Den stora trenden går mot molntjänster eftersom att molnet trots allt är säkrast

Det sker en stark strömning mot molntjänster, bort från egen drift, just för tillfället, eftersom att molnet är trots allt säkrast. Men vilka konsekvenser får det för IT-säkerheten?

– Säkerheten i molnet är bättre än den du har hemma. Allt sköts där – patchar, redundans, uppdateringar och så vidare, säger Ulf Berglund, ordförande för CSA Sweden, en ideell förening för att stärka molnsäkerhet.

Ulf Berglund har en bakgrund inom Militära underrättelse- och säkerhetstjänsten, är säkerhetsarkitekt på Länsförsäkringar och talade nyligen på NetNordic Cyber Security Day.

Data från analys- och rådgivningsföretaget Radar Ecosystem Specialists visar att det fortfarande finns ett visst motstånd mot molntjänster inom särskilt offentlig sektor. Speciellt kommunerna ligger efter. Det är mindre bra, eftersom de verksamheter som har hög molnmognad enligt Radar uppvisar lägre kostnader för att producera och leverera standardiserat IT-stöd än andra. Dessutom har de ett större innovationsbidrag än genomsnittet.

En rad händelser under det senaste året visar också att det finns risker med outsourcing och molntjänster, speciellt om upphandlingen inte sker på ett tillräckligt bra sätt och om man slarvar med sin informations- och säkerhetsklassning. Exempel är Transportstyrelsen och flera andra cyberintrång mot svenska verksamheter. Det finns incidenter kring hosting av servrar.

– Ibland behöver du veta vem du har som granne i serverhallen, säger Ulf Berglund.

Vid ett tillfälle för ett antal år sedan skedde en polisutredning som involverade servrar i ett telekomföretags datacenter. På samma serverrack som riskerade att tas i beslag fanns även servrar tillhörande tre Stockholmskommuner.

– Liknande exempel finns över hela Europa, säger Ulf Berglund.

En stor ökning av molntjänster på marknaden

Den stora trenden går ändå mot molntjänster, speciellt publika molntjänster. Detta eftersom att molnet är trots allt säkrast. Enligt svenska IT-beslutsfattare kommer publika molntjänsters andel av deras totala IT-kostnader att tiodubblas de närmaste tre åren. Från 2,9 procent till 27-32 procent. Det visar Radars data.

Totalt 46 procent av IT-beslutsfattarna bedömer att större delen av IT-portföljen på sikt kommer att utgöras av IT från de globala molntjänstefabrikerna. När det gäller dessa anser Ulf Berglund att det inte finns någon anledning att göra en fysisk inspektion.

– Vad ska vi in i Microsofts hallar och göra? Vi kommer inte ens in där. Vi kommer inte in i Amazon heller, det är bara att glömma. Men jag kan garantera att det ser bra ut. Vi måste kunna säga att det är good enough. Vi kan inte tillämpa ”security obscurity”, säger Ulf Berglund.

När IT-beslutsfattarna ser en stor ökning av molntjänster kan det mycket väl vara i underkant. Många IT-ansvariga är ”serverkramare”, som gärna vill fortsätta med inarbetad teknik av stabilitetsskäl såväl som av gammal vana, berättar Ulf Berglund.

Radars insikter visar att det är verksamheten som i allt större grad driver på för digital innovation, vilket går att se genom att verksamhetsfinansierad IT växer snabbare än vad IT-budgeten gör. År 2018 växer verksamhetsfinansierad IT med 4,4 procent, medan IT-budgeten i snitt växer med måttliga 1,6 procent.

Vad ska man tänka på när det gäller molntjänster och cybersäkerhet?

Dejan Stanic, IT-konsult på snabbväxande amerikanska cybersäkerhetsleverrantören Palo Alto Networks, tar som exempel upp när högsta ledningen hos en kund ville flytta systemen från ”on prem” (lokalt installerat) till molnet, för att de fått uppfattningen att det är mer kostnadseffektivt.

– Kunden ville ha exakt samma säkerhet med molntjänsterna. Det är inga problem, säger han.

Palo Alto Networks analyserar information i sitt Threat Intelligence Cloud. För att kunna skala en lösning med brandväggar arbetar man med en kombination av statiska och dynamiska brandväggar, där de senare kopplas på bara vid behov och enbart kostar när de används.

– Det viktigaste för en bra säkerhet är att ha den på applikationsnivå. Du behöver kontrollera innehållet, säger Dejan Stanic.

När han jämför de stora molnleverantörerna anser han att Googles styrka är analys, medan Microsoft och Amazon – via Amazon Web Services, AWS – är speciellt starka på företagsmarknaden.

– AWS är klart bäst för utvecklare och bra på automation och särskilt inriktat mot startupföretag, säger Dejan Stanic.

De specifika områden som just nu växer mest på IT-marknaden är enligt Radars mätningar molntjänster och cybersäkerhet. Molntjänster växer med 14 procent år 2018 och cybersäkerhet med 9 procent. De delar av cybersäkerhet som behandlar strategier, informationssäkerhet med mera växer allra mest.