Kategori: Cloud sikkerhed

Få bevis på ISO 27001 og bliv klogere på cloud-sikkerhed

Denne blogs modervirksomhed, PACTOR A/S, har gennem længere tid samarbejdet med BSI, British Standards Institution, som er ophav til og ejer af bl.a. ISO 27000-standarden, om at udbyde undervisning og afholde eksamen i ISO 27001 i Danmark.

ISO 27000 er en it-sikkerhedstandard med to underliggende standarder, en forretnings-/procesrettet og en mere regulært it-rettet, nemlig ISO 27001. Netop ISO 27001 blev af den nu hedengangne IT- og Telestyrelsen valgt som afløser for DS484 som krævet mindsteniveau for it-sikkerheden i det offentlige i Danmark.

Grunden til, at dette er særligt relevant i cloud-sammenhæng er, at det normale to-dages kursus er blevet udvidet med ½ dag om cloud computing-sikkerhed – både om lovgivningen, der skal iagttages, og om de muligheder og udfordringer, cloud computing giver på it-sikkerhedsområdet.

Her er der altså anledning til at blive klædt på om ISO 27001, endda med eksamensbevis, og i tillæg få opdateret viden om cloud-sikkerhed.

Læs mere om kurset her: http://pactor.dk/?page_id=518

Interessante links, februar 2011

Informationer kommer og (sjældnere) går på internettet, og samtidig er der ofte en ’sidste holdbarhedsdato’ for informationernes relevans, der kun sjældent står mål med, hvor længe, informationerne ligger tilgængeligt. Derfor er denne lille oversigt over nogle relevante links da også dateret allerede i overskriften – går der mange måneder herfra, før du ser oversigten, kan det meget vel være, der er andre og mere relevante links, du skal lede efter…

Læs mere »

Ny udtalelse fra Datarådet om Google Apps

Hvor ER det ironisk… Præcis som vi i går den 3. februar 2011 står og taler om, hvor meget, vi længes efter yderligere udtalelser fra Datatilsynet om anvendelsen af cloud-services som f.eks. Google Apps, sender lige præcist Datatilsynet endnu et svar til Odense Kommune i forbindelse med kommunens ønske om netop at bruge Google Apps til en række administrative og informative aktiviteter indenfor skolevæsenet i kommunen…

Er vi så kommet videre med Datatilsynets udtalelse? Både-og, ser det ud til. Datatilsynet har en række indvendinger imod måden, Odense Kommune påtænker at opfylde kravene i persondataloven og sikkerhedsbekendtgørelsen på. Nogle af indvendingerne er lidt ærgerlige, fordi det kunne have været imødekommet fra kommunens side ved lidt bedre forberedelse. Men der rejses også mere principielle spørgsmål om f.eks. overførsel af data til tredjepart uden for EU/EØS og andre sikre lande.

Læs mere »

Indlæg om cloud-sikkerhed 3. februar 2011

Torsdag den 3. februar 2011 havde jeg fornøjelsen af at holde oplæg på et meget velbesøgt breakfastclub-møde, arrangeret af ComputerWorld. Temaet for mødet var cloud computing-sikkerhed, og oplægsholderne repræsenterede nogle af de stærkeste ‘brands’ i branchen: Google, Symantec, IBM og Microsoft – og så lige CloudWatch.dk…

Læs mere »

Danmark – det sikreste sted til cloud services i verden …?

Transparency.org – en organisation, der bekæmper korruption i hele verden – publicerede for nyligt korruptionsindexet for 2010. Danmark ligger på en flot førsteplads med 9,3 ud af 10 som score. Pladsen deler vi med Singapore og New Zealand – ikke noget dårligt selskab.

Det får John Pescatore fra Gartner til at spørge, om det også betyder, at de sikreste cloud services findes her, altså i Danmark, New Zealand og Singapore? Men hvis man kigger på de internationale udbydere af cloud services, er det jo ikke lige i de lande, de har valgt at lægge deres services… Ser vi bare på de lande indenfor EU, som huser de internationale cloududbyderes driftcentre, finder vi Irland på en 14.-plads på Transparency.com’s liste med en score på 8,0, mens Holland ligger som nummer 7 med en score på 8,8.

OK, hverken Irland eller Holland scorer dårligt, og faktisk ligger de som nogle af de højest scorende indenfor EU. Men Johns pointe er, at hvis vi ser ‘world wide’, er der mange lande på listen med bekymrende lave scores, der faktisk er populære steder til cloud data centre, og da cloud services pr. definition er globale, er kundernes sikkerhed for sikker opbevaring af data nu og i fremtiden ikke højere, end sikkerheden er i det mest usikre af de lande, en leverandør anvender. “Det svageste led i kæden” er også aktuel her…

Dette understreger betydningen af, at kunder, for hvem det er vitalt, at data omgæres med en høj grad af sikkerhed mod uautoriseret adgang, får lavet solide aftaler om dataopbevaring i alle led af systemernes og datas livscykler. Se blot på Italien, der ligger som nr. 67 med en score på 3,9. Eller Grækenland, der er nr. 78 med sølle 3,5. Ville det være lykken at have sine data opbevaret i et land, hvor korruption er så meget mere sandsynlig, end i f.eks. Danmark?

Men se så her: CSC bygger deres driftscenter i Valby om til et cloud-center for hele Norden. OK, CSC er ikke en af sværvægterne eller frontløberne indenfor cloud computing, men de er bestemt med i den tunge ende, og falder talen på traditionel hosting er de mega. Måske kan dette være CSCs vej tilbage i kampen efter de mange tyngende skandaleprojekter og datterselskabernes dårlige regnskaber? Og måske kan de med en sådan satsning være med til at bane vej for mere public cloud computing af den sikre slags i andedammen selv – lille Danmark?

Interoperabilitet i skyen?

Som vi har været inde på flere gange tidligere, kniber det noget med de fælles standarder på tværs af skyer, både når det gælder managementdelen (det styringsmæssige interface), og når vi taler den faktiske, forretningsmæssige brug af cloud services (det funktionelle interface). Nu er interoperabilitet og fælles standarder jo ikke det samme, men man kan sige, at kan man ikke blive enige om fælles standarder over hele linjen, kan man det måske for interfaces, hvorved interoperabilitet kan fremmes.

Cloud Security Alliance arbejder hårdt på at fastlægge standarder for sikkerheden omkring og til-og-fra cloud services. Men der er også andre initiativer i gang:

Distributed Management Task Force (en organisation, der på tværs af it-industrien arbejder på standarder for styring af it-systemer, og som har alle de store it-firmaer som medlemmer) har etableret en Open Cloud Standards Incubator, som har til formål at understøtte udarbejdelsen af specifikationer på tværs af få eller mange virksomheder, som måske efterfølgende kan blive til egentlige standarder. Bemærk her, at der hverken er tale om åbne standarder eller standarder, der nødvendigvis kan klare sig i f.eks. en ISO-sammenhæng. Men ved at have de største spillere samlet om en standard tidligt i forløbet, er der større chance for, at det kan blive til en de facto-standard før eller siden, og på den måde kan industrien måske omgå eller undgå en konflikt med de etablerede standardiseringsorganer, som f.eks. har kostet Microsoft dyrt i advokater…

Bemærk, at styregruppen for Open Cloud Standards Incubator tæller AMD, CA, Cisco, Citrix, EMC, Fujitsu, HP, Hitachi, IBM, Intel, Microsoft, Novell, Rackspace, RedHat, Savvis, SunGard, Sun Microsystems, og VMware. Man kunne vælge at blive overrasket over, at Oracle ikke er med, men så alligevel: Sun er jo repræsenteret, så dermed har Oracle en fuldgyldig tilstedeværelse ved bordet. Du kan læse en kort omtale af arbejdet dér her.

Hvis man vil læse mere om, hvad der sker på cloud-standard-området, kan wikien CloudStandards anbefales. Heraf fremgår, at organisationen bag wikien, Cloud Standards Coordination, er et samarbejde mellem standardiseringsorganer for at skabe et overblik og dermed måske medvirke til at arbejde mere i samme retning. Som det fremgår af forsiden på wikien, er der mange standardiseringsorganer i gang, men bladrer man dybere ned, kan man se, at nogle af dem vist mest er med for et syns skyld, mens andre går aktivt ind i arbejdet for at sikre åbne standarder frem for industriens måske mere lukkede (det gælder f.eks. Open Cloud Consortium).

Sammenfattende kan man nok godt tillade sig at sige, at vi er på vej hen imod større enighed om standarder for cloud computing. Om der bliver tale om åbne standarder, og om implementeringen af standarderne vil give ægte interoperabilitet, vil tiden vise. At det er en trend i tiden at det bør være sådan, er der dog ingen tvivl om – se blot på Microsofts kamp for at få OOXML godkendt som standard og den efterfølgende hæftige debat på vores egne breddegrader.

EUs rolle i cloud computing: regulering og forskning og …?

Den 26. januar 2010 fremlagde en arbejdsgruppe under EU-kommissionen en rapport om cloud computing i EU: “THE FUTURE OF CLOUD COMPUTING. OPPORTUNITIES FOR EUROPEAN CLOUD COMPUTING BEYOND 2010”. Rapporten er resultatet af workshops i en arbejdsgruppe med repræsentanter for store og små leverandører af cloudrelaterede ydelser, offentlige institutioner, forskningsverdenen – og så naturligvis kommissionen selv.

Rapporten beskæftiger sig i stor udstrækning med at definere cloud computing og de forskellige karakteristika, der gælder for forskellige varianter og implementeringer af begrebet. Godt skrevet, men ikke noget nyt. Samtidig kan man måske spørge sig selv, hvorfor noget, der i sin grundsubstans er grænseløst (internettet), og som konstituerer en forretningsmæssig relation mellem kunde og leverandør, overhovedet er relevant for EU? Ja, to årsager er allerede stadfæstet i overskriften…

Læs mere »

Læser Gartner danske arbejdsprogrammer?

I et – som sædvanligt – oplyst og læsevenligt indlæg på Gartners blogsite, skriver Andrea Di Maio om et land, han har hørt om, der er i færd med at undersøge, om det giver mening at lave en ‘government cloud’ for egen og andre landes offentlige forvaltninger. Det er præcist det, Videnskabsministeriet skriver i kapitel 3 om cloud computing i dets digitale arbejdsprogram, der udkom i går!

Uanset om dette er en tilfældighed eller Andreas indlæg faktisk tager afsæt i den danske idé, er hans pointe i bloggen vigtig at holde sig for øje: det er ikke sikkert, en ‘government cloud’ er den billigste løsning for den enkelte styrelse eller statslige institution, sammenlignet med at købe ydelser på det ‘åbne’ cloud marked. Javel, der er spørgsmål om sikkerhed, dataopbevaring jf. Datatilsynets seneste afgørelse fra i fredags, integration med eksisterende systemer og mange andre overvejelser, der kan ende med at koste penge.

Men en government cloud vil ofte være ‘klip-en-tå-skær-en-hæl’ i forsøget på at finde en ‘one-size-fits-all’ til de offentlige kunder; selv den amerikanske forbundsregerings cloud vil være mindre end Amazons, og vil derfor alt andet lige have højere driftsomkostninger. Og for at reducere disse driftsomkostninger, kan der ikke nødvendigvis udbydes den samme fleksibilitet, som en stor privat leverandør vil kunne.

Ser vi på software-as-a-service kan der f.eks. være begrænsninger i muligheden for at integrere med eksisterende systemer, begrænset valgfrihed i autentificeringsmetoder eller forsinket softwareopdatering i forhold til markedet i øvrigt. Er der tale om infrastructure- eller platform-as-a-service er det klart, at når en kunde på det ‘åbne’ marked har hele spektret til rådighed, er det svært som udbyder af en government cloud at matche valgmulighederne.

Derfor kan det alligevel være en rigtigt god idé at oprette en community cloud for staten – i ét eller flere lande i fællesskab. Der kan a priori være taget hånd om krav til dataopbevaring (bl.a. hvilke lande, de opbevares i, hvor længe, backups og logs gemmes osv.) og det kan være sikret, at brugerautentificering lever op til nationale retningslinier. Der kan sågar være direkte kundeindflydelse på den tekniske og forretningsmæssige udvikling af skyen – blot skal de offentlige institutioner ikke nødvendigvis vælge denne vej, fordi de kan spare penge.

Google Apps? Nej, det må I ikke – i hvert fald ikke uden digital signatur…

Datatilsynet har i fredags udsendt sin første afgørelse om cloud computing: Udtalelse i forbindelse med anmeldelse af “Google Apps – online kontorpakke med kalender og dokumenthåndtering”. Dette har virkelig været ventet – både for at se, hvordan lovgivningen på området ville blive fortolket, men også for at få nogle rammer, andre offentlige kunder kan handle cloud computing indenfor. Satte Datatilsynets afgørelse så rammer op? Blev der skabt mere klarhed? Desværre nej.

Odense Kommune ville bruge Google Apps, herunder kalender og dokumenthåndtering, til at lave elevplaner til kommunens skoler.  Var det så det, Datatilsynet sagde ‘nej’ til? Nej, det var det ikke…

Begrundelsen for Datatilsynets afslag er sammenfattet i én sætning: “Datatilsynet lægger således til grund, at der indgår følsomme personoplysninger omfattet af persondatalovens §§ 7 og 8, at oplysningerne tilgås og behandles via internet, samt at der ikke anvendes digital signatur eller lignende.” Med andre ord: I logger ikke på via f.eks. digital signatur, så derfor må I ikke bruge Google Apps. Men hvis de nu gjorde, måtte de så?

Det er dér, afgørelsen for alvor bliver skuffende, for Datatilsynet stopper sin vurdering dér – lige før dørtærsklen… Efter eget udsagn: “Herudover rejser brugen af Google Apps en række yderligere spørgsmål. Da anmeldelsen imidlertid afvises allerede på grund af problemstillingen med digital signatur ved følsomme oplysninger, har tilsynet ikke fundet anledning til at komme ind på de øvrige problemstillinger, som opstår ved en dansk myndigheds eventuelle brug af Google Apps.”

Så: Danmarkshistoriens første afgørelse om cloud computing for offentlige institutioner handler ikke om cloud computing, men om indlogning. Noget, der ville være et problem uanset driftsformen (sharet services, outsourcet eller driftsfællesskaber).

Nå, men Google Apps kan godt håndtere digital signatur, så egentlig burde næste skridt være til at tage for Odense Kommune i dialogen med Datatilsynet, hvilket tilsynet da øjensynligt også efterspørger. Men det orker kommunen ikke, og det er rigtigt ærgerligt. Imens vi venter på næste modige offentlige institution, kan vi så more os med at læse debatten til indlægget i Version2 om Datatilsynets afgørelse; om ikke andet viser den, at der er mange tilgange til og nuancer i nye teknologier og forretningsmodeller.

Cloud computing-sikkerhed i følge Cloud Slam 2010

De 17 indlysende eller overvejende sikkerhedsrelaterede indlæg (og et enkelt eller to med et bredere styringsperspektiv) fordelte sig på nedenstående bidragydere. De enkelte indlæg bliver uddybet hen ad vejen, efterhånden som jeg får set dem!

McAfee. Security From, In And For The Cloud. Hovedtruslerne defineres her som ‘kapring’ af serviceaccounts eller trafik i skyen, svagheder i forbindelse med ‘delt teknologi’, datatab eller datalækager, ondsindede interne medarbejdere hos leverandøren, ondsindet brug af services (spam, cyberangreb), ukendte risikoprofiler og usikre API’er. Løsningen er bl.a. McAfees Software (ups!) Security-as-a-Service management console (del af McAfee Total Protection Service), men samtidig siger de, at f.eks. årlige fornyelser af certifikater ikke er nok; der skal daglige tredjeparts sikkerhedsvalideringer til, sammen med opdaterede definitioner af de ‘nyeste’ sårbarheder, hurtig udbedring, automatiseret efterlevelse af krav og simpel implementering og vedligehold. Bemærk i øvrigt, at McAfee tager aktivt del i arbejdet i Cloud Security Alliance.

Ping Identity. Who’s in Your Cloud? Firmaet fokuserer på sikkerheden i forbindelse med internetidentitet. Her præsenteres en af hovedbekymringerne som en stigende kompleksitet sammenlignet med tidligere teknologier. Naturligvis er kompleksiteten størst, hvis vi taler software-as-a-service, og ikke bare sammenligner med at flytte infrastrukturen fra en driftsleverandør til skyen. Deres budskab er i øvrigt, at overholdelse af regulativer, retningslinjer og standarder bliver fremtidens ‘religion’, men at det for mange leverandører er noget ‘tilkøbt’, frem for noget, der opnås ved hårdt arbejde og omtanke (altså mere noget, man skal, end noget, man bare gør). Men frem for alt må risikoen, der følger af utallige passwords, elimineres… Enhver cloud applikation skal opfattes som en ‘black box’ og behandles som sådan sikkerhedsmæssigt, og sikkerhedslogs i cloud management værktøjerne bliver det nye hovedmålepunkt i konkurrencen. Og måske mest interessant hævder de, at sikkerhedsmodellen skal ændres fra pull til push, når det kommer til cloud applikationer – tænk lidt over den…

Læs mere »

Dansette