At Stakraft flytter til skyen gir mening på mange måter. De er store og de er globale. Skyen, i denne sammenheng Microsoft Azure, gir enorme muligheter man ikke får i eget datasenter, men også sårbarheter. Og det er grunnen til min reaksjon.
At artikkelen ikke nevner ordet “sikkerhet” betyr naturligvis ikke at Statkraft ikke har med sikkerhet i sitt fokus når de skal til skyen. Men det får meg til å lure allikevel, for sikkerhet burde komme veldig tidlig i prosjektet, og burde absolutt vært nevnt i denne artikkelen. Men men. (Man husker jo Helse Sør-Øst kontrakten som ikke hadde “informasjonssikkerhet” i seg)
“Prosjektgrunnlaget er positivt og tilsier at investeringen vil betale seg tilbake i løpet av få år. Vi blir en enda mer effektiv og datadrevet organisasjon, og vi får tilgang til ny teknologi som vil hjelpe oss med å øke innovasjonstakten. I tillegg vil vi nyte godt av at plattformene standardiseres og av at løsningene enkelt lar seg skalere opp og ned etter behov, sier Christiansen i Statkraft.”
Skyen ER usikker
Jeg har tidligere skrevet om dette. Skyen ER usikker, og det er kundens ansvar å gjøre den sikker, og det koster. Den forretningsmessige årsaken til å gå til skyen er god, fornuftig, fremtidsrettet og kanskje til og med økonomisk fornuftig. Men at investeringen “betaler seg tilbake på få år” gjør meg paranoid. Virkelig? Ikke mange som sier de har spart penger på å gå til skyen. Men, man kan snu på det så klart, og si at man blir mer effektiv, eller tjener mer penger, og at det derfor betaler seg tilbake raskt.
Sikkerheten må opp på et nivå høyere enn man tradisjonelt har hatt da alt blir med komplisert, og dermed sårbart. Er man forberedt på dette, både hva som kreves av mennesker, ressurser, kompetanse, teknologi og penger? Så klart Statkraft har tenkt på dette, men hvor mye? Jeg er spent.
Håper de ikke går 16 år tilbake i tid med sikkerheten som beskrevet i min tidligere artikkel.
Gleder meg til fortsettelsen.
Azure med Zyxel policy
Hva har man bak en Zyxel ruter kjøpt på Elkjøp? PC’er. Telefoner. Smarthus. Apple-TV. Osv osv.
Hva har man bak en Azure brannmur? Gull. Verdier. Kritiske systemer.
Hvordan i alle dager kan disse to produktene med så forskjellige oppgaver ha samme regelsett der alt er tillatt utgående? Alvorlig. Azure feiler på VG testen ut av startblokka uten at kunden har gjort noe som helst. Alvorlig. Hvor bevisste er kundene på dette?
At Microsoft annonserer at de skal endre dette om 2 år, 1. oktober 2025, er jo bra, men du verden så lenge til. Hvorfor vente?
I dagens trusselbilde må man anta at at trusselaktørene klarer å komme seg inn i systemene, og man må derfor tenke kill chain. Man MÅ anta kompromittering og lage sikkerhetsbarrierer som adresserer dette.
I tradisjonelle datasenter har man i mange år hatt moderne brannmurer kjøpt av leverandører som spesialiserer seg på dette. Når man går til skyen velger man ofte sikkerhetsteknologi av skyleverandøren, der dette nærmest er et biprosjekt (jada, det er stort fokus, men Azure eksisterer ikke pga sikkerhet).
Viktig å ikke senke kravene til sikkerhet når man går til skyen. Visibilitet, logging, kontroll og sikkerhet må være minst like bra i skyen som i det tradisjonelle nettverket. Ta med den moderne og mer avanserte sikkerhetsteknologien til skyen!
Tomra kjørte Azure
Ingen løsning eller sikkerhet er 100% sikkerhet, det vet alle. Det samme gjelder i skyen, selv om det er Microsoft Azure.
Denne artikkelen fra Tomra forklarer:
“Malicious activities were identified in various areas, encompassing on-premise Windows and VMware environments, as well as the Azure platform.”
VG testen
Jeg gleder meg til å få presentert hvordan VG testen adresseres i denne løsningen. Kanskje de har en NGFW til å hjelpe seg.
Deling av informasjon
Jeg håper min skepsis faller i grus, og at sikkerheten i løsningen blir “state of the art”. Jeg håper deretter at Statkraft sammen med Sopra Steria i fremtiden går på scenen og presenterer sikkerheten til løsningen, for den er det mange som trenger å lære av.
Leave a Reply