IT är människor i slutändan

2015-02-27

Lagrar du din information i ditt serverrum eller hos en tjänste- eller molnleverantör? Eller kanske både och? Oavsett vilket så måste du ha din information skyddade mot intrång och förstörelse samt ha en infrastruktur som gör att användarna kan nå de när det behövs i relation till informationens skyddsvärde och verksamhetens behov. I princip alla molntjänstleverantörer brukar framhäva att genom att använda deras tjänster så minskar du som kund din kostnad för att tillhandahålla en redundant miljö (ingen molntjänstleverantör skulle på allvar ha en icke-redundant miljö) och att den totala kostnaden går ned eftersom ni är flera kunder som delar på kostnaden för infrastrukturen. Molntjänstleverantörena kryddar också erbjudandet med att man har så pass mycket mer kompetens kring området, eftersom det är detta man jobbar med hela dagarna.

Detsamma gäller skyddet mot förstörelse, i dagligt tal backup. Om system (mot all förmodan och trots alla försäkringar från leverantören om motsatsen) skulle gå ned så kan information återvinnas genom att läsa upp det från backup. Precis som med tillgänglighet så delas backupinfrastrukturen av många kunder vilket gör att priset kan bli lägre gentemot att ha egen lösning för detta. Även här går argumentationen igen i att de kan det här med backup, eftersom de gör det i så pass stor omfattning.

När det gäller intrång så återanvänder molnleverantören även här den faktiska omständigheten att man är bra på säkerhet, annars så skulle de ju inte ha några kunder. Det man försöker leda i bevis är alltså att om det är dålig säkerhet så skulle någon annan kund redan ha upptäckt bristerna, påtalat detta och leverantören rättat bristen. Här måste man dock som kund bromsa upp och tänka ett extra steg: har de andra kunderna verkligen upptäckt brister hos leverantören och i så fall, är dessa verkligen åtgärdade?

Har man information lagrad i sin egen källare (serverrum) så vet man vad det är för utrustning som utgör infrastrukturen och man har troligen koll på vilka som passerar in och ut i serverhallen. Likaså gäller den virtualiserade miljön, att man vet vilka som har konsol- och administratörsrättigheter. De brister man har upptäckt finns nedtecknade och en plan framtagen för hur de ska åtgärdas, i vilken takt och vilken risk man utsätts för om de inte åtgärdas. Allt detta tappar man kontrollen över om man lägger ut leveransen i molnet.

Att lägga sin information i molnet är som att lämna ifrån sig sin dagbok skriven i tonåren till någon annan. Den man lämnar ut den till kan på heder och samvete lova att inte läsa innehållet och att hålla boken inlåst i ett säkert kassaskåp. Kan du vara säker på att det är sanningen? Skulle inte du vilja kontrollera hur dagboken hanteras, vilka som har nyckel till kassaskåpet och att kassaskåpet verkligen är säkert och byts till ett ännu säkrare om det visar sig att det inte håller måttet och kan dyrkas? I slutändan är det ju en (eller flera) människor av kött och blod som har fått ansvaret för dagboken. Någon man måste lita på fullständigt.

Ett tydligt exempel på när det inte alls går som planerat är skandalen med den danska skvallertidningen Se og Hør. I sin iver att ta reda på vad kända människor (t.ex. medlemmar i det danska hovet) gjorde, så avlönade man en anställd databastekniker som jobbade på IBM som i sin tur hade driftansvar för IT-systemen som hanterade kortbetalningar som gick via betalningsväxeln Nets. Denne databastekniker kontaktade Se og Hør när en betalning gjorts via ett av de ”övervakade” kreditkorten. Hur kan detta ske, undrar ni säkert? Jo, enligt PCI-DSS (regelverket för dataskydd enligt kreditkortsföretagen) så är det egentligen bara själva kortnumret som ska skyddas, t.ex. genom kryptering. När det gäller allt annat såsom inköpsställe och summor behöver den informationen inte krypteras. Databasteknikern kunde alltså i klartext se var danske prinsen Joachim dragit sitt kreditkort och tidningen kunde sedan skicka fotografer till platsen. Här har användaren (prinsen) gjort allt rätt, ändå blev allt fel.

Så, vad förtäljer detta oss? Jo, oavsett var man placerar sin information så måste man i slutändan lita på de som hanterar informationen. Oavsett om det är egna anställda, personer hos en molntjänstleverantör och de som hanterar kommunikationen. Alla löften om samordnade vinster gällande redundans, backup och sekretess står faktiskt och faller med att den enskilda anställde gör sitt jobb.