løsninger

Det finnes ulike metoder for å beskytte informasjon under overføring. Den vanligste mellom en kunde og en skyleverandør er bruk av protokollen SSL/TLS (Secure Sockets Layer/Transport Layer Security). TLS er en nyere versjon av SSL, men SSL-navnet brukes fortsatt av mange. Det er viktig å bruke både oppdatert versjon av protokollen og en anerkjent sertifikatutsteder for identifisering av skytjenesten.

Ved større behov for sikkerhet bør i tillegg selve informasjonen krypteres.

Datasenterets beliggenhet

Når datasentre ligger i andre land enn Norge, vil det være annen lovgivning enn den norske som gjelder. Den fysiske beliggenheten av skyleverandørens datasentre vil ha betydning for hva slags informasjon som kan håndterers der. I tillegg påvirker den fysiske beliggenheten hvilke juridiske vilkår som gjelder med hensyn på når andre (for eksempel et annet lands myndighet) kan få lovlig tilgang til informasjonen din.

Det er derfor viktig å vite hvor informasjonen din håndteres (dette inkluderer også lagring).

Du trenger å vite følgende:

  • Forvalter virksomheten din informasjon som er underlagt regelverk som stiller spesielle krav til hvor den kan håndteres? Dette gjelder spesielt skjermingsverdig informasjon, arkiv, bokføringsdata og personopplysninger. Du kan lese mer om hvilke typer informasjon det stilles spesielle krav til
  • I hvilke land håndteres informasjonen din? Fra hvilke land kan ansatte hos leverandøren få tilgang til informasjonen? Skyleverandøren bør kunne gi deg informasjon om dette.
  • Kan leverandøren av skytjenesten tilfredsstille de kravene du har? Dette kan enten være ved at de kun har datasentre i land som tilfredsstiller kravene dine, eller ved at de kan begrense hvilke datasentre din virksomhets informasjon håndteres i.

Vi anbefaler at du følger Datatilsynets veileder for skytjenester dersom virksomheten din forvalter personopplysninger og vurderer å ta i bruk en skytjeneste.

Datsenterets sikkerhet

Datasentre må være fysisk sikret, slik at uvedkommende ikke får adgang. Dersom datasenteret ikke er godt nok sikret, kan informasjon bli kjent for uvedkommende, bli endret eller gå tapt, det kan gjøres endringer på systemene, og utstyr kan bli stjålet.

Du må derfor sjekke hvordan tilbyderen av skytjenester sikrer datasentrene sine. Du må i forkant ha gjort en risikovurdering av arbeidsoppgavene i din virksomhet hvor skytjenesten skal inngå – hva som er tilstrekkelig sikkerhet vil være avhengig av hvilke risikoer du har identifisert.

Du finner informasjon om hvordan du kan gjennomføre en risikovurdering på Difi.no.

Du må vurdere følgende:

  • Dersom leverandøren ikke ønsker å gi ut detaljer om hvordan han har sikret datasentrene sine, må du vurdere hvilken grad av tillit du har til leverandøren og hans forsikringer om hvordan datasentrene er sikret.
  • Dersom datasenterleverandøren oppgir hvordan han sikrer datasentrene, må du vurdere hvorvidt du synes disse sikkerhetstiltakene er tilstrekkelig.
  • Enkelte datasentre er sertifisert etter anerkjente standarder som også dekker fysisk sikring. Da må du vurdere om standarden dekker de områdene som er viktige for deg.

Det er alltid en fordel om den fysiske sikkerheten er vurdert av en uavhengig tredjepart.

De fleste store datasentre vil ha betydelig bedre fysisk sikring enn det som er vanlig dersom en virksomhet drifter systemene selv i egne lokaler.

Sikring av lagret informasjon

Det vil være mange som har adgang til en skyleverandørs datasentre, men som ikke skal ha tilgang til informasjonen din.

Derfor må du sjekke om informasjonen din er sikret mot uautorisert tilgang når den er lagret hos skyleverandøren. Tiltak for å hindre uautorisert tilgang kan være:

  • fysisk sikring av datasenteret, for eksempel adgangskontroll (se forrige avsnitt)
  • kryptering av informasjonen.
  • en kombinasjon av de to

Dersom det er viktig for deg at informasjonen er kryptert hos leverandøren, bør du også være bevisst hva slags kryptering som er valgt og hvordan krypteringsnøklene håndteres.

Leverandøren av skytjenesten kan også oppgi at han sikrer informasjonen slik at det er svært vanskelig å finne en spesifikk kundes informasjon dersom man har tilgang til det fysiske lagringsmediet. Dette kan imidlertid være vanskelig å verifisere, og det er derfor viktig å ha en forståelse av tilliten du kan ha til de andre tiltakene.

Sletting

Det er viktig at du har vurdert hva som skal skje med informasjonen dersom leverandøren slutter å tilby tjenesten, du ber om at leverandøren sletter et utvalg av informasjonen, eller dersom du vil bytte tjenesteleverandør. I tillegg vil leverandøren fra tid til annen bytte ut utstyr som håndterer informasjonen din. Dersom det ikke gjøres en skikkelig opprydding, risikerer du at informasjonen din blir liggende på leverandørens utstyr, og at den kan komme på avveie.

Du må derfor vurdere hvilket behov du har for at informasjonen slettes, og be leverandøren om dokumentasjon på følgende:

  • Hvordan håndterer leverandøren informasjonen din når det flyttes mellom tjenester eller du avslutter en tjeneste, eller når du ber leverandøren om å slette den. Det er viktig at leverandøren har rutiner og systemer som sikrer at informasjonen din slettes. Dette gjelder også sikkerhetskopier og eventuelle andre lokale kopier.
  • Hvordan sikrer leverandøren at informasjonen din ikke kan bli tilgjengelig for andre kunder dersom utstyr gjenbrukes til andre.
  • Hvilke rutiner har leverandøren for å slette informasjon og for å kvitte seg med lagringsmedier på en forsvarlig måte, ved fornyelse av teknisk infrastruktur.
    Det kan også være hensiktsmessig å ta stilling til følgende:
  • Hvilke garantier har du for at informasjonen faktisk slettes?
  • Hvilken mulighet har du for å sjekke at informasjonen er slettet?
  • Hvilke sanksjonsmuligheter har du i kontrakten?

Oppetid

En tjeneste må være tilstrekkelig robust, det vil si at den må være tilstrekkelig motstandsdyktig mot uønskede hendelser.

Uønskede hendelser omfatter både ondsinnede angrep og andre feilkilder, som tekniske feil, strømbrudd eller menneskelige feil. Hvordan skyleverandøren har innrettet seg for å håndtere denne typen hendelser, vil ha betydning for tilgjengeligheten til tjenesten din.

Du bør vurdere hvilke behov virksomheten din har for oppetid for hver av sine tjenester – hvor viktig er det for virksomheten at informasjonen er tilgjengelig? Ulike typer informasjon har ulike behov:

  • Noe informasjon må være tilgjengelig hele tiden
  • Noe informasjon er det spesielt kritisk at er tilgjengelig i spesielle tidsperioder
  • For annen informasjon kan det være uproblematisk med noe nedetid

Deretter må du vurdere om leverandørens garantier for tilgjengelighet kan møte de behovene du har identifisert.

Leverandørens garantier vil typisk være formulert i en tjenestenivåavtale (Service Level Agreement – SLA). En SLA er ikke en garanti for at leverandøren har iverksatt hensiktsmessige tiltak for å sikre tilgjengeligheten, og du må derfor løpende følge opp avtalen.

SLA-en bør også si noe om hvordan du vet at det har vært nedetid, og hvordan du kompenseres for det. Det er en fordel dersom leverandøren forplikter seg til å selv varsle om nedetid og kompensere det uten at du krever det.

Dersom du har strenge krav til oppetid, kan det være fornuftig å også vurdere leverandørens historikk når det gjelder tilgjengelighet. Du kan også be om dokumentasjon på hva leverandøren har gjort for å sikre at tjenesten er robust.

En arbeidsgruppe nedsatt av EU-kommisjonen har utarbeidet «Cloud Service Level Agreement Standardisation Guidelines» (PDF). Her finnes forslag til krav til ytelse og tilgjengelighet, så vel som krav til sikkerhet, informasjonshåndtering og beskyttelse av personopplysninger.

Kundeskille

Ved bruk av en skytjeneste deler kunder av tjenesten som regel ressurser med andre kunder. Dersom én kunde har onde hensikter, eller blir angrepet, skal ikke dette kunne påvirke skyleverandørens andre kunder.

Skillet mellom kundene påvirkes av:

  • Typen tjeneste – programvare (SaaS), plattform (PaaS) eller infrastruktur (Iaas)
  • Hvem du deler tjenesten med. Dette er styrt av leveransemodellen – privat sky, gruppesky eller allmenn sky. I en allmenn sky må du være bevisst at det kan være kunder som har onde hensikter, eller at det kan være kunder som andre ønsker å angripe, og treffe tiltak i forhold til dette.
  • Hvordan skillet mellom kunder er implementert i tjenesten

Det er derfor viktig at du er klar over hva slags tjeneste du har valgt og hvem du deler ressurser med – om det er likeartede virksomheter, eller «hvem som helst».

Les mer om ulike typer skytjenester og leveransemodeller.

Tekniske løsninger

Du bør forsikre deg om at leverandøren har sørget for tilstrekkelig skille mellom kundene i sin tjeneste. Leverandøren kan ha to tilnærminger til dette:

  • Virtualisering (hypervisor): Dersom leverandøren bruker anerkjente og mye brukte virtualiseringsteknikker, vil dette gi bedre skille mellom kunder enn annen programvare. Enkelte virtualiseringsprodukter er sertifisert etter anerkjente sikkerhetsstandarder.
  • Annen programvare som skiller mellom kunder, for eksempel operativsystem, webtjener eller andre applikasjoner: En slik tilnærming gir større sårbarhet enn virtualisering. I et slikt tilfelle bør du undersøke hvordan løsningen er kvalitetssikret og hvilke rutiner leverandøren har for å teste sikkerheten i løsningen, for eksempel i form av penetrasjonstesting.

Leverandørens arbeid med informasjonssikkerhet

Internkontroll på informasjonssikkerhetsområdet – også kalt styringssystem/ledelsessystem for informasjonssikkerhet – hjelper skyleverandøren å ha tilstrekkelig styring og kontroll på håndtering av tjenesten og informasjonen som forvaltes i den.

Effektiv internkontroll sørger for at retningslinjer og sikkerhetstiltak (menneskelige, fysiske og teknologiske) fortetter å fungere effektivt, også dersom tjenesten endres, teknologien videreutvikles, eller nye trusler oppstår.

Du kan lese mer om internkontroll på informasjonssikkerhetsområdet på Difi.no.

Du bør undersøke om leverandøren kan dokumentere slik internkontroll, med tilhørende prosesser, som tilfredsstiller de kravene du har identifisert gjennom din risikovurdering av dine tjenester hvor skytjenesten skal inngå. En skyleverandør dokumenterer gjerne dette ved å vise til en sertifisering, for eksempel ISO/IEC 27001. Det er imidlertid viktig å kontrollere at omfanget av sertifiseringen dekker ditt behov.

Leverandøren bør ha en navngitt person som er ansvarlig for sikkerheten i skytjenesten. Denne personen har gjerne tittelen «Chief Security Officer», «Chief Information Officer», «Chief Technical Officer» eller lignende.

Leverandøren må sørge for å ha rutiner for å identifisere og sikre at driften av tjenesten er i samsvar med gjeldende lover og forskrifter. For internasjonale aktører vil dette naturlig nok ikke gjelde spesifikt norsk regelverk. Skyleverandøren vil typisk ha en oversikt over internasjonale og nasjonale krav og sertifiseringer som de opererer i samsvar med (for eksempel krav fra USAs helsemyndigheter, krav til betalingstjenester og lignende). De mest relevante av disse for norsk offentlig sektor vil være EUs krav til behandling av personopplysninger, samt eventuelle sikkerhetssertifiseringer.

Husk: Skyleverandøren kan ikke vurdere hvor store konsekvenser en uønsket hendelse kan ha for din virksomhet, eller hva slags risikoer du er villig til å akseptere. Det er derfor viktig at du gjennomfører egne risikovurderinger, selv om du får rapporter og vurderinger fra skyleverandøren.

Leverandørens endringshåndtering

Du bør vite hvilke komponenter tjenesten består av, hvordan de er satt opp, og hvilke avhengigheter som finnes. Dette er mest aktuelt dersom du kjøper infrastruktur og plattform som skytjeneste.

Leverandøren må ha en prosess for å håndtere endringer. Denne prosessen skal sikre at endringer som kan påvirke sikkerheten identifiseres og håndteres, og at uautoriserte endringer kan oppdages. Endringer skal følges opp helt til de er ferdigstilt.

Dersom endringer ikke håndteres og styres ordentlig, kan det introdusere sikkerhetsrisiko i tjenesten uten at man er klar over det.

Du bør i tillegg forsikre deg om at status, plassering og konfigurasjon av de ulike komponentene (både maskinvare og programvare) blir sporet gjennom hele levetiden.

Leverandørens arbeid for å begrense sårbarheten

Leverandøren skal ha en prosess for å identifisere, vurdere og prioritere, samt begrense sårbarheter. Tjenester som ikke har slike prosesser, vil være sårbare for angrep.

«Oppskrifter» på hvordan man kan utnytte sikkerhetshull spres gjerne på internett kun timer etter at de er oppdaget. Det finnes ingen sikkerhetssystemer som kan forsvare deg mot ukjente trusler, men det er viktig at leverandøren setter inn tiltak innenfor akseptable tidsrammer. Følgende kan ses på som minimum god praksis:

  • Kritiske sikkerhetsoppdateringer bør implementeres i løpet av få timer
  • Viktige sikkerhetsoppdateringer bør implementeres i løpet av to uker
  • Andre sikkerhetsoppdateringer bør implementeres i løpet av åtte uker.

Normalt vil programvare levert som skytjeneste (SaaS) fra leverandøren ha sikkerhetsoppdateringer på plass raskere enn lokale systemer.

Du bør forsikre deg om at:

  • Leverandøren holder seg oppdatert på risikobildet, analyserer løpende potensielle trusler og sårbarheter, og har rutiner for å sikre at det blir gjennomført relevante tiltak.
     
  • Leverandøren har systemer for endringshåndtering som følger sårbarheten fram til mottiltakene er iverksatt.

Du er kjent med leverandørens tidsrammer for håndtering av sårbarheter, og at de tilfredsstiller dine behov (basert på den risikovurderingen du har gjort av dine tjenester).

Leverandørens overvåking av systemer

Det er viktig at leverandøren overvåker systemene for å oppdage angrep, misbruk og feil. Det er like viktig at leverandøren har systemer for å oppdage slike trusler fra interne som fra eksterne aktører.

Du bør forsikre deg om at:

  • Tjenesten genererer aktivitetslogger og andre rapporter som gjør det mulig å identifisere mistenkelig aktivitet.
  • Det gjøres analyser av disse loggene og rapportene for å identifisere eventuelle problemer.
  • Eventuelle hendelser som oppdages håndteres innen rimelig tid.

For infrastruktur eller plattform som tjeneste er det du som kunde som kjører dine systemer på leverandørens infrastruktur. Det vil da sannsynligvis være ditt eget ansvar å sørge for slik systemovervåkning. Mange leverandører tilbyr løsninger for dette som egne skytjenester, ofte omtalt som «Security as a Service» (SECaaS).

Det er også viktig at du som kunde kan få tilgang til logger og data du trenger for å holde oversikt over hvem som har sett på eller endret informasjon og når det er gjort, avsløre misbruk eller ondsinnet aktivitet, avsløre feil, avdekke overforbruk, osv.

Du bør sjekke hvor mye data leverandøren vil gi deg tilgang til, når du kan få tilgang, hvilket format du får dataene på, og hvor lenge leverandøren lagrer slike data før de slettes. Du må vurdere i hvilken grad dette tilfredsstiller dine behov.

Logg

På noen områder er det regelverk som direkte eller indirekte stiller krav til logging. For eksempel har både pasientjournalloven og helseregisterloven krav om logging som et tiltak for «tilfredsstillende informasjonssikkerhet». Her må virksomheten selv vurdere hvilken logging som er egnet. I pasientjournalloven gis pasientene også en rett til å få innsyn i hvem som har hatt tilgang til opplysninger om dem. Her stiller altså loven mer konkrete krav til hva som skal logges.

I den nye personvernforordningen er det også krav om at Datatilsynet skal varsles om sikkerhetsbrudd, f.eks. at opplysninger er slettet eller kommet på avveie. Varsling skal skje så snart som mulig etter bruddet, og senest innen 72 timer. Denne varslingsplikten gjelder sikkerhetsbrudd som medfører risiko for den registrerte, men alt som regnes som sikkerhetsbrudd skal iht. forordningen dokumenteres. For alvorlige brudd skal normalt også den registrerte varsles. Dersom man behandler personopplysninger i skytjenesten, er det derfor viktig med logging og varsling som gjør det mulig å oppfylle dette kravet.

Leverandørens tiltaksplaner

Dersom leverandøren ikke har planlagt hvordan ulike hendelser skal håndteres, er det sannsynlig at det vil bli gjort dårlige valg dersom en kritisk situasjon oppstår. Det trenger ikke nødvendigvis være komplekse prosesser eller omfattende rammeverk, men god hendelseshåndtering minimerer ulemper for brukerne av tjenesten.

Du bør forsikre deg om at:

  • Leverandøren har på plass prosesser for hendelseshåndtering og bruker disse aktivt når hendelser oppstår.
  • Det er satt opp forhåndsdefinerte prosesser for å håndtere vanlige typer hendelser og angrep.
  • Leverandøren har rutiner og prosesser for å ta imot melding om sikkerhetshendelser fra kunder og andre eksterne.
  • Du får informasjon om hendelser som er relevante for deg som kunde innen rimelig tid og på et egnet format.

Du bør også selv ha på plass prosesser for hendelseshåndtering for de delene av systemet der du selv evt. står for overvåkningen (for eksempel dersom du kjører egne systemer på en skyleverandørs infrastruktur).

Du finner mer generell informasjon om overvåking og hendelseshåndtering på Difi.no.

Tjenesteutvikling

Når nye tjenester skal designes og utvikles, må potensielle risikoer identifiseres og nødvendige tiltak for å håndtere disse risikoene iverksettes.

Du bør forsikre deg om at leverandøren:

  • har vurdert risikobildet og tatt høyde for dette i utviklingen av sine tjenester.
  • følger «beste praksis» på sitt felt når det gjelder sikker design, programmering, testing og produksjonssetting.
  • har prosesser for konfigurasjonsstyring som sikrer løsningens integritet gjennom utvikling, testing og produksjonssetting.

Vær oppmerksom på at sikker utvikling ikke nødvendigvis betyr at man må designe og utvikle tjenesten selv. Ofte kan det sikreste være å velge moden og velutprøvd hyllevare.

Gjennom hele utviklingsløpet må mulige risikoer vurderes og også hvilke tiltak som kan settes inn for å håndtere dem. Samtidig er det viktig å balansere sikkerhet mot kostnader og brukervennlighet.

Sikker leverandørkjede

Programvare i skyen leveres gjerne gjennom en tredjeparts infrastruktur eller plattformtjeneste. Dette gjør at kundene kan gjenbruke veldokumenterte, sikre komponenter fra infrastruktur- eller plattformleverandøren. Da er det viktig at det er klart identifisert hvem som har ansvaret for hvilke deler av sikkerheten.

Du bør be leverandøren om dokumentasjon på:

  • Hvordan din informasjon blir delt med, eller gjort tilgjengelig for, tredjepartsleverandører og deres eventuelle underleverandører
  • Hvilke sikkerhetskrav leverandøren stiller til sine underleverandører
  • Hvordan sikkerhetsrisiko fra underleverandører håndteres
  • Hvordan leverandøren verifiserer at underleverandører overholder kravene til sikkerhet

Tilgangskontroll

All tilgang til tjenesten bør begrenses til personer som er autentisert og autorisert for slik tilgang.

Tilgangskontroll handler om å tildele, endre, slette og føre kontroll med hvem (person/rolle) som har tilgang til ulik informasjon på hvilke tidspunkt, til hvilken bruk, under hvilke forutsetninger og hvordan de får tilgang.

Det gjelder både virksomhetens egne brukere, eksterne brukere/kunder eller leverandørens ansatte eller underleverandører.

Tilgangskontroll er nødvendig for å sikre forsvarlig utvikling/anskaffelse, drift, bruk, vedlikehold og avvikling av virksomhetens informasjonssystemer.

I tillegg til å sikre gode prosesser for tildeling av tilgang, bør du forsikre deg om at skyleverandøren har løsninger for autentisering som gjør at kun autoriserte brukere får tilgang til tjenesten. Dersom uautoriserte får tilgang til systemene dine, kan dette føre til brudd på konfidensialitet, integritet eller tilgjengelighet.

Leverandørens tjenesteadministrasjon

Skyleverandøren bør stille til rådighet verktøy som gjør at du kan administrere bruken av tjenesten på en god måte. Brukergrensesnittet for å administrere tjenesten er en viktig del av sikkerhetsgrensesnittet mot omverdenen, og må kunne hindre uautorisert tilgang til, og endring av, ressurser, applikasjoner og informasjon.

Typiske oppgaver er oppretting og avvikling av brukerkontoer, håndtering av brukerinformasjon og endring eller bestilling av nye tjenester. I noen tilfeller kan også administrasjon av tjenesten være satt ut til en underleverandør.

Autentisering av brukere for administrasjon av tjenesten

Brukere som skal administrere tjenesten må autentiseres før de kan få tilgang til å utføre oppgaver, rapportere feil eller legge inn endringsordre.

Skyleverandøren må sikre at alle administrative forespørsler som kan påvirke sikkerheten skjer gjennom sikre kanaler. Dersom man ikke har tilstrekkelig streng autentisering, kan uautoriserte få tilgang til å gjennomføre oppgaver som kan påvirke sikkerheten.

Du bør forsikre deg om at:

  • Du er kjent med alle kanaler leverandøren mottar henvendelser på (for eksempel portal, telefon, e-post etc.).
  • Bare autentiserte brukere fra din organisasjon har tilgang til å bruke disse kanalene
    Du bør gjøre en vurdering av leverandørens mekanismer for autentisering i de ulike kanalene, med utgangspunkt i den risikovurderingen du har gjort.
    Dersom du kan få tilgang til tjenesten fra internett, er det ekstra viktig at brukergrensesnittet er designet for å motstå angrep.
    Brukere fra virksomheten din som har en administratorrolle i systemet har sannsynligvis tilgang til store mengder informasjon. Det er derfor viktig at du begrenser slike tilganger til dem som har behov for det. Rollebasert tilgang er en viktig mekanisme for å håndtere dette.

Skille mellom ulike brukere/kunder i administrasjonsgrensesnittet

Mange skytjenester administreres gjennom webapplikasjoner eller APIer (Application Programming Interface). Disse brukergrensesnittene er en viktig komponent når det gjelder sikkerhet. Dersom det ikke skilles tilstrekkelig mellom ulike brukere/kunder i administrasjonsgrensnittet, kan man risikere at én kunde kan påvirke tjenesten eller informasjonen til en annen kunde.

Sikker bruk

Selv den sikreste tjeneste og informasjonen i den kan bli kompromittert dersom tjenesten brukes galt. Derfor har også du som kunde et ansvar når du bruker tjenesten.

Hvor langt ditt ansvar strekker seg, vil avhenge av hvilken tjenestemodell det er snakk om. Figuren nedenfor illustrerer hvordan ansvaret for gjennomføringen av oppgaver er ulikt for de forskjellige tjenestemodellene.

Dersom du bruker infrastruktur eller plattform som skytjeneste, har du som kunde et betydelig ansvar for sikkerheten i de systemene du selv har bygget eller installert oppå tjenesten. Konfigurasjon av operativsystem og gjennomføring av sikkerhetsoppdateringer vil da være ditt eget ansvar.

Når du benytter en skytjeneste må du:

  • Ha kunnskap om ulike konfigurasjonsmuligheter for tjenesten, og hvilke følger ulike valg får
  • Forstå hvilke sikkerhetskrav som stilles til din bruk av tjenesten
  • Gjennomføre opplæring av dine ansatte, slik at de vet hvordan de benytter tjenesten på en sikker måte

Husk også at det er du som er ansvarlig for at informasjonen virksomheten din forvalter er tilstrekkelig sikret – du er derfor ansvarlig for å følge opp at leverandøren gjennomfører sine oppgaver på en tilfredsstillende måte.

 

Sharethis

Fant du det du lette etter?

Fant du det du lette etter?
*