I takt med den ökande användningen av molntjänster ökar också antalet säkerhetsincidenter. Många av sårbarheterna, som kan få stora konsekvenser, är enkla felkonfigureringar. Det framgår av en ny rapport från FOI.
Genom molntjänster kan organisationer få tillgång till lagringstjänster, programvara och beräkningskapacitet utan att själva behöva bygga och underhålla serveranläggningar.
Dessa tjänster har därför skapat förutsättningar för många verksamheter att expandera, särskilt inom områden som maskininlärning och AI, som ställer höga krav på datorkraft. Numera används molntjänster också av offentliga verksamheter, som myndigheter.
I händerna på jättar
USA-baserade så kallade hyperskalbara molnlösningar, ”hyperscalers”, erbjuder möjligheter att snabbt skala upp beräkningskapacitet och lagring. Dessa lösningar har helt kommit att dominera marknaden.
Amazon, Google och Microsoft är de stora amerikanska aktörer som under längre tid har byggt upp datakapacitet och stora plattformar med många tjänster. Samtidigt förlitar sig allt fler organisationer på molntjänster, framför allt av ekonomiska skäl.
– Det gör att vi sitter i en intressant situation nu, där vi har en bristande grad av suveränitet även på molntjänstområdet, säger Viktor Bergström, forskningsingenjör på FOI:s avdelning Cyberförsvar och ledningsteknik.
Beroende ger risker
Det skapar risker, till exempel om USA bestämmer sig för att stänga ner den it-infrastruktur man använder sig av. USA:s regering har också, enligt lag, tillgång till data hos amerikanska molntjänstleverantörer, även om uppgifterna hanteras i Europa.
– Man kan försöka lösa det tekniskt, men det finns en sund tveksamhet kring att driva sin verksamhet på hårdvara som någon annan äger, säger Viktor Bergström.
Lätt att missa små fel
I takt med den ökande användningen av molntjänster ökar också antalet säkerhetsincidenter. Viktor Bergström och en FOI-kollega har synat de ”hyperscalers” som dominerar marknaden och undersökt vilka typer av sårbarheter som har legat bakom 157 säkerhetsincidenter under de senaste tio åren.
– Vi har tittat på publika data, och när det gäller säkerhetsincidenter måste man tänka på att det alltid finns incidenter som inte är offentliga, säger Viktor Bergström.
Brister i identitets- och åtkomsthantering stod för den största andelen av molnincidenterna, 58 procent. Andra vanliga orsaker till incidenter var brister i dataskydd och infrastrukturhantering.
– Vi såg att många av de här sårbarheterna är enkla felkonfigureringar. Vår hypotes är att när system blir väldigt komplexa, som molnsystem har en tendens att bli, blir det lätt att missa små enkla fel. Man kanske skapar nya delkomponenter och tar bort andra, säger Viktor Bergström.
Känslig data åtkomlig
I system med brister i identitets- och åtkomsthantering och infrastrukturhantering var känsliga data ofta lätt att komma åt för den som lyckades komma in.
– Överlag observerade vi att det fanns mycket känslig data publikt på internet. Det är mer tidskrävande att arbeta med krypterad lagrad data, och det är inte alltid självklart att avgöra när data borde vara krypterad. Men vi tycker att data som läckts vid flera incidenter i många fall borde befunnits krypterad vid lagring.
Säkerhet ingen enkel sak
Rapporten från FOI tar också upp de säkerhetsåtgärder som rekommenderas av erkända institutioner och auktoriteter inom molnsäkerhet. En slutsats är att säkerhetsramverken med föreslagna säkerhetsåtgärder är stora och komplexa, vilket kan göra dem svåra att följa i praktiken.
Molnsäkerheten har ökat succesivt under den studerade tioårsperioden. I rapporten ges förslag på åtgärder som kan förhindra säkerhetsincidenter, exempelvis infrastruktur som kod (IaC), vilket innebär att it-resurser hanteras genom kod istället för genom manuell konfiguration.
– Det finns också mer generella verktyg, översiktssystem som tittar på hela systemet och ger varningar för felkonfigureringar. Det finns en stor mängd säkerhetslösningar som är relevanta och effektiva, men där det finns en risk att du blir låst till leverantören, givet att det krävs mycket leverantörsspecifik kompetens.
Intressant för försvaret
Vill aktörer från europeiskt och svenskt håll skapa egna plattformar krävs mycket kunskap och förberedelser, menar Viktor Bergström.
– Molntjänster skulle kunna vara väldigt intressant ur ett försvarsperspektiv. Men att bygga system med hög säkerhet tar väldigt lång tid.
Så kan Sverige klara globalt it-haveri
Rapport:
En genomgång av säkerhetsincidenter och åtgärder avseende molntjänster, FOI, på uppdrag av Försvarsmakten.
