Per Hellqvist om IT-säkerhet och sånt

Molnet eller hemma?

30 Nov 2011

Det pratas mycket om molnet. Det som fortfarande verkar olösligt är hur man ska definiera vad molnet faktiskt är. Fråga fem molnspecialister och du får fem olika svar, samtliga lätt svävande. Om vi nu istället struntar i en exakt definition och istället drar allt över en kam och jämför det med outsourcing och kallar allt för webbtjänster så kan vi istället koncentrera oss på det viktigaste – hur säkrar vi informationen vi skeppar iväg från företagets relativa trygghet, hur väljer vi leverantörer och, kanske viktigast – måste man köra molntjänster eller kan man klara det lika bra själv?

 

Det första argument man stöter på när man pratar molntjänster är att man upplever att man tappar greppet om informationen. Visst är det så. Därför är det viktigt att man noga tänker igenom vem man lägger informationen hos, hur den överförs och om leverantören har rättigheter att köra till exempel data mining på informationen.

 

När det gäller leverantören bör man noga studera deras webbsidor och ställa en lång rad jobbiga frågor. Idag finns det många guldgrävare som snabbt dyker upp med snygga hemsidor, men kanske inte så mycket kapital bakom. Man bör välja en spelare som varit med länge och som har denna typ av tjänst i sitt långsiktiga utbud. Kontrollera även om det går att flytta informationen eller byta leverantör. Annars riskerar man inlåsningseffekter och det är aldrig bra.

 

Självklart skall all data som lagras och överförs skyddas av kryptering. Leverantören skall klart och tydligt kunna redogöra för hur de handskas med kryptonycklar och vilka algoritmer och tekniker som används. Vill de inte, eller kan de inte berätta – välj en annan leverantör. Dessutom skall ett krav vara att eventuella inloggningssidor för administration eller tillgång till tjänsten skall vara skyddade med SSL eller liknande.

 

De ovanstående frågorna är mycket basala och bör redas ut innan man går vidare. Ska man skicka ut information skall den vara skyddad under lagring och överföring. Om leverantören man valt mot förmodan går i konkurs eller köps upp av någon leverantör man inte vill vara kund hos måste man veta att informationen är i tryggt förvar och inte åtkomlig för någon annan.

 

Läs avtalen noga, ställ alla de tuffa frågor du kan komma på till leverantören och fundera sedan en stund innan ni börjar. Det kan vara värt det.

 

För trots allt – man måste kanske inte köra molntjänster. Men det finns många fördelar. Till exempel kan man spara in på hårdvara och mjukvara. Dessutom behöver man inte ha personal för allt. Det sköter ju leverantören om. Och tänk efter hur du har det hemma. Går servrar sönder? Har du nedtid eller krånglande programvaror? Är nyckelpersonal ibland sjuka eller har semester när de behövs som mest? Om du svarat ja på en eller fler frågor så kanske molntjänster kan vara något för dig.

 

Eftersom de allra flesta molntjänster sker via webbläsaren så flyttas säkerhetsfokuset dit. Elakingarna har fullt fokus på att försöka komma in i datorer via just webbläsaren. Kan man lura dig att installera en elak BHO eller liknande så kan de komma åt all information du har i molnet. Likadant om de lyckas plantera in en trojan på datorn som stjäl inloggningsuppgifterna. Då spelar det ju ingen roll vilken kryptering som används – de är inne som vilken användare som helst. Hör dig för med leverantören om ni kan koppla till en extra inloggningsfaktor, t ex en dongel med engångslösenord eller en app för mobilen i stil med Symantecs ”VIP Access”. Då får elakingarna det svårt att komma in även om de stjäl lösenordet.

 

En sista sak. Tänk på att molntjänsten är ytterst beroende av en sak – internetkopplingen. Utan den kan man inte komma åt sin information. Ser man krasst på det så är kanske inte den största faran mot din information ”Håkan Hackare” utan troligen ”Gustav med Grävskopan” som just grävde av fel kabel. Värt att kolla upp det också. Lycka till!

Taggar: Autenticering, Intressant, Kryptering, Läsvärt, Molnet, Webbläsare

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.